В некоторых телефонах Xiaomi обнаружен недостаток (откроется в новой вкладке) могли стоить пользователям их с трудом заработанных денег.
Эксперты по кибербезопасности из Check Point Research (CPR) обнаружили брешь в механизме мобильных платежей устройств, которую злоумышленники могли использовать для подписания фальшивых платежей, по сути кражи денег людей.
«Мы обнаружили набор уязвимостей, позволяющих подделывать платежные пакеты или отключать платежную систему напрямую из непривилегированного Android-приложения», — прокомментировал Слава Маккавеев, исследователь безопасности Check Point. Мы смогли взломать WeChat Pay и внедрить полностью работающее доказательство концепции».
Согласно отчету CPR, уязвимость была обнаружена в доверенной среде Xiaomi, инструменте, который хранит и управляет конфиденциальной информацией, такой как пароли или ключи безопасности. Было два способа украсть деньги людей: заставить их установить вредоносное ПО или украсть и изменить само устройство.
Быстро устраняем проблемы
В первом случае вредоносное ПО будет извлекать ключи и отправлять поддельные платежные пакеты для кражи денег. Во втором случае злоумышленнику потребуется рутировать смартфон. (откроется в новой вкладке)понизьте доверительную среду, а затем запустите код для создания фальшивого платежного пакета без приложения.
Однако в обоих случаях конечная точка должна работать на процессорах MediaTek.
Обнаружив недостаток, CPR уведомил Xiaomi, которая, похоже, быстро устранила проблему: «Мы немедленно сообщили о наших выводах Xiaomi, которая быстро работала над исправлением», — отметил Маккавеев.
«Наше обращение к общественности — постоянно следить за тем, чтобы ваши телефоны были обновлены до последней версии, предоставленной производителем. Если даже мобильные платежи небезопасны, то что тогда?»
Мобильные платежные системы кажутся следующим большим рубежом. По данным Fortune Business Insights, ожидается, что в 2028 году рынок достигнет 11,83 трлн долларов, а совокупный годовой темп роста составит 29,1%. Это также делает его главной мишенью для киберпреступников, которые все чаще нацеливаются на платежные системы, криптовалютные кошельки и тому подобное.
