Bazı Xiaomi telefonlarında keşfedilen bir kusur (yeni sekmede açılır) kullanıcılara zor kazanılmış paralarına mal olabilirdi.
Check Point Research’ten (CPR) siber güvenlik uzmanları, cihazların mobil ödeme mekanizmasında, tehdit aktörlerinin sahte ödemeleri imzalamak, esasen insanların parasını çalmak için kullanabilecekleri bir kusur buldu.
Check Point Güvenlik Araştırmacısı Slava Makkaveev, “Ödeme paketlerinin sahteciliğine veya ödeme sisteminin doğrudan devre dışı bırakılmasına, ayrıcalığı olmayan bir Android uygulamasından izin verebilecek bir dizi güvenlik açığı keşfettik” dedi. WeChat Pay’i hacklemeyi başardık ve tamamen işe yaramış bir kavram kanıtı uyguladık.”
CPR’nin raporuna göre, kusur, şifreler veya güvenlik anahtarları gibi hassas bilgileri depolayan ve yöneten bir araç olan Xiaomi’nin Güvenilir Ortamında bulundu. İnsanların parasını çalmanın iki yolu vardı: kötü amaçlı yazılım yüklemelerini sağlamak veya cihazın kendisini çalıp kurcalamak.
Sorunları hızlı bir şekilde düzeltmek
İlk durumda, kötü amaçlı yazılım anahtarları çıkarır ve parayı çalmak için sahte ödeme paketleri gönderir. İkinci durumda, saldırganın akıllı telefonu root etmesi gerekir. (yeni sekmede açılır)güven ortamını düşürün, ardından uygulama olmadan sahte bir ödeme paketi oluşturmak için kodu çalıştırın.
Ancak her iki durumda da uç noktanın MediaTek işlemcilerinde çalışıyor olması gerekir.
Makkaveev, kusuru bulduktan sonra, sorunu çözmek için hızlı bir şekilde çalışmış gibi görünen Xiaomi’yi bilgilendirdi: “Bulgularımızı hemen bir düzeltme yapmak için hızlı bir şekilde çalışan Xiaomi’ye açıkladık” dedi.
“Kamuya mesajımız, telefonlarınızın üretici tarafından sağlanan en son sürüme sürekli olarak güncellendiğinden emin olmaktır. Mobil ödemeler bile güvenli değilse, nedir?”
Mobil ödeme sistemleri bir sonraki büyük sınır gibi görünüyor. Fortune Business Insights’a göre, pazarın 2028’de yıllık bileşik büyüme oranı %29,1 ile 11,83 trilyon dolara ulaşması bekleniyor. Bu aynı zamanda onu ödeme sistemlerini, kripto para cüzdanlarını ve benzerlerini giderek daha fazla hedef alan siber suçlular için de önemli bir hedef haline getiriyor.