Уразливості у смартфонах Xiaomi дозволяють хакерам підробляти платежі
Уразливості у захисті смартфонів Xiaomi на базі MediaTek виявили аналітики з Check Point Research (CPR). За їхніми словами, проломи знаходилися в надійному середовищі виконання ( TEE ) Xiaomi.
Перша виявлена вразливість дає зловмиснику можливість замінити нову версію програми на стару версію. З її допомогою дослідникам вдалося обійти існуючі оновлення безпеки, перезаписавши легітимний додаток ‘thhadmin’ у MIUI 12.5.6.0 за допомогою програми з MIUI 10.4.1.0. «Знахідка» дозволила дослідникам використовувати іншу вразливість ( CVE-2020-14125 ) у сервісі Tencent Soter . З її допомогою хакери витягують закриті ключі для підпису платіжних доручень, повністю компрометуючи сервіс, який є базою авторизації транзакцій для WeChat і Alipay.
Щоб захиститися від CVE-2020-14125, фахівці рекомендують користувачам смартфонів Xiaomi на базі MediaTek встановити червневі оновлення безпеки Android, які вийшли цього року. Однак інша вразливість, яка дозволяє знижувати версії програм, все ще не виправлена. Патч для неї знаходиться у процесі розробки.