Điện thoại Xiaomi có chip MediaTek được phát hiện là dễ bị giả mạo khi thanh toán

www.tuoitre.vn -   12/08/2022 08:00:00 537

Các lỗi bảo mật đã được xác định trong các mẫu Xiaomi Redmi Note 9T và Redmi Note 11, có thể bị lợi dụng để vô hiệu hóa cơ chế thanh toán di động và thậm chí giả mạo các giao dịch thông qua một ứng dụng Android giả mạo được cài đặt trên thiết bị.

Điện thoại Xiaomi có chip MediaTek được phát hiện là dễ bị giả mạo khi thanh toán

Các chuyên gia bảo mật đã tìm thấy lỗ hổng trong các thiết bị được cung cấp bởi chipset MediaTek trong quá trình phân tích bảo mật về Môi trường thực thi đáng tin cậy (TEE) của nhà sản xuất thiết bị cầm tay Trung Quốc, được sử dụng để thực hiện chữ ký thanh toán di động.

Một vùng bảo mật bên trong bộ xử lý chính được sử dụng để xử lý và lưu trữ thông tin nhạy cảm như khóa mật mã để đảm bảo tính bảo mật và tính toàn vẹn.

Cụ thể, công ty an ninh mạng Israel đã phát hiện ra rằng một ứng dụng đáng tin cậy trên thiết bị Xiaomi có thể bị hạ cấp do thiếu quyền kiểm soát phiên bản, cho phép kẻ tấn công thay thế phiên bản mới hơn, an toàn hơn của ứng dụng bằng một biến thể cũ hơn, dễ bị tấn công.

"Do đó, kẻ tấn công có thể vượt qua các bản sửa lỗi bảo mật do Xiaomi hoặc MediaTek thực hiện trong các ứng dụng đáng tin cậy bằng cách hạ cấp chúng xuống các phiên bản chưa được vá"

Ngoài ra, một số lỗ hổng đã được xác định trong "thhadmin", một ứng dụng đáng tin cậy chịu trách nhiệm quản lý bảo mật, có thể bị một ứng dụng độc hại lạm dụng để làm rò rỉ các khóa được lưu trữ hoặc thực thi mã tùy ý trong ngữ cảnh của ứng dụng.

Một loạt lỗ hổng có thể cho phép giả mạo các gói thanh toán hoặc vô hiệu hóa hệ thống thanh toán trực tiếp từ một ứng dụng Android không có đặc quyền.

Các điểm yếu nhắm vào một ứng dụng đáng tin cậy do Xiaomi phát triển để triển khai các hoạt động mật mã liên quan đến dịch vụ có tên Tencent Soter, là một "tiêu chuẩn sinh trắc học" có chức năng như một khung thanh toán di động được nhúng để cho phép giao dịch trên các ứng dụng của bên thứ ba sử dụng WeChat và Alipay .

"Lỗ hổng hoàn toàn có thể xâm phạm nền tảng Tencent soter, cho phép người dùng trái phép ký các gói thanh toán giả mạo"

Xiaomi, đã giải quyết CVE-2020-14125 như một phần của bản cập nhật được phát hành vào ngày 6 tháng 6 năm 2022.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

3 lợi ích dịch vụ bảo mật được quản lý m...

06/02/2023 08:00:00 93
Nếu một doanh nghiệp chỉ phụ thuộc vào đội ngũ CNTT để xử lý toàn bộ các vấn đề liên quan đến bảo mậ...

Dịch vụ bảo mật được quản lý: Giải pháp ...

03/02/2023 08:00:00 79
Công ty an ninh mạng toàn cầu Kaspersky mới đây đã chia sẻ bối cảnh về Managed Security Service Prov...

Kaspersky Managed Security Services đạt ...

02/02/2023 08:00:00 82
Managed Security Services (MSS – Dịch vụ bảo mật được quản lý) toàn diện của Kaspersky vừa được công...

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 127
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 126
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

ChatGPT có thể giúp hacker lập trình ra ...

27/01/2023 12:00:00 92
Thay vì phải tốn công sức tìm kiếm thông tin trên các diễn đàn hay thư viện dành cho nhà phát triển ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ