Xiaomi’nin mobil ödemesindeki güvenlik açıkları, bir saldırganın Çin sosyal medyası Wechat Pay kontrol ve ödeme paketlerini imzalamak için kullanılan özel anahtarları çalmasına neden olabilir.
Kusurlar, Xiaomi’nin parolalar ve anahtarlar gibi hassas bilgilerin depolanmasından ve yönetilmesinden sorumlu sistem öğesi olan güvenilir yürütme ortamında (TEE) Check Point Research (CPR) tarafından bulundu.
Check Point güvenlik araştırmacısı Slava Makkaveev, “Ödeme paketlerinin sahteciliğine veya ayrıcalıksız bir Android uygulamasından ödeme sisteminin doğrudan devre dışı bırakılmasına izin verebilecek bir dizi güvenlik açığı keşfettik” dedi.
CPR tarafından yürütülen Xiaomi cihazları çalışmaları, MediaTek yongaları tarafından desteklendi ve daha önce bahsedilen güvenlik açığını hedef alan iki farklı saldırı türüne açık bulundu.
İlk saldırı türü, bir kullanıcı tarafından yüklenen ve başlatılan ayrıcalıksız bir kötü amaçlı Android uygulamasından gelir. Bu durumda, uygulama anahtarları alıp parayı çalmak için sahte bir ödeme paketi gönderebilir.
İkinci saldırı yöntemi, cihazın saldırgan tarafından fiziksel olarak ele geçirilmesini içeriyordu. Fiziksel cihaz elde edilmişse, cihazı rootlayabilir, güven ortamını düşürebilir ve ardından uygulama olmadan sahte bir ödeme paketi oluşturmak için kodu çalıştırabilirler.
Makkaveev şöyle devam etti: “WeChat Pay’e girmeyi başardık ve tamamen işe yaramış bir kavram kanıtı uyguladık. Çalışmamız, Xiaomi’nin güvenilir uygulamalarının güvenlik sorunları açısından ilk kez incelendiğini gösteriyor.”
Xiaomi, CPR tarafından ifşa edildikten sonra güvenlik açıklarını derhal düzeltti.
“Kamuya mesajımız, telefonlarınızın üretici tarafından sağlanan en son sürüme sürekli olarak güncellendiğinden emin olmaktır. Mobil ödemeler bile güvenli değilse, nedir?”