Bazı Xiaomi telefonlarında keşfedilen bir açık, kullanıcıların hesaplarındaki paraları kaybetmelerine neden olabilir. Check Point Research'ten (CPR) siber güvenlik uzmanları, cihazların mobil ödeme mekanizmasında, kötü niyetli kişilerin sahte ödemeleri gerçekleştirmek ve esasen insanların parasını çalmak için kullanabilecekleri bir açık buldu.
Check Point Güvenlik Araştırmacısı Slava Makkaveev konuyla ilgili şu açıklamalarda bulundu:
"Bir Android uygulamasından ödeme paketlerinin sahtesinin yapılmasına veya ödeme sisteminin doğrudan devre dışı bırakılmasına izin verebilecek bir dizi güvenlik açığı keşfettik. WeChat Pay'i hacklemeyi başardık ve tamamen işe yarayan bir senaryoyu gerçekleştirebildik."
Siber Güvenlik Şirketi, Açığa Dair Xiaomi'yi Bilgilendirdi
CPR'nin raporuna göre açık, şifreler ve güvenlik anahtarları gibi hassas bilgileri depolayan ve yöneten bir araç olan Xiaomi'nin Güvenilir Ortam'ında bulundu. Bu açığı kullanarak insanların parasını çalmanın iki yolu vardı: kötü amaçlı yazılım yüklemelerini sağlamak veya cihazın kendisini ele geçirip kurcalamak.
İlk durumda, kötü amaçlı yazılım anahtarları devreye girer ve parayı çalmak için sahte ödeme paketleri gönderir. İkinci durumda ise saldırganın akıllı telefonunun ele geçirilmesi, güvenliğin düşürülmesi ve ardından uygulama olmadan sahte bir ödeme paketi oluşturmak için kodu çalıştırması gerekir. Her iki koşulda da bunlar Xiaomi'nin MediaTek işlemcili telefonlarında gerçekleştirilebiliyor.
Makkaveev, açığı bulduktan sonra sorunu çözmek için hızlı bir şekilde Xiaomi'yi bilgilendirdi. "Bulgularımızı hemen bir düzeltme yapmaları için hızlı bir şekilde Xiaomi'ye açıkladık." dedi.
YORUMLAR