Suchen
Login
Anzeige:
Do, 29. September 2022, 22:33 Uhr

Xiaomi

WKN: A2JNY1 / ISIN: KYG9830T1067

Gefälschte Transaktionen möglich: Schwachstellen im mobilen Zahlungsmechanismus von Xiaomi


12.08.22 18:00
news aktuell

San Carlos, Kalifornien (ots) -

Check Point Research analysiert das in Xiaomi-Smartphones mit MediaTek-Chips integrierte Zahlungssystem

Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr beseitigen.

Laut den neuesten Statistiken (https://www.statista.com/statistics/1227576/mobile-wallet-transactions-worldwide/) entfielen 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß ist daher das Interesse der Hackern, sich Zugang oder sogar Kontrolle über virtuelle Zahlungswege zu verschaffen.

Xiaomi kann seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR stellte fest, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App "thhadmin", die für die Sicherheitsverwaltung zuständig ist. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.

Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.

Pressekontakt:

Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
Tel.: 089 74747058-0
info@kafka-kommunikation.de


Original-Content von: Check Point Software Technologies Ltd., übermittelt durch news aktuell

presseportal.de

 
28.09.22 , Aktiennews
Xiaomi Aktie: Aus und vorbei!
Der Kurs der Aktie Xiaomi steht am 28.09.2022, 13:50 Uhr an der heimatlichen Börse Hong Kong bei 9.69 HKD. Der Titel ...
28.09.22 , Aktiennews
Xiaomi Aktie: Darf das wirklich wahr sein?
Die vorliegende Analyse beschäftigt sich mit der Aktie Xiaomi, die im Segment "Technologie Hardware und Ausrüstung" ...
28.09.22 , Aktiennews
Xiaomi Aktie: Wann kommt endlich die Wende?
Die vorliegende Analyse beschäftigt sich mit der Aktie Xiaomi, die im Segment "Technologie Hardware und Ausrüstung" ...