Akıllı telefon üreticisi Xiaomi, pek çok aygıtı etkileyen güvenlik açığıyla karşı karşıya geldi. Son vakitlerde kıymetli modelleri ile dikkat çeken şirketin taşınabilir ödemesinde güvenlik açığı olduğu ortaya çıktı. Bu güvenlik açığı kullanıcıların paralarına mal olabilir.
Güvenlik açığı bulundu
CPR siber güvenlik uzmanları birtakım Xiaomi telefonlarında güvenlik açığı buldu
Mobil ödeme, günümüzde epey yaygın bir ödeme biçimi. Kolaylık sağlaması bakımından çeşitli meçhullüğü ve kuşkuyu bir kenara bırakarak günlük olarak taşınabilir ödeme gerçekleştiriyoruz. Lakin Check Point Research’ten (CPR) siber güvenlik uzmanları, birtakım Xiaomi telefonlarında güvenlik açığı buldu.
Hedef: Ödeme yöntemleri
Uzmanlar, aygıtların taşınabilir ödeme sisteminde, tehdit aktörlerinin geçersiz ödemeleri imzalamak ve kullanıcıların parasını çalmak için bu açığı kullanıyor. Check Point Güvenlik Araştırmacısı Slava Makkaveev, hususla ilgili açıklama yaptı. “Ödeme paketlerinin sahteciliğine yahut ödeme sisteminin direkt devre dışı bırakılmasına, ayrıcalığı olmayan bir Android uygulamasından müsaade verebilecek bir dizi güvenlik açığı keşfettik.” dedi.
CPR’nin raporuna nazaran açık, şifreler ve güvenlik anahtarları üzere hassas bilgileri depolayan Xiaomi’nin Emniyetli Ortamı’nda ortaya çıktı. Bu açığa nazaran kullanıcıların parasını almanın iki yolu var. Bunlardan biri makûs emelli yazılım yüklemelerini sağlamak yahut direkt aygıtın kendisini incelemek.
Kod kullanılıyor
İlk akın tipi, bir kullanıcının yüklediği makus maksatlı bir Android uygulamasından gelir. Bu durumda, uygulama anahtarları alıp parayı çalmak için uydurma bir ödeme paketi gönderir. İkinci akın sistemi ise aygıtın saldırgan tarafından fizikî olarak ele geçirilmesini içeriyor. Fizikî olarak ele geçirmesi mümkün değilse, aygıtı rootlayabilir. Bunun yanı sıra inanç ortamını düşürebilir. Akabinde uygulama olmadan geçersiz bir ödeme paketi oluşturmak için kodunu kullanabiliyor.
Makkaveev, kusuru bulmasının akabinde sorunu çözmek için Xiaomi’yi bilgilendirdi. “Bulgularımızı çabucak bir düzeltme yapmak için süratli bir formda çalışan Xiaomi’ye açıkladık.” Bunun akabinde Xiaomi, güvenlik açıklarını anında düzeltti.
Akıllı telefon üreticisi Xiaomi, pek çok aygıtı etkileyen güvenlik açığıyla karşı karşıya geldi. Son vakitlerde kıymetli modelleri ile dikkat çeken şirketin taşınabilir ödemesinde güvenlik açığı olduğu ortaya çıktı. Bu güvenlik açığı kullanıcıların paralarına mal olabilir.
Güvenlik açığı bulundu
CPR siber güvenlik uzmanları birtakım Xiaomi telefonlarında güvenlik açığı buldu
Mobil ödeme, günümüzde epey yaygın bir ödeme biçimi. Kolaylık sağlaması bakımından çeşitli meçhullüğü ve kuşkuyu bir kenara bırakarak günlük olarak taşınabilir ödeme gerçekleştiriyoruz. Lakin Check Point Research’ten (CPR) siber güvenlik uzmanları, birtakım Xiaomi telefonlarında güvenlik açığı buldu.
Hedef: Ödeme yöntemleri
Uzmanlar, aygıtların taşınabilir ödeme sisteminde, tehdit aktörlerinin geçersiz ödemeleri imzalamak ve kullanıcıların parasını çalmak için bu açığı kullanıyor. Check Point Güvenlik Araştırmacısı Slava Makkaveev, hususla ilgili açıklama yaptı. “Ödeme paketlerinin sahteciliğine yahut ödeme sisteminin direkt devre dışı bırakılmasına, ayrıcalığı olmayan bir Android uygulamasından müsaade verebilecek bir dizi güvenlik açığı keşfettik.” dedi.
CPR’nin raporuna nazaran açık, şifreler ve güvenlik anahtarları üzere hassas bilgileri depolayan Xiaomi’nin Emniyetli Ortamı’nda ortaya çıktı. Bu açığa nazaran kullanıcıların parasını almanın iki yolu var. Bunlardan biri makûs emelli yazılım yüklemelerini sağlamak yahut direkt aygıtın kendisini incelemek.
Kod kullanılıyor
İlk akın tipi, bir kullanıcının yüklediği makus maksatlı bir Android uygulamasından gelir. Bu durumda, uygulama anahtarları alıp parayı çalmak için uydurma bir ödeme paketi gönderir. İkinci akın sistemi ise aygıtın saldırgan tarafından fizikî olarak ele geçirilmesini içeriyor. Fizikî olarak ele geçirmesi mümkün değilse, aygıtı rootlayabilir. Bunun yanı sıra inanç ortamını düşürebilir. Akabinde uygulama olmadan geçersiz bir ödeme paketi oluşturmak için kodunu kullanabiliyor.
Makkaveev, kusuru bulmasının akabinde sorunu çözmek için Xiaomi’yi bilgilendirdi. “Bulgularımızı çabucak bir düzeltme yapmak için süratli bir formda çalışan Xiaomi’ye açıkladık.” Bunun akabinde Xiaomi, güvenlik açıklarını anında düzeltti.
