चेक प्वाइंट रिसर्च (सीपीआर) ने कहा कि वैश्विक स्मार्टफोन कंपनी श्याओमी ने साइबर सुरक्षा शोधकर्ताओं द्वारा अपने मोबाइल भुगतान तंत्र में पहचाने गए कुछ बगों को ठीक किया है।
अप्रकाशित छोड़ दिया गया, एक हमलावर वीचैट पे नियंत्रण और भुगतान पैकेज पर हस्ताक्षर करने के लिए उपयोग की जाने वाली निजी चाबियों को चुरा सकता था, और एक अनपेक्षित एंड्रॉइड ऐप नकली भुगतान पैकेज बना और हस्ताक्षर कर सकता था।
अंबाला में 3 दोस्तों की मौत: अंबाला-चंडीगढ़ नेशनल हाइवे पर हुआ हादसा; तीनों ने तोड़ा दम
साइबर-सुरक्षा शोधकर्ताओं ने Xiaomi को अपने निष्कर्षों का खुलासा किया, जिसने बग के लिए तत्काल सुधार को स्वीकार किया और जारी किया।
चेक प्वाइंट के सुरक्षा शोधकर्ता स्लाव मक्कावीव ने कहा, “हमने कमजोरियों का एक सेट खोजा है जो भुगतान पैकेजों को बनाने या भुगतान प्रणाली को सीधे अक्षम करने की अनुमति दे सकता है।”
अगर पैच न किया जाए तो 1 बिलियन से अधिक उपयोगकर्ता बग से प्रभावित हो सकते थे।
“हम वीचैट पे में हैक करने में सक्षम थे और अवधारणा के पूरी तरह से काम किए गए सबूत को लागू किया। हमारे अध्ययन में पहली बार सुरक्षा मुद्दों के लिए Xiaomi के विश्वसनीय अनुप्रयोगों की समीक्षा की जा रही है, ”मक्कावीव ने कहा।
साइबर-सुरक्षा कंपनी ने तुरंत Xiaomi को निष्कर्षों का खुलासा किया, जिसने “एक फिक्स जारी करने के लिए तेजी से काम किया”।
सीपीआर द्वारा अध्ययन किए गए उपकरण मीडियाटेक चिप्स द्वारा संचालित थे।
टीम ने विश्वसनीय कोड पर हमला करने के दो तरीके बताए।
“सबसे पहले, एक अनपेक्षित एंड्रॉइड ऐप से, जहां उपयोगकर्ता एक दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करता है और इसे लॉन्च करता है। ऐप चाबियां निकालता है और पैसे चुराने के लिए एक नकली भुगतान पैकेट भेजता है, ”सीपीआर टीम ने कहा।
दूसरा, अगर हमलावर के हाथों में लक्ष्य उपकरण हैं।
“हमलावर डिवाइस को जड़ देता है, फिर विश्वास के माहौल को डाउनग्रेड करता है, और फिर बिना किसी एप्लिकेशन के नकली भुगतान पैकेज बनाने के लिए कोड चलाता है,” यह जोड़ा।
.