Akıllı telefon üreticisi Xiaomi, pek çok cihazı etkileyen güvenlik açığıyla karşı karşıya geldi. Son zamanlarda önemli modelleri ile dikkat çeken şirketin mobil ödemesinde güvenlik açığı olduğu ortaya çıktı. Bu güvenlik açığı kullanıcıların paralarına mal olabilir. 

Güvenlik açığı bulundu

CPR siber güvenlik uzmanları bazı Xiaomi telefonlarında güvenlik açığı buldu
Mobil ödeme, günümüzde oldukça yaygın bir ödeme şekli. Kolaylık sağlaması bakımından çeşitli belirsizliği ve şüpheyi bir kenara bırakarak günlük olarak mobil ödeme gerçekleştiriyoruz. Ancak Check Point Research’ten (CPR) siber güvenlik uzmanları, bazı Xiaomi telefonlarında güvenlik açığı buldu.

Hedef: Ödeme yöntemleri

Uzmanlar, cihazların mobil ödeme mekanizmasında, tehdit aktörlerinin sahte ödemeleri imzalamak ve kullanıcıların parasını çalmak için bu açığı kullanıyor. Check Point Güvenlik Araştırmacısı Slava Makkaveev, konuyla ilgili açıklama yaptı. “Ödeme paketlerinin sahteciliğine veya ödeme sisteminin doğrudan devre dışı bırakılmasına, ayrıcalığı olmayan bir Android uygulamasından izin verebilecek bir dizi güvenlik açığı keşfettik.” dedi.

CPR’nin raporuna göre açık, şifreler ve güvenlik anahtarları gibi hassas bilgileri depolayan Xiaomi’nin Güvenilir Ortamı’nda ortaya çıktı. Bu açığa göre kullanıcıların parasını almanın iki yolu var. Bunlardan biri kötü amaçlı yazılım yüklemelerini sağlamak veya direkt cihazın kendisini incelemek.

Kod kullanılıyor

İlk saldırı türü, bir kullanıcının yüklediği kötü amaçlı bir Android uygulamasından gelir. Bu durumda, uygulama anahtarları alıp parayı çalmak için sahte bir ödeme paketi gönderir. İkinci saldırı yöntemi ise cihazın saldırgan tarafından fiziksel olarak ele geçirilmesini içeriyor. Fiziksel olarak ele geçirmesi mümkün değilse, cihazı rootlayabilir. Bunun yanı sıra güven ortamını düşürebilir. Ardından uygulama olmadan sahte bir ödeme paketi oluşturmak için kodunu kullanabiliyor.

Makkaveev, kusuru bulmasının ardından sorunu çözmek için Xiaomi’yi bilgilendirdi. “Bulgularımızı hemen bir düzeltme yapmak için hızlı bir şekilde çalışan Xiaomi’ye açıkladık.” Bunun ardından Xiaomi, güvenlik açıklarını anında düzeltti.