Säkerhetshål i Xiaomis mobiler

Säkerhetsföretaget Check Point Research (CPR) går ut med att man har upptäckt sårbarheter i Xiaomis mobila betalningsfunktion WeChat Pay som potentiellt gjort det möjligt för hackare att stjäla privata inloggningsuppgifter. Dessa hade i kunnat leda till att falska betalningar hade kunnat genomföras från den angripna enheten. Sårbarheten hittades i Xiaomis Trusted Environment vilken används för att lagra och hantera känslig information som säkerhetsnycklar och lösenord.

Check Point Research upptäckte inte mindre än två olika sätt att hacka programkoden. Den ena kräver att hackaren har tillgång till enheten, och kan då koppla upp sig mot den och sänka säkerhetsmiljön för att sedan köra programkod för att skapa en falsk betalning. Den andra var att locka användaren att installera och starta en oprivilegierad applikation som då kan plocka ut sparade nycklar och skickar en falsk betalning i syfte att stjäla pengar.

Point Research har varit i kontakt med Xiaomi som har erkänt sårbarheten och även vidtagit åtgärder för att lösa problemet. Se därför till att alltid hålla mobilens firmware uppdaterad.