Une faille découverte dans certains téléphones Xiaomi (ouvre un nouvel onglet) aurait pu coûter aux utilisateurs leur argent durement gagné.
Les experts en cybersécurité de Check Point Research (CPR) ont découvert une faille dans le mécanisme de paiement mobile des appareils, que les acteurs de la menace auraient pu utiliser pour signer de faux paiements, volant essentiellement l'argent des gens.
"Nous avons découvert un ensemble de vulnérabilités qui pourraient permettre la manipulation des paquets de paiement ou la désactivation du système de paiement directement à partir d'une application Android non privilégiée", a déclaré Slava Makkaveev, chercheur en sécurité chez Check Point. Nous avons pu pirater WeChat Pay et mettre en œuvre une preuve de concept entièrement fonctionnelle.
Selon le rapport du CPR, la faille a été découverte dans l'environnement de confiance de Xiaomi, un outil qui stocke et gère des informations sensibles telles que des mots de passe ou des clés de sécurité. Il y avait deux façons de voler l'argent des gens : en leur faisant installer des logiciels malveillants ou en volant et en modifiant l'appareil lui-même.
Résoudre les problèmes rapidement
Tout d'abord, le logiciel malveillant extrait les clés et envoie de faux paquets de paiement pour voler l'argent. Dans le second cas, l'attaquant devrait rooter le smartphone (s'ouvre dans un nouvel onglet), rétrograder l'environnement de confiance, puis exécuter le code pour créer un faux package de paiement sans application.
Cependant, dans les deux cas, le point de terminaison doit être exécuté sur des processeurs MediaTek.
Après avoir trouvé la faille, CPR a informé Xiaomi, qui semble avoir travaillé rapidement pour résoudre le problème : « Nous avons immédiatement divulgué nos découvertes à Xiaomi, qui a travaillé rapidement pour publier un correctif », a noté Makkaveev.
"Notre message au public est de toujours vous assurer que vos téléphones sont mis à jour avec la dernière version fournie par le fabricant. Si même les paiements mobiles ne sont pas sécurisés, qu'est-ce qui l'est ?"
Les systèmes de paiement mobile semblent être la prochaine grande frontière. Selon Fortune Business Insights, le marché devrait atteindre 11,83 billions de dollars d'ici 2028, avec un taux de croissance annuel composé de 29,1 %. Cela en fait également une cible majeure pour les cybercriminels, qui ciblent de plus en plus les systèmes de paiement, les portefeuilles de crypto-monnaie, etc.