• Dragon Ball
  • Obey Me
  • How I Met Your Mother
  • Harry Potter
  • saint seiya
  • robot aspirapovere
  • truffe
  • phishing
Tech News, Magazine & Review WordPress Theme 2017
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
PlayTalk.it
No Result
View All Result
Home News

Smartphone Xiaomi con chip MediaTek vulnerabili ai pagamenti contraffatti

by
Dicembre 10, 2022
1
Smartphone Xiaomi con chip MediaTek vulnerabili ai pagamenti contraffatti
ADVERTISEMENT
Condividi su FacebookCondividi su TwitterCondividi su Telegram

Sono state individuate falle di sicurezza negli smartphone Xiaomi Redmi Note 9T e Redmi Note 11, che potrebbero essere sfruttate per disabilitare il meccanismo di pagamento mobile e persino falsificare transazioni tramite un’applicazione Android legittima installata sui telefoni.

Non si tratta, come abbiamo visto la volta scorsa, di applicazioni fasulle, ma di utilizzare una vulnerabilità sia hardware che software che permette di bypassare qualcosa di relativo ai pagamenti online.

Un vecchio chip della MediaTek

ADVERTISEMENT

Questi telefoni contengono dei chip MediaTek, dettagli che vedrai tra poco. Se non sai di cosa si tratta: è un’azienda taiwanese che produce semiconduttori e tra le altre cose anche chip (processori) per telefoni smartphone.

Xiaomi con chip MediaTek: cosa succede di preciso

Check Point, azienda di sicurezza informatica israeliana, ha dichiarato di aver trovato i difetti nei dispositivi che funzionano con chipset MediaTek durante un’analisi di sicurezza del Trusted Execution Environment (TEE) “Kinibi”, prodotto del produttore cinese di smartphone.

Banalizzando: un TEE si riferisce ad una sorta di “area sicura” del processore, nel quale vengono tenute “in cassaforte” e crittografate informazioni sensibili, qualcosa di simile al TPM (Trusted Platform Module) per Personal Computer, ma su telefoni.

In particolare, l’azienda israeliana di sicurezza informatica ha scoperto che un programma affidabile su un dispositivo Xiaomi può essere declassato dal controllo del chipset a causa della mancanza di controllo della versione, consentendo ad un utente malintenzionato di sostituire una versione più recente e sicura di un’applicazione con una variante più vecchia e vulnerabile.

ADVERTISEMENT

“[…]un utente malintenzionato può aggirare le correzioni di sicurezza apportate da Xiaomi o MediaTek tramite programmi affidabili affidabili eseguendo il downgrade a versioni senza patch [di sicurezza]“, ha affermato la ricercatrice di Check Point Slava Makkaveev in un rapporto condiviso con The Hacker News.

ADVERTISEMENT

In più, sono state identificate svariate vulnerabilità in “thhadmin”, un’applicazione sempre legittima, responsabile della gestione della sicurezza, che potrebbe essere utilizzata in modo improprio da altre applicazioni dannose per far trapelare chiavi di registro archiviate o per eseguire codice arbitrario (malware) all’interno dell’applicazione.

“Abbiamo scoperto una serie di vulnerabilità che potrebbero consentire la contraffazione di moduli di pagamento o la disabilitazione del sistema di pagamento direttamente da un’applicazione Android non privilegiata“, ha affermato Makkaveev sempre in una dichiarazione condivisa con The Hacker News.

I punti deboli prendono di mira un programma legittimo sviluppato da Xiaomi per implementare operazioni di crittografia relative a un servizio chiamato Tencent Soter, che è uno “standard biometrico” che funge da struttura di pagamento mobile incorporato per autorizzare transazioni su app di terze parti utilizzando WeChat e Alipay.

Ma una vulnerabilità di heap overflow su un programma affidabile potrebbe riuscire in un certo qual modo a bypassare la comunicazione tra programma e TEE nel processore.

Non è tutto. Concatenando il suddetto attacco di downgrade per sostituire l’applicazione attendibile con una versione precedente che conteneva una vulnerabilità di lettura “arbitraria” (nel senso che legge come malware codice legittimo), Check Point ha scoperto che era possibile estrarre le chiavi private utilizzate per firmare i pacchetti di pagamento.

“La vulnerabilità […] compromette completamente la piattaforma Tencent soter, consentendo a un utente non autorizzato di firmare pacchetti di pagamento falsi“, ha fatto notare la società Check Point.

Bisogna quindi preoccuparsi per il bug del chip MediaTek che si lega al problema delle applicazioni su Xiaomi?

Assolutamente no! Xiaomi, in seguito alla divulgazione responsabile, ha implementato le patch per affrontare CVE-2020-14125 il 6 giugno 2022. “Il problema del downgrade, che è stato confermato da Xiaomi appartenere a un fornitore di terze parti, è stato risolto“, Check Point aggiunto.

Pertanto il bug è già stato risolto, perlomeno a detta loro.

In caso tu dovessi notare che l’applicazione “torna indietro” a versioni precedenti ti basterà andare su PlayStore, controllare e aggiornare manualmente l’applicazione.

————-

Contenuto pubblicato su tech.icrewplay.com Read More

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ADVERTISEMENT
PlayTalk.it

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

  • Lavora con noi
  • Privacy Policy
  • Advertising
  • Contact

Seguici

No Result
View All Result
  • Ultime notizie
  • Videogiochi
  • Recensioni
  • Cinema
  • Sport
  • Anime
  • Libri
  • Tecnologia
  • Scienza

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Generated by Feedzy