Các nhà nghiên cứu tại Check Point Research đã tiết lộ trong một báo cáo rằng lỗ hổng trên điện thoại thông minh Xiaomi có thể cho phép tin tặc chiếm quyền trong hệ thống thanh toán di động, vô hiệu hóa hoặc tạo và ký các giao dịch giả mạo.
Slava Makkaveev, nhà nghiên cứu bảo mật của Check Point cho biết: "Chúng tôi đã phát hiện ra một tập hợp các lỗ hổng có thể cho phép giả mạo các gói thanh toán hoặc vô hiệu hóa hệ thống thanh toán trực tiếp từ một ứng dụng Android không có đặc quyền".
Ông cho biết, nghiên cứu đánh dấu lần đầu tiên các ứng dụng đáng tin cậy của Xiaomi được Check Point xem xét về các vấn đề bảo mật. WeChat Pay là một dịch vụ ví điện tử và thanh toán di động được phát triển bởi một công ty cùng tên, có trụ sở tại Trung Quốc. Dịch vụ được sử dụng bởi hơn 300 triệu khách hàng và cho phép người dùng Android thực hiện thanh toán di động và giao dịch trực tuyến.
Không rõ lỗ hổng đã tồn tại trong bao lâu hoặc liệu nó có bị những kẻ tấn công khai thác trong tự nhiên hay không. Lỗ hổng, có tên CVE-2020-14125, đã được Xiaomi vá vào tháng 6 và có xếp hạng mức độ nghiêm trọng CVSS cao.
"Lỗ hổng từ chối dịch vụ tồn tại trong một số mẫu điện thoại của Xiaomi. Lỗ hổng này là hệ quả của việc đọc/ghi vượt quá giới hạn và có thể bị kẻ tấn công lợi dụng để từ chối dịch vụ", theo mô tả về lỗ hổng phổ biến và mô tả về lỗi của NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ).
Vấn đề cốt lõi với điện thoại Xiaomi là phương thức thanh toán qua điện thoại di động và thành phần môi trường thực thi tin cậy (TEE) của điện thoại. TEE là vùng mã hóa ảo của điện thoại Xiaomi, chịu trách nhiệm xử lý và lưu trữ thông tin bảo mật siêu nhạy cảm như dấu vân tay và các khóa mật mã được sử dụng trong việc ký kết các giao dịch.
"Nếu không được vá, kẻ tấn công có thể ký các gói thanh toán và kiểm soát WeChat Pay. Trường hợp tệ nhất, một ứng dụng Android không có đặc quyền có thể đã tạo và ký một gói thanh toán giả mạo," các nhà nghiên cứu cho biết./.
