Une faille découverte sur certains téléphones Xiaomi (s’ouvre dans un nouvel onglet) aurait pu coûter aux utilisateurs leur argent durement gagné.
Les experts en cybersécurité de Check Point Research (CPR) ont découvert une faille dans le mécanisme de paiement mobile des appareils, que les acteurs de la menace auraient pu utiliser pour signer de faux paiements, volant essentiellement l’argent des gens.
« Nous avons découvert un ensemble de vulnérabilités qui pourraient permettre de falsifier des packages de paiement ou de désactiver le système de paiement directement, à partir d’une application Android non privilégiée », a commenté Slava Makkaveev, chercheur en sécurité chez Check Point. Nous avons pu pirater WeChat Pay et mettre en œuvre une preuve de concept entièrement fonctionnelle.
Selon le rapport du CPR, la faille a été découverte dans l’environnement de confiance de Xiaomi, un outil qui stocke et gère des informations sensibles, telles que des mots de passe ou des clés de sécurité. Il y avait deux façons de voler l’argent des gens : en leur faisant installer des logiciels malveillants ou en volant et en modifiant l’appareil lui-même.
Résoudre les problèmes rapidement
Dans un premier temps, le logiciel malveillant extrayait les clés et envoyait de faux paquets de paiement pour voler l’argent. Dans le deuxième cas, l’attaquant devrait rooter le smartphone (s’ouvre dans un nouvel onglet)rétrogradez l’environnement de confiance, puis exécutez le code pour créer un faux package de paiement sans application.
Dans les deux cas, cependant, le point de terminaison devrait être exécuté sur des processeurs MediaTek.
Après avoir trouvé la faille, CPR a notifié Xiaomi, qui semble avoir travaillé rapidement pour résoudre le problème : « Nous avons immédiatement divulgué nos découvertes à Xiaomi, qui a travaillé rapidement pour publier un correctif », a noté Makkaveev.
« Notre message au public est de s’assurer constamment que vos téléphones sont mis à jour avec la dernière version fournie par le fabricant. Si même les paiements mobiles ne sont pas sécurisés, alors qu’est-ce qui l’est ? »
Les systèmes de paiement mobile semblent être la prochaine grande frontière. Selon Fortune Business Insights, le marché devrait atteindre 11,83 billions de dollars en 2028, avec un taux de croissance annuel composé de 29,1 %. Cela en fait également une cible majeure pour les cybercriminels, qui ciblent de plus en plus les systèmes de paiement, les portefeuilles de crypto-monnaie, etc.