სიაომის (Xiaomi) ზოგიერთ ტელეფონში აღმოაჩინეს ნაკლი, რომლის გამოც მომხმარებელს საკუთარი ანგარიშიდან თანხის დაკარგვა შეუძლია.

Check Point Research-ის (CPR) კიბერუსაფრთხოების ექსპერტმა შეცდომა მობილურის გადახდის მექანიზმში აღმოაჩინა, რომლის გამოყენებითაც სხვა ადამიანებს თქვენი ანგარიშიდან თანხის მოპარვა შეუძლიათ.

"ჩვენ აღმოვაჩინეთ რამდენიმე მოწყვლადობა, რომლითაც ანდროიდის აპლიკაციიდან შესაძლებელია გადახდის პაკეტის გაყალბება ან გადახდის სისტემის გათიშვა", — აღნიშნა სლავა მაკაევმა, კიბერუსაფრთხოების ექსპერტმა. "ჩვენ შევძელით WeChat Pay-ის გატეხვა და მასში კონცეპტის სრულიად გადამუშავებული მტკიცებულების ჩაშენება".

CPR-ს ანგარიშის მიხედვით, ნაკლოვანებები აღმოაჩინეს სიაომის Trusted Environment-ში, ფუნქციაში, რომელიც ინახავს და მართავს სენსიტიურ ინფორმაციას — პაროლებს, უსაფრთხოების გასაღებს და სხვა. ადამიანთა თანხის მოპარვის ორი გზა იყო: მათ მობილურში საზიანო პროგრამის გადმოწერა ან საკუთრივ მოწყობილობის მოპარვა და შეცვლა.

პირველ შემთხვევაში საზიანო პროგრამა იპარავს გასაღებს და გზავნის გადახდის ყალბ პაკეტებს, რათა თანხა მოიპაროს. მეორე შემთხვევაში კი აუცილებელია საკუთრივ მობილურის ხელში ჩაგდება, trust environment-ის ფუნქციის შემცირება, მწყობრიდან გამოყვანა და კოდის ჩაშვება, რათა აპლიკაციის გარეშე შეიქმნას გადახდის ყალბი პაკეტი.

ორივე შემთხვევაში ყველა ოპერაცია MediaTek პროცესორებზე ხდება.

ნაკლოვანებების აღმოჩენისთანავე CPR-მ ამის შესახებ სიაომის შეატყობინა და მათ სწრაფად დაიწყეს პრობლემაზე მუშაობა: "ჩვენ მაშინვე გავაგებინეთ სიაომის ამ მოწყვლადობების შესახებ და მათ დაიწყეს ამ პრობლემაზე მუშაობა", — აღნიშნა მაკაევმა.

"ჩვენი მიმართვა საზოგადოებისადმი შემდეგია — ყოველთვის დარწმუნდით, რომ თქვენი მობილური მწარმოებლის მიერ გამოშვებული ბოლო ვერსიით არის განახლებული. თუ მობილური გადახდის სისტემა არაა დაცული, მაშ რაა დაცული?"

მობილური გადახდა სულ უფრო გავრცელებული ხდება. Fortune Business Insights-ის მიხედვით, მისი ბაზარი 2028 წელს 11,83 ტრილიონ დოლარს მიაღწევს, მთლიანი წლიური ზრდის ტემპით 29,1%. ეს მობილური გადახდის სისტემას კიბერკრიმინალების მთავარ სამიზნედ ხდის, რომლებიც ბოლო პერიოდში თავს ესხმიან საგადასახადო სისტემას, კრიპტოვალუტის ელ. საფულესა და სხვა.