Tietoturvayritys Check Point Softwaren tutkimusyksikkö on löytänyt haavoittuvuuksia Xiaomin mobiilimaksumekanismissa. Jos aukot jätetään paikkaamatta, hyökkääjä voi varastaa yksityisiä avaimia, joita käytetään Wechat Pay -hallinta- ja maksupakettien allekirjoittamiseen.
Kyse on suuren luokan ongelmasta, sillä haavoittuvuudet löytyivät Xiaomin Trusted Environmentista (TEE), jossa kaikki korkean tietoturvatason prosessit toimivat. Ongelma olisi voinut vaikuttaa yli miljardiin käyttäjään. Xiaomi on nyt korjannut virheet.
CPR:n tutkimat Xiaomin puhelimet on varustettu MediaTekin sovellusprosessoreilla. CPR löysi kaksi tapaa hyökätä luotettua koodia vastaan. Ensimmäisessä menetelmässä käyttäjä asentaa haitallisen sovelluksen ja käynnistää sen. Sovellus poimii avaimet ja lähettää väärennetyn maksupaketin rahan varastamiseksi.
Toisessa menetelmässä rikollisella pitää olla kohdelaite hallussaan. Hyökkääjä asentaa laitteeseen pääkäyttäjän eli ns. root-tason oikeudet, jonka jälkeen koodi voidaan ajaa väärennetyn maksupaketin luomiseksi ilman sovellusta.
CPR kertoo ilmoittaneensa havainnoistaan Xiaomille, joka työskenteli nopeasti korjatakseen ongelman.