گوشی‌های شیائومی با تراشه‌های مدیاتک در برابر پرداخت‌های جعلی آسیب پذیر هستند

یک سری نقوص امنیتی که در مدل‌های ردمی نوت ۹ تی و ردمی نوت ۱۱ شیائومی شناسایی شده‌اند، نشان می‌دهند که این موارد می‌توانند برای غیرفعال کردن مکانیسم پرداخت تلفن همراه و حتی جعل تراکنش‌ها از طریق یک برنامه اندرویدی نصب شده روی دستگاه‌ها مورد سو استفاده قرار گیرند. چک پوینت اعلام کرده است که نقوصی که در دستگاه‌های مجهز به تراشه‌های مدیاتک در خلال تجزیه و تحلیل امنیتی پیدا شده‌اند، می‌توانند مشکلاتی را در انجام امضاهای مربوط به پرداخت تلفن همراه ایجاد کنند. می‌دانیم که این تجزیه و تحلیل‌ها در حوزه TEE انجام شده است.

TEE به یک محفظه امن در داخل پردازنده اصلی اشاره دارد که در هنگام خرید گوشی شیائومی برای پردازش ذخیره اطلاعات حساس مانند کلیدهای رمزنگاری به‌منظور اطمینان از محرمانه بودن و یکپارچگی استفاده می‌شود. به‌طور خاص، شرکت امنیت سایبری اسرائیلی این‌طور کشف کرده است که یک برنامه قابل اعتماد در یک دستگاه شیائومی را می‌توان به دلیل عدم کنترل روی نسخه سیستم‌عامل، داون‌گرید کرده و مهاجم به واسطه این امکان می‌تواند نسخه‌ جدیدتر و ایمن یک برنامه را با نسخه آسیب پذیرتر و قدیمی جایگزین کند. این شیوه بسیار ساده در مورد برنامه‌های دیگر هنگام خرید گوشی شیائومی هم می‌تواند رخ دهد.

خرید گوشی شیائومی و امنیت آن‌ها

یک محقق از سایت چک‌پوینت در گزارشی که با عنوان The Hacker News به اشتراک گذاشته شده است، می‌گوید: «بنابراین، یک مهاجم می‌تواند اصلاحات امنیتی ایجاد شده توسط شیائومی یا مدیاتک را در برنامه‌های مورد اعتماد با کمک داون‌گرید کردن آن‌ها به نسخه‌هایی که پچ‌های امنیتی ندارند، دور بزند». گفتنی است که این موضوع ممکن است که در هنگام خرید گوشی هواوی و برخی از نسخه‌های سیستم‌عامل اندروید هم وجود داشته باشد. علاوه بر این، چندین مشکل آسیب پذیری در بخش thhadmin هم شناسایی شده است که یک برنامه قابل اعتماد که مسئولیت مدیریت امنیت را برعهده دارد، آن را ایجاد می‌کند.

به واسطه این مورد، یک برنامه مخرب برای افشای کلیدهای ذخیره شده یا اجرای کدهای دلخواه در زمینه برنامه مورد سوء استفاده قرار می‌گیرد. آقای Makkaveev در بیانیه‌ای که به اشتراک گذاشته است، می‌گوید: «ما مجموعه‌ای از آسیب‌ها را کشف کرده‌ایم که می‌توانند بسته‌های پرداخت را جعل کنند یا سیستم پرداخت را مستقیما از یک برنامه اندرویدی غیرمجاز غیرفعال سازند». از قبل هم چنین مشکلاتی در هنگام خرید گوشی سامسونگ و سایر گوشی‌های اندرویدی وجود داشته است و این اولین باری نیست که چنین رخنه‌های امنیتی رخ داده و باعث بروز مشکلات زیادی می‌شوند.

رخنه‌های امنیتی شایع

هدف چنین مواردی، پیدا کرده برنامه‌های قابل اعتماد و سپس داون‌گرید کردن آن‌ها برای یافتن یک رخنه امنیتی است که توسط شیائومی برای اجرای عملیات رمزنگاری مرتبط با سرویسی به‌نام Tencent Soter ساخته شده است. این سیستم‌ به‌عنوان یک استاندارد بیومتریک شناخته می‌شود که به‌عنوان یک چارچوب پرداخت تلفن همراه جاسازی شده برای مجاز کردن تراکنش‌های برنامه‌هاس سوم شخص با استفاده از WeChat و Alipay عمل می‌کند. البته یک آسیب پذیری پشته هم داریم که در برنامه‌های مورد اعتماد Soter رخ می‌دهد. این بدان معنی است که می‌تواند برای ایجاد انکار سرویس توسط یک برنامه اندروید که مجوز برقراری ارتباط مستقیم با TEE را ندارد، مورد سو استفاده قرار گیرد.

این همه ماجرا نیست. چک پوینت با زنجیره‌ای کردن حمله داون گرید کردن نسخه، رتبه فوق‌الذکر را برای جایگزینی برنامه مورد اعتماد Soter به نسخه قدیمی‌تری که حاوی یک رخنه امنیتی دلخواه بود را پیدا کرده و متوجه شد که امکان استخراج کلیدهای خصوصی مورد استفاده برای امضای بسته‌های پرداخت هم وجود دارد. این شرکت خاطرنشان کرده است که «رخنه امنیتی پلتفرم Tencent Soter را کاملا به خطر می‌اندازد و به کاربر غیر مجاز اجازه خواهد داد که بسته‌های پرداخت جعلی را امضا کند». شیائومی پس از افشای این موارد، کد CVE-2020-14125 را به‌عنوان بخشی از آپدیت‌های منتشر شده در تاریخ ۶ ژوئن ۲۰۲۲ مورد بررسی قرار داده و چک پوینت هم به این موضوع اشاره کرده است.

امنیت بالا با خرید گوشی سامسونگ

یکی از برندهای بسیار معتبری که اقدام به توجه به امنیت گوشی‌های هوشمند خود می‌کند، سامسونگ است. با خرید گوشی سامسونگ در سری‌های مختلف، این اطمینان را خواهید داشت که بهترین رابط کاربری بر پایه اندروید یعنی One UI را در اختیار خواهید داشت که نسخه به نسخه روی امنیت و پچ‌های امنیتی کار کرده و همه گوشی‌های سامسونگ هم حداقل ۵ الی ۶ سال متوالی پچ‌های امنیتی را روی این رابط کاربری دریافت می‌کنند. همین موارد هنگام خرید گوشی هواوی هم بهتر از گوشی شیائومی فراهم شده است و می‌توانید بیشتر به آن اعتماد داشته باشید.

با خرید گوشی سامسونگ سری A که اخیرا به‌عنوان رقیبی برای گوشی‌های ارزان قیمت شیائومی روانه بازار شده است، دیگر نیازی به متوسل شدن به شیائومی جهت خرید گوشی ارزان قیمت نخواهید داشت. کافی است که خرید گوشی سامسونگ یا خرید گوشی شیائومی را در برنامه خود قرار داده و یک خرید ایده آل را برای خود داشته باشید. فراموش نکنید که گوشی‌های هواوی هم پچ‌های امنیتی را در کنار نسخه اصلی اندروید دریافت می‌کنند و مشکلی از این بابت نخواهید داشت.

خرید گوشی هواوی و برندهای دیگر از مقداد آی تی

فروشگاه مقداد آی تی یکی از بهترین سایت‌هایی است که می‌توانید به‌عنوان یک مرجع برای بررسی قیمت گوشی هوشمند استفاده کرده و خریدی آسان داشته باشید. هنگام خرید گوشی شیائومی و برندهای دیگر، کافی است که از توضیحات محصولات در کنار امکان مقایسه و بررسی هر کدام از آن‌ها استفاده کرده و در نهایت گزینه‌ای که بیشترین تناسب را با نیاز و بودجه شما را دارد، خریداری کنید. برای خرید گوشی هواوی هم می‌توانید به سراغ مدل‌های پرچم‌دار رفته یا اینکه از بین گوشی‌های ارزشمند و ارزان‌تر سری Nova انتخاب کنید.

مقداد آی تی فروشگاهی است که گارانتی‌های معتبری را برای گوشی‌های هوشمند عرضه شده ارائه می‌کند و خریدی مطمئن و حساب شده را می‌توانید تجربه کنید. بیاد داشته باشید که خرید گوشی سامسونگ در سری‌های پرطرفدار گلکسی اس و گلکسی A یکی از بهترین انتخاب‌های شما بوده و با بودجه‌ای مناسب می‌توانید صاحب بهترین گوشی‌های اندرویدی باشید. کافی است که به مقداد آی تی اعتماد کرده و کالای مدنظر خود را در سریع‌ترین زمان ممکن دریافت کنید.