یک سری نقوص امنیتی که در مدلهای ردمی نوت ۹ تی و ردمی نوت ۱۱ شیائومی شناسایی شدهاند، نشان میدهند که این موارد میتوانند برای غیرفعال کردن مکانیسم پرداخت تلفن همراه و حتی جعل تراکنشها از طریق یک برنامه اندرویدی نصب شده روی دستگاهها مورد سو استفاده قرار گیرند. چک پوینت اعلام کرده است که نقوصی که در دستگاههای مجهز به تراشههای مدیاتک در خلال تجزیه و تحلیل امنیتی پیدا شدهاند، میتوانند مشکلاتی را در انجام امضاهای مربوط به پرداخت تلفن همراه ایجاد کنند. میدانیم که این تجزیه و تحلیلها در حوزه TEE انجام شده است.
TEE به یک محفظه امن در داخل پردازنده اصلی اشاره دارد که در هنگام خرید گوشی شیائومی برای پردازش ذخیره اطلاعات حساس مانند کلیدهای رمزنگاری بهمنظور اطمینان از محرمانه بودن و یکپارچگی استفاده میشود. بهطور خاص، شرکت امنیت سایبری اسرائیلی اینطور کشف کرده است که یک برنامه قابل اعتماد در یک دستگاه شیائومی را میتوان به دلیل عدم کنترل روی نسخه سیستمعامل، داونگرید کرده و مهاجم به واسطه این امکان میتواند نسخه جدیدتر و ایمن یک برنامه را با نسخه آسیب پذیرتر و قدیمی جایگزین کند. این شیوه بسیار ساده در مورد برنامههای دیگر هنگام خرید گوشی شیائومی هم میتواند رخ دهد.
یک محقق از سایت چکپوینت در گزارشی که با عنوان The Hacker News به اشتراک گذاشته شده است، میگوید: «بنابراین، یک مهاجم میتواند اصلاحات امنیتی ایجاد شده توسط شیائومی یا مدیاتک را در برنامههای مورد اعتماد با کمک داونگرید کردن آنها به نسخههایی که پچهای امنیتی ندارند، دور بزند». گفتنی است که این موضوع ممکن است که در هنگام خرید گوشی هواوی و برخی از نسخههای سیستمعامل اندروید هم وجود داشته باشد. علاوه بر این، چندین مشکل آسیب پذیری در بخش thhadmin هم شناسایی شده است که یک برنامه قابل اعتماد که مسئولیت مدیریت امنیت را برعهده دارد، آن را ایجاد میکند.
به واسطه این مورد، یک برنامه مخرب برای افشای کلیدهای ذخیره شده یا اجرای کدهای دلخواه در زمینه برنامه مورد سوء استفاده قرار میگیرد. آقای Makkaveev در بیانیهای که به اشتراک گذاشته است، میگوید: «ما مجموعهای از آسیبها را کشف کردهایم که میتوانند بستههای پرداخت را جعل کنند یا سیستم پرداخت را مستقیما از یک برنامه اندرویدی غیرمجاز غیرفعال سازند». از قبل هم چنین مشکلاتی در هنگام خرید گوشی سامسونگ و سایر گوشیهای اندرویدی وجود داشته است و این اولین باری نیست که چنین رخنههای امنیتی رخ داده و باعث بروز مشکلات زیادی میشوند.
هدف چنین مواردی، پیدا کرده برنامههای قابل اعتماد و سپس داونگرید کردن آنها برای یافتن یک رخنه امنیتی است که توسط شیائومی برای اجرای عملیات رمزنگاری مرتبط با سرویسی بهنام Tencent Soter ساخته شده است. این سیستم بهعنوان یک استاندارد بیومتریک شناخته میشود که بهعنوان یک چارچوب پرداخت تلفن همراه جاسازی شده برای مجاز کردن تراکنشهای برنامههاس سوم شخص با استفاده از WeChat و Alipay عمل میکند. البته یک آسیب پذیری پشته هم داریم که در برنامههای مورد اعتماد Soter رخ میدهد. این بدان معنی است که میتواند برای ایجاد انکار سرویس توسط یک برنامه اندروید که مجوز برقراری ارتباط مستقیم با TEE را ندارد، مورد سو استفاده قرار گیرد.
این همه ماجرا نیست. چک پوینت با زنجیرهای کردن حمله داون گرید کردن نسخه، رتبه فوقالذکر را برای جایگزینی برنامه مورد اعتماد Soter به نسخه قدیمیتری که حاوی یک رخنه امنیتی دلخواه بود را پیدا کرده و متوجه شد که امکان استخراج کلیدهای خصوصی مورد استفاده برای امضای بستههای پرداخت هم وجود دارد. این شرکت خاطرنشان کرده است که «رخنه امنیتی پلتفرم Tencent Soter را کاملا به خطر میاندازد و به کاربر غیر مجاز اجازه خواهد داد که بستههای پرداخت جعلی را امضا کند». شیائومی پس از افشای این موارد، کد CVE-2020-14125 را بهعنوان بخشی از آپدیتهای منتشر شده در تاریخ ۶ ژوئن ۲۰۲۲ مورد بررسی قرار داده و چک پوینت هم به این موضوع اشاره کرده است.
یکی از برندهای بسیار معتبری که اقدام به توجه به امنیت گوشیهای هوشمند خود میکند، سامسونگ است. با خرید گوشی سامسونگ در سریهای مختلف، این اطمینان را خواهید داشت که بهترین رابط کاربری بر پایه اندروید یعنی One UI را در اختیار خواهید داشت که نسخه به نسخه روی امنیت و پچهای امنیتی کار کرده و همه گوشیهای سامسونگ هم حداقل ۵ الی ۶ سال متوالی پچهای امنیتی را روی این رابط کاربری دریافت میکنند. همین موارد هنگام خرید گوشی هواوی هم بهتر از گوشی شیائومی فراهم شده است و میتوانید بیشتر به آن اعتماد داشته باشید.
با خرید گوشی سامسونگ سری A که اخیرا بهعنوان رقیبی برای گوشیهای ارزان قیمت شیائومی روانه بازار شده است، دیگر نیازی به متوسل شدن به شیائومی جهت خرید گوشی ارزان قیمت نخواهید داشت. کافی است که خرید گوشی سامسونگ یا خرید گوشی شیائومی را در برنامه خود قرار داده و یک خرید ایده آل را برای خود داشته باشید. فراموش نکنید که گوشیهای هواوی هم پچهای امنیتی را در کنار نسخه اصلی اندروید دریافت میکنند و مشکلی از این بابت نخواهید داشت.
فروشگاه مقداد آی تی یکی از بهترین سایتهایی است که میتوانید بهعنوان یک مرجع برای بررسی قیمت گوشی هوشمند استفاده کرده و خریدی آسان داشته باشید. هنگام خرید گوشی شیائومی و برندهای دیگر، کافی است که از توضیحات محصولات در کنار امکان مقایسه و بررسی هر کدام از آنها استفاده کرده و در نهایت گزینهای که بیشترین تناسب را با نیاز و بودجه شما را دارد، خریداری کنید. برای خرید گوشی هواوی هم میتوانید به سراغ مدلهای پرچمدار رفته یا اینکه از بین گوشیهای ارزشمند و ارزانتر سری Nova انتخاب کنید.
مقداد آی تی فروشگاهی است که گارانتیهای معتبری را برای گوشیهای هوشمند عرضه شده ارائه میکند و خریدی مطمئن و حساب شده را میتوانید تجربه کنید. بیاد داشته باشید که خرید گوشی سامسونگ در سریهای پرطرفدار گلکسی اس و گلکسی A یکی از بهترین انتخابهای شما بوده و با بودجهای مناسب میتوانید صاحب بهترین گوشیهای اندرویدی باشید. کافی است که به مقداد آی تی اعتماد کرده و کالای مدنظر خود را در سریعترین زمان ممکن دریافت کنید.
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
یک کارشناس روابط بینالملل در گفتگو با جامجمآنلاین مطرح کرد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد