部分小米手机存在严重安全漏洞

在一些小米手机中发现的一个缺陷(在新标签中打开)可能会让用户付出血汗钱。CheckPointResearch(CPR)的网络安全专家发现了这些设备的移动支付机制中的一个缺陷，攻击者可能会利用该漏洞签署虚假支付，从而窃取人们的钱财。

CheckPoint安全研究员SlavaMakkaveev评论说：“我们发现了一组漏洞，这些漏洞可能允许从非特权Android应用程序中伪造支付包或直接禁用支付系统。”我们能够侵入微信支付并实施了一个完整的概念验证。”

根据CPR的报告，该漏洞是在小米的可信环境中发现的，这是一种存储和管理敏感信息(如密码或安全密钥)的工具。窃取人们的现金有两种方法：让他们安装恶意软件，或者窃取和修补设备本身。

在第一种情况下，恶意软件会提取密​​钥，并发送伪造的支付包来窃取资金。在第二种情况下，攻击者需要root智能手机(在新标签中打开)，降级信任环境，然后运行代码来创建一个没有应用程序的假支付包。

然而，在这两种情况下，端点都需要在联发科处理器上运行。

在发现漏洞后，CPR通知了小米，小米似乎很快就解决了这个问题：“我们立即向小米披露了我们的发现，小米迅速发布了修复程序，”Makkaveev指出。

“我们向公众传达的信息是不断确保您的手机更新到制造商提供的最新版本。如果连移动支付都不安全，那又是什么?”

移动支付系统似乎是下一个大前沿。据《财富商业洞察》报道，预计2028年市场规模将达到11.83万亿美元，年复合增长率为29.1%。这也使其成为网络分子的主要目标，他们越来越多地瞄准支付系统、加密货币钱包等。