伊莉討論區

標題: [新訊]小米旗下紅米手機「這2款」驚爆行動支付漏洞！恐遭駭竊個資盜刷 [打印本頁]

作者: offman 時間: 2022-8-19 12:21 PM 標題: [新訊]小米旗下紅米手機「這2款」驚爆行動支付漏洞！恐遭駭竊個資盜刷

[attach]137545390[/attach]
使用小米手機的安卓用戶，可得要多加注意了！據國外資安業者 Check Point 發佈最新研究報告指出，中國手機品牌小米旗下的子品牌紅米，先前推出上市的眾多5G手機之中，有2款搭載聯發科處理器的機型，型號分別為：紅米Note 9T、紅米Note 11，售價均在萬元以內。由於這2款手機內建的行動支付安全機制，存有一個嚴重的漏洞，恐面臨遭駭入侵竊取個資與盜刷的資安風險中。

Check Point分析指出，該漏洞代號被命名為CVE-2020-14125。由於該漏洞主要是存在於手機出廠時，基於支援騰訊 Soter生物識別機制相關的加密技術，其中有一項是採用由第三方供應商提供的嵌入式行動支付框架，藉此讓第三方應用程式可取得透過微信支付、支付寶的交易授權。

若遭不肖駭客或網路犯罪份子利用開採入侵，不但可趁機竊取手機裝置上的機敏個資（如：加密金鑰、密碼、指紋等），甚至還可能發動2種不同攻擊模式，包括：開通支付功能趁機盜刷牟取不當獲利，以及透過植入未獲授權的第三方應用程式，製造虛假交易紀錄導致用戶無故損失金錢。

針對上述漏洞存在的安全風險疑慮，Check Point表示，雖然小米已於今年6月釋出的安全性更新版本中修復該漏洞，不過，小米官方修復的漏洞，僅能避免遭任意程式碼執行竊取私密金鑰的環節之一。要完全徹底根除該漏洞遭駭開採發動惡意攻擊，仍有待與小米合作的第三方供應商釋出的補丁版本。對此，小米官方則表示，目前第三方供應商已著手進行修復處理中，至於何時才會推送該漏洞的修補版本，暫時還未有確切的時程表資訊可提供。

（更新）8/15 小米台灣回應

針對上述漏洞問題，小米台灣於今（8/15）發出聲明回應表示，「造成該漏洞的原因已被鎖定，技術團隊正和供應鏈合作伙伴緊密合作、消除隱患，已啟動相關修復程序。另外，該漏洞僅存在於有限機型，且破解技術難度要求極高，不會存在廣泛影響，也未造成實質性的用戶損失。」

作者: trustno1 時間: 2022-8-21 09:48 AM

Kernel 是 Android 的宿命，Android 流鼻涕，小米就拉肚子了。

作者: gg548168 時間: 2022-8-22 01:45 AM

大陸品牌的手機~目前來說~資安堪慮~

不過~單價比X果便宜很多~>O<~

歡迎光臨伊莉討論區 (http://xn--www4-s52g.eyny.com/)