Yəqin ki, bir çox Xiaomi istifadəçisi smartfonlarında MIUI əsaslı əməliyyat sistemindən qaynaqlanan xətalarla qarşılaşıb. Həmin xətalar çox vaxt gözlə görüldüyü üçün yalnız istifadəçi təcrübəsinə təsir edir. Proqram təminatının “görünməyən tərəfində” olan xətalar isə daha böyük problemlərə səbəb olur. Check Point Research şirkətinin kiber təhlükəsizlik mütəxəssisləri tərəfindən aparılan araşdırmalar Xiaomi smartfonlarında ciddi təhlükəsizlik boşluğunu ortaya çıxarıb.
Aşkarlanan təhlükəsizlik boşluğu Mediatek əsaslı Xiaomi smartfonlarında müşahidə olunub
Araşdırmanın baş mütəxəssisi olan Slava Makkaveev bildirir ki, cihazlardakı problem onlayn ödəmə üsulları ilə əlaqəli olduğundan çox əhəmiyyətlidir. Təhlükəsizlik boşluğu smartfonun TEE adlandırılan(Hardware Trusted Environment “platformasının” parçası) Android əməliyyat sistemindən əlaqəsiz təhlükəsizlik mühitində aşkarlanıb. Hansı ki, bu bölmə ən sadə formada əsas əməliyyat sistemi ilə bağlantının yaradıldığı data, qaynaq, şifrələrə giriş icazəsini təmin edir.
Smartfona hücum edən şəxs iki üsulla cihaza daxil olub bu boşluqdan istifadə edə bilər. İlk üsul tanınmamış və ya üçüncü tərəf zərərli tətbiqlərin köməkliyi ilə smartfona daxil olmaqdır. İkinci üsul isə smartfonu fiziki olaraq ələ keçirilməsini tələb edir və bir qədər çətindir.
Hər iki üsulun sonunda cihazınızda saxta ödəniş tələbi yaradılır və təhlükəsiz ödəniş sistemləri qapadılır. Hücum edən şəxs, smartfonda yaratdığı saxta ödəniş tələbinə uyğun olaraq hesabınızdan məbləği bir növ tətbiq daxili ödəniş edirmişsiniz kimi oğurlayır.
Test isə Mediatek çipsetli Redmi Note 9 ilə aparılaraq tapılıb və təhlükəsizlik boşluğu dərhal istehsalçıya bildirilib. Əlavə olaraq Xiaomi 11T və Redmi Note 8 Pro modellərində də bənzər problem görülüb. Qualcomm platforması üzərinə inşa edilən cihazlarda isə QSEE əsaslı sistemin (Qualcomm’s Secure Execution Environment) təhlükəsizlik cəhətdən daha etibarlı olduğu deyilir. CPR-in verdiyi məlumata görə, Xiaomi şirkəti yeniləmələr ilə problemi artıq həll edib.
Lakin problemin sistem daxili yeniləmələrlə, yoxsa göndərilən təhlükəsizlik yeniləmələri ilə həll edildiyi dəqiq bilinmir. İkinci ehtimal olduğu təqdirdə bəzilərinin təhlükəsizlik yeniləmələrini boş verdiyini nəzərə alsaq, problem hələ də smartfonlarda qalmış ola bilər.
