Xiaomi Redmi Note 9T ve Redmi Note 11 modellerinde, mobil ödeme mekanizmasını devre dışı bırakmak ve sahte yazılımlar ile işlem yapmaya izin veren bir zafiyet tespit edildi.
Check Point, “Trusted Execution Environment (TEE)’de güvenlik analizi sırasında MediaTek yonga setleri tarafından desteklenen cihazlarda zafiyerler bulduğunu söyledi. TEE, gizliliği ve bütünlüğü sağlamak için kriptografik anahtarlar gibi hassas bilgileri işlemek ve depolamak için kullanılan işlemci içindeki bir bölüm. İsrailli siber güvenlik firması, özellikle Xiaomi cihazındaki güvenilir bir uygulamanın, sürüm kontrolü eksikliği nedeniyle bir saldırganın bir uygulamanın daha yeni, güvenli bir sürümünü daha eski zafiyetli bir sürümle değiştirmesine olanak tanıdığını keşfetti.
Yeni keşfedilen başkan bir zafiyette ödeme sisteminde sahteciliğe yol açıyor. Güvenlik açığı WeChat ve Alipay kullanarak üçüncü taraf uygulamalardaki işlemleri yetkilendirmek için gömülü bir mobil ödeme framework olarak işlev gören Tencent Soter adlı bir hizmetle ilgili kriptografik işlemleri uygulamak için Xiaomi tarafından geliştirilen güvenilir bir uygulamayı hedefliyor.
Zafiyetin açıklanmasından sonra Xiaomi, 6 Haziran 2022’de CVE-2020-14125’e yönelik güncellemeler yayınladı.