在小米的移动支付引擎中检测到可能允许伪造交易并因此伤害用户的漏洞。该分析由安全机构 Check Point 进行，该机构的调查发现了品牌的某些 Android 智能手机存在缺陷。

更具体地说，Check Point Research (CPR) 分析了由发科芯片驱动的小米智能手机内置的支付系统。正是在这些设备中，安全机构发现了警告标志，然而，它已经知晓并与雷军的公司共享。

Check Point 机构在小米智能手机上检测到的漏洞

实际上，发现了可能允许伪造支付和直接停用支付系统的漏洞。这来自没有值得注意的特权或权限的 Android 应用程序。但是，该机构与小米合作。该公司发现了这些漏洞并为这些漏洞提供了补丁。

问题是小米手机支付系统中的一个漏洞。这些漏洞主要影响采用发科技处理器的智能手机。然而，根据 Check Point Research 对支付系统的报告，在国外的威胁有所减少。

随着移动支付(一种全球常见的支付方式)的普及，它们越来越成为骗子的目标。这些是大多数智能手机用户已经在日常和舒适地使用的系统，消除了疑虑和不确定性。

搭载发科芯片的小米智能手机成为的目标

根据 CPR(移动)研究人员的报告，该威胁可能会影响由发科芯片驱动的小米智能手机内置的支付系统。因此，更实惠的型号在和其他全球市场非常受欢迎。

在这些分析过程中，发现了可能允许伪造支付包的漏洞。他们还可以直接从非特权 Android 应用程序禁用支付系统。

如果 TEE 是安全的，那么您的付款也是安全的。

多年来，可信执行环境 (TEE) 一直是移动设备不可或缺的一部分。其主要目的是处理和存储敏感的安全信息。加密密钥和指纹等信息。

由于移动支付订阅是在 TEE 上进行的，我们假设 TEE 是安全的。您的付款也是如此。

亚洲市场主要以基于发科芯片的智能手机为代表，尚未得到广泛开拓。没有人仔细审查由小米等设备供应商编写的可信应用程序。即使在那里实施了安全管理和移动支付的核心也是如此。

根据 CPR 的说法，“我们的研究标志着小米的可信应用程序首次因安全原因而受到审查。”

“在我们的调查中，我们关注的是发科设备的可信应用。使用的测试设备是小米红米 Note 9T 5G，搭载 Android 操作系统和 MIUI Global 12.5.6.0 界面。”CPR 指出。

结论

在整个调查过程中，他们发现了攻击小米智能手机内置平台的方法，该平台被数百万用户用于移动支付。

非特权安卓应用可以利用CVE-2020-14125漏洞在微信可信应用中执行代码并伪造支付包。

经过披露和协作，该漏洞由小米于 2022 年 6 月修复。

此外，他们还演示了小米TEE中的降级漏洞如何让旧版微信应用窃取私钥。此次出现的漏洞也是小米公开合作后进行修补和修补的。

小米确认属于第三方供应商的解密问题即将修复。