PayRange Android Uygulamasında İki Ciddi Güvenlik Açığı
PayRange, kullanıcıların akıllı telefonlarındaki Bluetooth bağlantısını kullanarak otomatik satış makineleri, çamaşırhaneler ve diğer denetimsiz makineleri ödemelerine olanak tanıyan bir mobil ödeme uygulamasıdır. PayRange Android uygulamasının 7.0.7 sürümünde iki güvenlik açığı bulundu. Bu açıklar, CVE-2026-13462 ve CVE-2026-13461 olarak tanımlanmıştır. İlk açıklık, uygulamanın geçersiz SSL sertifikalarını kabul etmesine neden olur. İkinci açıklık ise JavaScript enjeksiyonuna izin verir ve bu, saldırganların WebView kumandasını aşmasına ve kullanıcının cihazında çeşitli tehlikeli eylemler gerçekleştirmesine olanak tanır. Bu açıklar, özellikle on-path interception saldırı vektörü üzerinden sömürülebilirdir. Saldırgan, trafiği meşru bir sunucudan kendi kontrolündeki bir cihaza yönlendirebilirse, kullanıcının cihazıyla bir TLS bağlantısı kurabilir ve ardından WebView'e içerik enjekte edebilir, kimlik bilgilerini toplayabilir, kötü niyetli isteklerde bulunabilir ve kullanıcının girdiği verileri okuyabilir. Bu durum, özellikle makine operatörlerinin bilgilerinin ve PayRange ile Stripe sunucularıyla yapılan işlemlerin güvenliğini tehlikeye atar. Kullanıcılar, bu açıkların etkilerini azaltmak için mümkün olan en kısa sürede en son yazılım güncellemelerini uygulamalıdır.
PayRange uygulamasının bu açıkları, özellikle finansal işlemler ve kişisel verilerin güvenliği açısından kritik önem taşımaktadır. Kullanıcıların dikkatli olması ve güncellemeleri takip etmesi önemlidir.

