Ründajad oleksid võinud mobiilitehingud keelata, luua ja allkirjastada.
Nutitelefonide tootja Xiaomi, Apple'i ja Samsungi taga kolmas telefonitootja maailmas, teatas, et on parandanud oma makseandmete salvestamiseks kasutatavas "usaldusväärses keskkonnas" tõsise vea, mis avas mõned telefonid rünnakuks.
Check Point Researchi teadlased selgus Eelmisel nädalal DEF CON-il avaldatud aruandes, et Xiaomi nutitelefoni viga võis võimaldada häkkeritel mobiilimaksesüsteemi kaaperdada ja selle keelata või luua ja allkirjastada oma võltsitud tehinguid.
Potentsiaalne ohvrite hulk oli tohutu, arvestades, et Xiaomi toodab iga seitsmendat nutitelefoni, selgub 2. kvartali andmetest. Canalys. Canalyse andmetel on ettevõte maailmas suuruselt kolmas müüja.
„Avastasime haavatavusi, mis võivad lubada maksepakettide võltsimist või maksesüsteemi otse väljalülitamist privilegeerimata Androidi rakendusest. Suutsime WeChat Paysse sisse häkkida ja rakendasime täielikult toiminud kontseptsiooni tõendi,” kirjutas Check Pointi turvateadlane Slava Makkaveev.
Ta ütles, et Check Pointi uuring tähistab esimest korda, kui Xiaomi usaldusväärsed rakendused on turvaprobleemide osas üle vaadatud. WeChat Pay on mobiilimaksete ja digitaalse rahakoti teenus, mille on välja töötanud Hiinas asuv samanimeline ettevõte. Teenust kasutab üle 300 miljoni kliendi ja see võimaldab Androidi kasutajatel teha mobiilimakseid ja veebitehinguid.
Viga
Pole selge, kui kaua haavatavus eksisteeris või kas ründajad seda looduses ära kasutasid. Viga, jälgitud kui CVE-2020-14125, parandas Xiaomi juunis ja selle CVSS-i raskusaste on kõrge.
"Mõnedes Xiaomi telefonimudelites on teenuse keelamise haavatavus. Haavatavuse põhjuseks on piiridest väljas lugemine/kirjutamine ja ründajad saavad seda teenuse keelamiseks ära kasutada,“ vastavalt NIST-i levinud haavatavusele ja vea kokkupuute kirjeldus.
Kuigi sel ajal, kui Xiaomi haavatavuse juunis avalikustas, olid vea mõju üksikasjad piiratud, on Check Pointi teadlased oma postmortemis kirjeldanud paigatud viga ja vea täielikku võimalikku mõju.
Xiaomi telefoni põhiprobleemiks oli mobiiltelefonide makseviis ja telefoni TEE (Trusted Execution Environment) komponent. TEE on Xiaomi telefoni virtuaalne enklaav, mis vastutab ülitundliku turvateabe, näiteks sõrmejälgede ja tehingute allkirjastamisel kasutatavate krüptovõtmete töötlemise ja salvestamise eest.
"Laiendamata jättes võib ründaja varastada privaatvõtmeid, mida kasutati WeChat Pay juhtimis- ja maksepakettide allkirjastamiseks. Halvimal juhul oleks privilegeerimata Androidi rakendus võinud luua ja allkirjastada võltsitud maksepaketi," kirjutasid teadlased.
Check Pointi andmetel võidi veaga telefonide vastu sooritada kahte tüüpi rünnakuid.
- Privilegeerimata Androidi rakendusest: kasutaja installib pahatahtliku rakenduse ja käivitab selle. Rakendus ekstraheerib võtmed ja saadab raha varastamiseks võltsitud maksepaketi.
- Kui ründaja käes on sihtseadmed: ründaja juurutab seadme, viib seejärel usalduskeskkonna madalamale versioonile ja käivitab seejärel koodi, et luua ilma rakenduseta võltsmaksepakett.
Kaks võimalust TEE naha tegemiseks
Check Pointi andmetel on TEE juhtimine MediaTeki kiibi komponent, mis pidi rünnaku läbiviimiseks kohal olema. Selguse huvides võib öelda, et viga ei olnud MediaTeki kiibis, kuid viga oli käivitatav ainult MediaTeki protsessoriga konfigureeritud telefonides.
Teadlased märkisid, et Aasia turgu esindavad peamiselt MediaTeki kiipidel põhinevad nutitelefonid. MediaTeki kiipidega töötavad Xiaomi telefonid kasutavad TEE arhitektuuri nimega "Kinibi", millesse Xiaomi saab manustada ja allkirjastada oma usaldusväärseid rakendusi.
"Tavaliselt on Kinibi OS-i usaldusväärsetel rakendustel MCLF-vorming" - Mobicore Loadable Format -, "kuid Xiaomi otsustas välja mõelda ühe oma." Nende enda vormingus oli aga viga: versioonikontrolli puudumine, ilma milleta "saab ründaja seadmesse üle kanda usaldusväärse rakenduse vana versiooni ja kasutada seda uue rakenduse faili ülekirjutamiseks". Versioonidevaheline signatuur ei muutu, nii et TEE ei tea erinevust ja laadib vana.
Sisuliselt oleks ründaja võinud aega tagasi keerata, jättes mööda Xiaomi või MediaTeki tehtud turvaparandustest telefoni kõige tundlikumas piirkonnas.
Juhtumi näitena võtsid teadlased sihikule „Tencent soter”, Xiaomi manustatud raamistiku, mis pakub API-d kolmandate osapoolte rakendustele, mis soovivad integreerida mobiilimakseid. Soter vastutab telefonide ja taustaserverite vaheliste maksete kontrollimise eest sadade miljonite Android-seadmete puhul kogu maailmas. Teadlased tegid ajarännaku, et kasutada ära suvalise lugemise haavatavust soter-rakenduses. See võimaldas neil varastada tehingute allkirjastamiseks kasutatud privaatvõtmeid.
Suvaline lugemise haavatavus on juba paigatud, samas kui versioonihalduse haavatavus on "parandamisel".
Lisaks leidsid teadlased soteri ärakasutamiseks veel ühe nipi.
Kasutades tavalist privilegeerimata Androidi rakendust, said nad usaldusväärse soter-rakendusega suhelda SoterService'i kaudu, mis on soter-võtmete haldamise API. "Praktikas on meie eesmärk varastada üks privaatvõtmetest," kirjutasid autorid. Klassikalise hunniku ületäitumise rünnaku sooritamisega suutsid nad aga Tencenti soteri platvormi täielikult kahjustada, võimaldades palju suuremat jõudu näiteks võltsitud maksepakettide allkirjastamiseks.
Telefonid jäävad kontrollimata
Mobiilimakseid juba võetakse rohkem kontrolli turvateadlastelt, kuna sellised teenused nagu Apple Pay ja Google Pay koguvad läänes populaarsust. Kuid probleem on veelgi olulisem Kaug-Ida jaoks, kus mobiilimaksete turg on juba palju ees. Vastavalt andmetele alates Statista, see poolkera vastutas 2021. aastal kogu maailmas kahe kolmandiku mobiilimaksete eest – tehingute maht oli kokku umbes neli miljardit dollarit.
Ja veel, Aasia turg "ei ole veel laialdaselt uuritud", märkisid teadlased. "Keegi ei kontrolli usaldusväärseid rakendusi, mille on kirjutanud seadmemüüjad, näiteks Xiaomi, mitte kiibitootjate poolt, kuigi seal on rakendatud turvahaldus ja mobiilimaksete põhi."
Nagu varem märgitud, kinnitas Check Point, et see oli esimene kord, kui Xiaomi usaldusväärseid rakendusi turvaprobleemide osas üle vaadati.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- mobile Security
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Haavatavused
- kodulehel turvalisus
- sephyrnet
