اشکالات تلفن شیائومی مجاز به جعل پرداخت

شیائومی، سازنده گوشی‌های هوشمند، سومین تولیدکننده تلفن در جهان پس از اپل و سامسونگ، گزارش داد که یک نقص شدید را در "محیط قابل اعتماد" خود که برای ذخیره داده‌های پرداخت استفاده می‌شود و برخی از گوشی‌هایش را در معرض حمله قرار می‌دهد، اصلاح کرده است.

محققان در Check Point Research نشان داد هفته گذشته در گزارشی که در DEF CON منتشر شد، نقص گوشی هوشمند شیائومی به هکرها اجازه می داد تا سیستم پرداخت تلفن همراه را ربوده و آن را غیرفعال کنند یا تراکنش های جعلی خود را ایجاد و امضا کنند.

با توجه به داده‌های Q2/22 از سوی شرکت شیائومی، با توجه به اینکه از هر هفت گوشی هوشمند جهان، یک مورد توسط شیائومی تولید می‌شود، تعداد قربانیان بسیار زیاد بود. Canalys. طبق گزارش Canalys، این شرکت سومین فروشنده بزرگ در سطح جهان است.
ما مجموعه‌ای از آسیب‌پذیری‌ها را کشف کردیم که می‌توانند بسته‌های پرداخت را جعل کنند یا سیستم پرداخت را مستقیماً از یک برنامه اندرویدی غیرمجاز غیرفعال کنند. Slava Makkaveev، محقق امنیتی Check Point، نوشت: ما توانستیم به WeChat Pay هک کنیم و یک اثبات کامل مفهومی را پیاده سازی کنیم.

او گفت، مطالعه Check Point اولین بار است که برنامه های مورد اعتماد شیائومی برای مسائل امنیتی بررسی می شوند. WeChat Pay یک سرویس پرداخت موبایلی و کیف پول دیجیتال است که توسط شرکتی به همین نام توسعه یافته است که در چین مستقر است. این سرویس توسط بیش از 300 میلیون مشتری استفاده می شود و به کاربران اندروید اجازه می دهد تا پرداخت های تلفن همراه و تراکنش های آنلاین را انجام دهند.

نقص

مشخص نیست که این آسیب‌پذیری چه مدت وجود داشته است یا اینکه توسط مهاجمان در طبیعت مورد سوء استفاده قرار گرفته است. اشکال، به عنوان ردیابی شد CVE-2020-14125، در ماه ژوئن توسط شیائومی وصله شد و دارای درجه شدت CVSS بالا است.

آسیب پذیری انکار سرویس در برخی از مدل های گوشی های شیائومی وجود دارد. این آسیب‌پذیری به دلیل خواندن/نوشتن خارج از کران ایجاد می‌شود و می‌تواند توسط مهاجمان برای انکار سرویس مورد سوء استفاده قرار گیرد، طبق آسیب‌پذیری رایج NIST و شرح قرار گرفتن در معرض اشکال.

در حالی که در زمانی که شیائومی این آسیب‌پذیری را در ماه ژوئن فاش کرد، جزئیات تاثیر این باگ محدود بود، محققان Check Point در بررسی پس از مرگ اشکال وصله‌شده و تأثیر بالقوه کامل این نقص را تشریح کردند.

مشکل اصلی تلفن شیائومی روش پرداخت تلفن همراه و مولفه Trusted Execution Environment (TEE) تلفن بود. TEE محفظه مجازی تلفن شیائومی است که وظیفه پردازش و ذخیره اطلاعات امنیتی فوق العاده حساس مانند اثر انگشت و کلیدهای رمزنگاری مورد استفاده در امضای تراکنش ها را بر عهده دارد.

مهاجم می‌تواند کلیدهای خصوصی مورد استفاده برای امضای کنترل و بسته‌های پرداخت WeChat Pay را بدزدد. محققان نوشتند که بدترین حالت، یک برنامه اندرویدی غیرمجاز می‌تواند یک بسته پرداخت جعلی ایجاد کرده و امضا کند.

طبق چک پوینت می‌توان دو نوع حمله را علیه گوشی‌های دارای نقص انجام داد.

• از یک برنامه اندروید غیرمجاز: کاربر یک برنامه مخرب را نصب کرده و آن را راه اندازی می کند. این برنامه کلیدها را استخراج می کند و یک بسته پرداخت جعلی برای سرقت پول ارسال می کند.
• اگر مهاجم دستگاه های هدف را در دست داشته باشد: مهاجم دستگاه را روت می کند، سپس محیط اعتماد را پایین می آورد و سپس کد را برای ایجاد یک بسته پرداخت جعلی بدون برنامه اجرا می کند.

دو راه برای پوست کردن TEE

به گفته Check Point، کنترل TEE یک جزء تراشه مدیاتک است که برای انجام حمله باید حضور داشته باشد. برای روشن بودن، نقص در تراشه مدیاتک نبود - با این حال این اشکال فقط در تلفن هایی که با پردازنده مدیاتک پیکربندی شده بودند قابل اجرا بود.

محققان خاطرنشان کردند: «بازار آسیایی عمدتاً توسط گوشی‌های هوشمند مبتنی بر تراشه‌های مدیاتک ارائه می‌شود». گوشی‌های شیائومی که بر روی تراشه‌های مدیاتک کار می‌کنند از معماری TEE به نام "Kinibi" استفاده می‌کنند که شیائومی می‌تواند برنامه‌های مورد اعتماد خود را در آن جاسازی کرده و امضا کند.

«معمولاً، برنامه‌های مورد اعتماد سیستم‌عامل Kinibi دارای فرمت MCLF هستند» – Mobicore Loadable Format – «اما شیائومی تصمیم گرفت یکی از خود را ارائه دهد.» با این حال، در قالب خود یک نقص وجود داشت: عدم کنترل نسخه، بدون آن "یک مهاجم می تواند نسخه قدیمی یک برنامه قابل اعتماد را به دستگاه منتقل کند و از آن برای بازنویسی فایل برنامه جدید استفاده کند." امضای بین نسخه ها تغییر نمی کند، بنابراین TEE تفاوت را نمی داند و نسخه قدیمی را بارگذاری می کند.

در اصل، مهاجم می‌توانست زمان را به عقب برگرداند و از هر گونه اصلاحات امنیتی ایجاد شده توسط شیائومی یا مدیاتک در حساس‌ترین قسمت گوشی دور بزند.

به عنوان نمونه، محققان «Tencent soter» را هدف قرار دادند، چارچوب تعبیه‌شده شیائومی که یک API را برای برنامه‌های شخص ثالثی که می‌خواهند پرداخت‌های تلفن همراه را ادغام کنند، ارائه می‌کند. Soter چیزی است که برای صدها میلیون دستگاه اندروید در سراسر جهان مسئول تأیید پرداخت بین تلفن ها و سرورهای پشتیبان است. محققان سفر در زمان را برای سوء استفاده از آسیب‌پذیری خواندن دلخواه در اپلیکیشن soter انجام دادند. این به آنها اجازه داد تا کلیدهای خصوصی مورد استفاده برای امضای تراکنش ها را بدزدند.

آسیب‌پذیری خواندن دلخواه قبلاً وصله شده است، در حالی که آسیب‌پذیری کنترل نسخه در حال رفع است.

علاوه بر این، محققان یک ترفند دیگر برای استفاده از سوتر ارائه کردند.

با استفاده از یک برنامه اندرویدی معمولی و غیرمجاز، آنها توانستند از طریق "SoterService"، یک API برای مدیریت کلیدهای soter، با برنامه قابل اعتماد soter ارتباط برقرار کنند. نویسندگان نوشتند: "در عمل، هدف ما سرقت یکی از کلیدهای خصوصی soter است." با این حال، با انجام یک حمله سرریز هیپ کلاسیک، آنها توانستند «پلتفرم Soter Tencent را به طور کامل به خطر بیاندازند»، به عنوان مثال، به قدرت بسیار بیشتری برای امضای بسته‌های پرداخت جعلی اجازه می‌دهند.

تلفن ها بررسی نشده باقی می مانند

پرداخت های تلفن همراه در حال حاضر دریافت می شود بیش بررسی موشکافانه از سوی محققان امنیتی، زیرا خدماتی مانند Apple Pay و Google Pay در غرب محبوبیت پیدا می کنند. اما این موضوع برای خاور دور مهمتر است، جایی که بازار پرداخت های موبایلی در حال حاضر بسیار جلوتر است. بر اساس داده های از Statistaاین نیمکره مسئول دو سوم کامل پرداخت‌های موبایلی در سراسر جهان در سال 2021 بود – در مجموع حدود چهار میلیارد دلار تراکنش.

با این حال، محققان خاطرنشان کردند که بازار آسیا «هنوز به طور گسترده مورد بررسی قرار نگرفته است». هیچ کس برنامه های قابل اعتمادی که توسط فروشندگان دستگاه مانند شیائومی نوشته شده اند را به جای تولید کنندگان تراشه بررسی نمی کند، حتی اگر مدیریت امنیتی و هسته پرداخت های موبایلی در آنجا پیاده سازی شوند.

همانطور که قبلاً اشاره شد، Check Point اظهار داشت که این اولین بار است که برنامه های مورد اعتماد شیائومی از نظر مسائل امنیتی بررسی می شوند.