Transaksi seluler bisa saja dinonaktifkan, dibuat, dan ditandatangani oleh penyerang.
Pembuat smartphone Xiaomi, pembuat telepon nomor tiga dunia di belakang Apple dan Samsung, melaporkan telah menambal kelemahan tingkat tinggi di "lingkungan tepercaya" yang digunakan untuk menyimpan data pembayaran yang membuka beberapa handsetnya untuk diserang.
Peneliti di Check Point Research mengungkapkan minggu lalu dalam sebuah laporan yang dirilis di DEF CON bahwa cacat smartphone Xiaomi dapat memungkinkan peretas untuk membajak sistem pembayaran seluler dan menonaktifkannya atau membuat dan menandatangani transaksi palsu mereka sendiri.
Potensi korban sangat besar, mengingat satu dari tujuh smartphone dunia diproduksi oleh Xiaomi, menurut data Q2/22 dari Canalys. Perusahaan ini adalah vendor terbesar ketiga secara global, menurut Canalys.
โKami menemukan serangkaian kerentanan yang memungkinkan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki hak istimewa. Kami dapat meretas WeChat Pay dan menerapkan konsep konsep yang berfungsi penuh,โ tulis Slava Makkaveev, peneliti keamanan di Check Point.
Dia mengatakan, studi Check Point menandai pertama kalinya aplikasi tepercaya Xiaomi ditinjau untuk masalah keamanan. WeChat Pay adalah layanan pembayaran seluler dan dompet digital yang dikembangkan oleh perusahaan dengan nama yang sama, yang berbasis di China. Layanan ini digunakan oleh lebih dari 300 juta pelanggan dan memungkinkan pengguna Android melakukan pembayaran seluler dan transaksi online.
Kekurangan
Tidak jelas berapa lama kerentanan itu ada atau apakah itu dieksploitasi oleh penyerang di alam liar. Bug, dilacak sebagai CVE-2020-14125, telah ditambal oleh Xiaomi pada bulan Juni dan memiliki peringkat keparahan CVSS yang tinggi.
โKerentanan penolakan layanan ada di beberapa model ponsel Xiaomi. Kerentanan ini disebabkan oleh read/write out-of-bound dan dapat dimanfaatkan oleh penyerang untuk melakukan penolakan layanan,โ menurut kerentanan umum NIST dan deskripsi paparan bug.
Sementara rincian dampak bug terbatas pada saat Xiaomi mengungkapkan kerentanan pada bulan Juni, para peneliti di Check Point telah menguraikan dalam postmortem bug yang ditambal dan potensi dampak penuh dari cacat tersebut.
Masalah inti dengan ponsel Xiaomi adalah metode pembayaran ponsel dan komponen Trusted Execution Environment (TEE) ponsel. TEE adalah kantong virtual telepon Xiaomi, yang bertanggung jawab untuk memproses dan menyimpan informasi keamanan ultra-sensitif seperti sidik jari dan kunci kriptografi yang digunakan dalam transaksi penandatanganan.
โDibiarkan tidak ditambal, penyerang dapat mencuri kunci pribadi yang digunakan untuk menandatangani paket kontrol dan pembayaran WeChat Pay. Kasus terburuk, aplikasi Android yang tidak memiliki hak istimewa dapat membuat dan menandatangani paket pembayaran palsu,โ tulis para peneliti.
Dua jenis serangan dapat dilakukan terhadap handset yang cacat menurut Check Point.
- Dari aplikasi Android yang tidak memiliki hak istimewa: Pengguna memasang aplikasi berbahaya dan meluncurkannya. Aplikasi mengekstrak kunci dan mengirimkan paket pembayaran palsu untuk mencuri uang.
- Jika penyerang memiliki perangkat target di tangan mereka: Penyerang melakukan root pada perangkat, kemudian menurunkan lingkungan kepercayaan, dan kemudian menjalankan kode untuk membuat paket pembayaran palsu tanpa aplikasi.
Dua Cara untuk Mengupas TEE
Mengontrol TEE, menurut Check Point, merupakan komponen chip MediaTek yang perlu hadir untuk melakukan serangan. Untuk lebih jelasnya, kelemahannya bukan pada chip MediaTek โ namun bug tersebut hanya dapat dijalankan di ponsel yang dikonfigurasi dengan prosesor MediaTek.
โPasar Asia,โ catat para peneliti, โterutama diwakili oleh smartphone berbasis chip MediaTek.โ Ponsel Xiaomi yang berjalan pada chip MediaTek menggunakan arsitektur TEE yang disebut "Kinibi," di mana Xiaomi dapat menyematkan dan menandatangani aplikasi tepercaya mereka sendiri.
โBiasanya, aplikasi tepercaya dari OS Kinibi memiliki format MCLFโ โ Mobicore Loadable Format โ โtetapi Xiaomi memutuskan untuk membuat salah satu dari mereka sendiri.โ Dalam format mereka sendiri, bagaimanapun, adalah cacat: tidak adanya kontrol versi, yang tanpanya โpenyerang dapat mentransfer versi lama dari aplikasi tepercaya ke perangkat dan menggunakannya untuk menimpa file aplikasi baru.โ Tanda tangan antar versi tidak berubah, sehingga TEE tidak mengetahui perbedaannya, dan memuat yang lama.
Pada dasarnya penyerang dapat memutar balik waktu, melewati perbaikan keamanan apa pun yang dilakukan oleh Xiaomi atau MediaTek di area ponsel yang paling sensitif.
Sebagai contoh kasus, para peneliti menargetkan โTencent soter,โ kerangka tertanam Xiaomi yang menyediakan API untuk aplikasi pihak ketiga yang ingin mengintegrasikan pembayaran seluler. Soter bertanggung jawab untuk memverifikasi pembayaran antara ponsel dan server backend, untuk ratusan juta perangkat Android di seluruh dunia. Para peneliti melakukan perjalanan waktu untuk mengeksploitasi kerentanan membaca sewenang-wenang di aplikasi soter. Ini memungkinkan mereka untuk mencuri kunci pribadi yang digunakan untuk menandatangani transaksi.
Kerentanan baca arbitrer sudah ditambal, sedangkan kerentanan kontrol versi "sedang diperbaiki."
Selain itu, para peneliti menemukan satu trik lain untuk mengeksploitasi soter.
Menggunakan aplikasi Android biasa yang tidak memiliki hak istimewa, mereka dapat berkomunikasi dengan aplikasi soter tepercaya melalui โSoterService,โ sebuah API untuk mengelola kunci soter. โDalam praktiknya, tujuan kami adalah mencuri salah satu kunci pribadi yang lebih baik,โ tulis para penulis. Namun, dengan melakukan serangan heap overflow klasik, mereka dapat โmengkompromikan sepenuhnya platform soter Tencentโ, memungkinkan kekuatan yang jauh lebih besar untuk, misalnya, menandatangani paket pembayaran palsu.
Telepon Tetap Tidak Diperhatikan
Pembayaran seluler sudah diterima lebih pengawasan dari peneliti keamanan, karena layanan seperti Apple Pay dan Google Pay mendapatkan popularitas di Barat. Tetapi masalahnya bahkan lebih signifikan untuk Timur Jauh, di mana pasar pembayaran seluler sudah jauh di depan. Menurut data dari statista, belahan bumi itu bertanggung jawab atas dua pertiga penuh pembayaran seluler secara global pada tahun 2021 โ seluruhnya berjumlah sekitar empat miliar dolar dalam transaksi.
Namun, pasar Asia โmasih belum banyak dieksplorasi,โ catat para peneliti. โTidak ada yang meneliti aplikasi tepercaya yang ditulis oleh vendor perangkat, seperti Xiaomi, alih-alih oleh produsen chip, meskipun manajemen keamanan dan inti pembayaran seluler diterapkan di sana.โ
Seperti disebutkan sebelumnya, Check Point menegaskan ini adalah pertama kalinya aplikasi tepercaya Xiaomi ditinjau untuk masalah keamanan.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan seluler
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kerentanan
- website security
- zephyrnet.dll
