באג טלפון של שיאומי מותר זיוף תשלום

חותמת זמן: 16 באוגוסט, 2022 8:26

עסקאות ניידות היו יכולות להיות מושבתות, נוצרות וחתומות על ידי תוקפים.

יצרנית הסמארטפונים Xiaomi, יצרנית הטלפונים מספר שלוש בעולם מאחורי אפל וסמסונג, דיווחה שהיא תיקנה פגם חמור ב"סביבה המהימנה" שלה המשמשת לאחסון נתוני תשלום שפתחו חלק מהמכשירים שלה לתקיפה.

חוקרים במחקר צ'ק פוינט גילה בשבוע שעבר בדו"ח שפורסם ב-DEF CON, לפיו פגם הסמארטפון של Xiaomi יכול היה לאפשר להאקרים לחטוף את מערכת התשלום הנייד ולהשבית אותה או ליצור ולחתום על עסקאות מזויפות משלהם.

מאגר הקורבנות הפוטנציאלי היה עצום, בהתחשב שאחד מכל שבעה מהטלפונים החכמים בעולם מיוצר על ידי Xiaomi, על פי נתוני Q2/22 של Canalys. החברה היא הספק השלישי בגודלו בעולם, על פי Canalys.
ניוזלטר אינסידרס של Infosec"גילינו קבוצה של נקודות תורפה שיכולות לאפשר זיוף חבילות תשלום או השבתת מערכת התשלומים ישירות, מאפליקציית אנדרואיד חסרת הרשאות. הצלחנו לפרוץ ל-WeChat Pay והטמענו הוכחה אוף קונספט עבדה במלואה", כתב Slava Makkaveev, חוקר אבטחה מ-Check Point.

לדבריו, המחקר של צ'ק פוינט מציין את הפעם הראשונה שהיישומים המהימנים של שיאומי נבדקו לאיתור בעיות אבטחה. WeChat Pay הוא שירות תשלום נייד וארנק דיגיטלי שפותח על ידי חברה באותו שם, שבסיסה בסין. השירות משמש למעלה מ-300 מיליון לקוחות ומאפשר למשתמשי אנדרואיד לבצע תשלומים ניידים ועסקאות מקוונות.

הפגם

לא ברור כמה זמן הפגיעות קיימת או אם היא נוצלה על ידי תוקפים בטבע. הבאג, במעקב כמו CVE-2020-14125, תוקן על ידי Xiaomi ביוני ויש לו דירוג חומרת CVSS גבוה.

"פגיעות של מניעת שירות קיימת בחלק מדגמי הטלפונים של Xiaomi. הפגיעות נגרמת מקריאה/כתיבה מחוץ לתחום והיא יכולה להיות מנוצלת על ידי תוקפים כדי לבצע מניעת שירות", על פי הפגיעות הנפוצה של NIST תיאור החשיפה של הבאג.

בעוד שפרטים על השפעת הבאג היו מוגבלים בזמן ש-Xiaomi חשפה את הפגיעות ביוני, חוקרים בצ'ק פוינט תיארו בנתיחה שלאחר המוות של הבאג המתוקן ואת ההשפעה הפוטנציאלית המלאה של הפגם.

סוגיית הליבה בטלפון Xiaomi הייתה שיטת התשלום של הטלפון הנייד ורכיב סביבת הביצוע המהימנה (TEE) של הטלפון. ה-TEE הוא המובלעת הוירטואלית של הטלפון של Xiaomi, האחראית על עיבוד ואחסון מידע אבטחה רגיש במיוחד כגון טביעות אצבע ומפתחות הצפנה המשמשים בחתימה על עסקאות.

"ללא תיקון, תוקף יכול לגנוב מפתחות פרטיים ששימשו לחתום על חבילות שליטה ותשלום של WeChat Pay. במקרה הגרוע ביותר, אפליקציית אנדרואיד חסרת זכויות הייתה יכולה ליצור ולחתום על חבילת תשלום מזויפת", כתבו החוקרים.

ניתן היה לבצע שני סוגים של התקפות נגד מכשירים עם הפגם לפי צ'ק פוינט.

  • מאפליקציית אנדרואיד ללא פריבילגיה: המשתמש מתקין אפליקציה זדונית ומפעיל אותה. האפליקציה מחלצת את המפתחות ושולחת חבילת תשלום מזויפת כדי לגנוב את הכסף.
  • אם לתוקף יש את מכשירי היעד בידיו: התוקף משרש את המכשיר, ואז משדרג לאחור את סביבת האמון, ואז מריץ את הקוד ליצירת חבילת תשלום מזויפת ללא אפליקציה.

שתי דרכים לעור TEE

השליטה ב-TEE, על פי צ'ק פוינט, היא רכיב שבב MediaTek שהיה צריך להיות נוכח כדי לבצע את המתקפה. כדי להיות ברור, הפגם לא היה בשבב MediaTek - אולם הבאג היה ניתן להפעלה רק בטלפונים המוגדרים עם מעבד MediaTek.

"השוק האסייתי", ציינו החוקרים, "מיוצג בעיקר על ידי סמארטפונים המבוססים על שבבי MediaTek". טלפונים של Xiaomi הפועלים על שבבי MediaTek משתמשים בארכיטקטורת TEE הנקראת "Kinibi", שבתוכה Xiaomi יכולה להטביע ולחתום על יישומים מהימנים משלהם.

"בדרך כלל, לאפליקציות מהימנות של מערכת ההפעלה Kinibi יש את פורמט MCLF" - פורמט טעינה של Mobicore - "אבל Xiaomi החליטו להמציא אחד משלהם." בפורמט שלהם, לעומת זאת, היה פגם: היעדר בקרת גרסאות, שבלעדיה "תוקף יכול להעביר גרסה ישנה של אפליקציה מהימנה למכשיר ולהשתמש בה כדי להחליף את קובץ האפליקציה החדש". החתימה בין גרסאות לא משתנה, כך שה-TEE לא יודע את ההבדל, והוא טוען את הישנה.

למעשה, התוקף יכול היה להחזיר את הזמן אחורה, ולעקוף כל תיקוני אבטחה שנעשו על ידי Xiaomi או MediaTek באזור הרגיש ביותר של הטלפון.

כמקרה נקודתי, החוקרים התמקדו ב"Tencent soter", המסגרת המשובצת של Xiaomi המספקת API לאפליקציות צד שלישי שרוצות לשלב תשלומים ניידים. Soter הוא זה שאחראי לאימות תשלומים בין טלפונים ושרתי קצה, עבור מאות מיליוני מכשירי אנדרואיד ברחבי העולם. החוקרים ביצעו מסע בזמן כדי לנצל פגיעות קריאה שרירותית באפליקציית soter. זה איפשר להם לגנוב את המפתחות הפרטיים ששימשו לחתימה על עסקאות.

פגיעות הקריאה השרירותית כבר תוקנה, בעוד שפגיעות בקרת הגרסה "מתוקנת".

בנוסף, החוקרים העלו טריק נוסף לניצול סוטר.

באמצעות אפליקציית אנדרואיד רגילה וחסרת פריבילגיה, הם הצליחו לתקשר עם אפליקציית soter המהימנה באמצעות "SoterService", ממשק API לניהול מפתחות soter. "בפועל, המטרה שלנו היא לגנוב את אחד המפתחות הפרטיים הסופרים", כתבו המחברים. עם זאת, על ידי ביצוע התקפת הצפת ערימה קלאסית, הם הצליחו "לסכן לחלוטין את פלטפורמת Tencent soter", מה שמאפשר כוח הרבה יותר גדול לחתום, למשל, על חבילות תשלום מזויפות.

טלפונים נשארים ללא בדיקה

תשלומים ניידים כבר מקבלים יותר בדיקה מחוקרי אבטחה, שכן שירותים כמו Apple Pay ו-Google Pay צוברים פופולריות במערב. אבל הנושא משמעותי עוד יותר עבור המזרח הרחוק, שבו שוק התשלומים הסלולרי כבר נמצא בהרבה. על פי נתונים מ Statista, אותו חצי כדור היה אחראי לשני שליש מלאים מהתשלומים הניידים בעולם בשנת 2021 - כארבעה מיליארד דולר בסך הכל בעסקאות.

ועדיין, השוק האסייתי "עדיין לא נחקר באופן נרחב", ציינו החוקרים. "אף אחד לא בודק יישומים מהימנים שנכתבו על ידי ספקי מכשירים, כמו Xiaomi, במקום על ידי יצרני שבבים, למרות שניהול אבטחה וליבת התשלומים הניידים מיושמים שם."

כפי שצוין קודם לכן, צ'ק פוינט טענה שזו הפעם הראשונה שהאפליקציות המהימנות של Xiaomi נבדקות לאיתור בעיות אבטחה.

בול זמן:

עוד מ פגיעויות