モバイル トランザクションは、攻撃者によって無効化、作成、署名された可能性があります。
AppleとSamsungに続く世界第XNUMX位のスマートフォンメーカーであるXiaomiは、支払いデータを保存するために使用される「信頼できる環境」に重大な欠陥があり、一部の携帯電話を攻撃できるようにしたと報告しました.
Check Point Research の研究者 明らかになった 先週 DEF CON で発表されたレポートでは、Xiaomi スマートフォンの欠陥により、ハッカーがモバイル決済システムをハイジャックして無効にしたり、独自の偽造トランザクションを作成して署名したりする可能性があった.
2 年第 22 四半期のデータによると、世界のスマートフォンの XNUMX 分の XNUMX が Xiaomi によって製造されていることを考えると、潜在的な被害者のプールは膨大でした。 Canalys社. Canalys によると、同社は世界で XNUMX 番目に大きいベンダーです。
「特権のない Android アプリケーションから、支払いパッケージを偽造したり、支払いシステムを直接無効にしたりする可能性のある一連の脆弱性を発見しました。 WeChat Pay をハッキングして、完全に機能する概念実証を実装することができました」と Check Point のセキュリティ研究者である Slava Makkaveev は書いています。
Check Point の調査は、Xiaomi の信頼できるアプリケーションがセキュリティ問題についてレビューされたのは初めてである、と彼は言いました。 WeChat Pay は、中国を拠点とする同名の会社が開発したモバイル決済およびデジタル ウォレット サービスです。 このサービスは 300 億人以上の顧客に利用されており、Android ユーザーはモバイル決済やオンライン取引を行うことができます。
欠陥
この脆弱性がどのくらいの期間存在していたのか、それとも実際に攻撃者によって悪用されたのかは不明です。 として追跡されるバグ CVE-2020-14125、XNUMX月にXiaomiによってパッチが適用され、CVSS重大度評価は高です.
「Xiaomi の一部の携帯電話モデルには、サービス拒否の脆弱性が存在します。 NIST の一般的な脆弱性および バグの露出の説明.
バグの影響の詳細は、Xiaomi が XNUMX 月に脆弱性を公開した時点では限定的でしたが、Check Point の研究者は、パッチが適用されたバグの事後分析と、この欠陥の潜在的な影響の全体像を概説しています。
Xiaomi フォンの主な問題は、携帯電話の支払い方法と、電話の Trusted Execution Environment (TEE) コンポーネントでした。 TEE は Xiaomi の電話の仮想エンクレーブであり、指紋やトランザクションの署名に使用される暗号化キーなどの超機密セキュリティ情報の処理と保存を担当します。
「パッチを適用しないままにしておくと、攻撃者は WeChat Pay の制御と支払いパッケージに署名するために使用される秘密鍵を盗む可能性があります。 最悪の場合、特権のない Android アプリが偽の支払いパッケージを作成して署名した可能性があります」と研究者は書いています。
Check Point によると、欠陥のある携帯電話に対して XNUMX 種類の攻撃が実行された可能性があります。
- 特権のない Android アプリから: ユーザーが悪意のあるアプリケーションをインストールして起動します。 アプリは鍵を抽出し、偽の支払いパケットを送信してお金を盗みます。
- 攻撃者が標的のデバイスを手にしている場合: 攻撃者はデバイスをルート化し、信頼環境をダウングレードしてから、コードを実行して、アプリケーションなしで偽の支払いパッケージを作成します。
TEE をスキンする XNUMX つの方法
Check Point によると、TEE を制御しているのは、攻撃を実行するために必要な MediaTek チップ コンポーネントです。 明確にするために言うと、欠陥は MediaTek チップにはありませんでしたが、バグは MediaTek プロセッサで構成された電話でのみ実行可能でした。
「アジア市場」は、「主に MediaTek チップを搭載したスマートフォンに代表される」と研究者は述べています。 MediaTek チップで動作する Xiaomi の携帯電話は、「Kinibi」と呼ばれる TEE アーキテクチャを使用しており、Xiaomi は独自の信頼できるアプリケーションを埋め込んで署名することができます。
「通常、Kinibi OS の信頼できるアプリには MCLF 形式があります」 – Mobicore Loadable Format – 「しかし、Xiaomi は独自の形式を考え出すことにしました。」 ただし、独自の形式には欠陥がありました。バージョン管理が存在しないため、「攻撃者は信頼できるアプリの古いバージョンをデバイスに転送し、それを使用して新しいアプリ ファイルを上書きすることができます」。 バージョン間の署名は変更されないため、TEE は違いを認識せず、古いものをロードします。
本質的に、攻撃者は、電話の最も機密性の高い領域で Xiaomi または MediaTek によって行われたセキュリティ修正をバイパスして、時間を巻き戻した可能性があります。
適切な事例として、研究者は「Tencent soter」をターゲットにしました。これは、モバイル決済を統合したいサードパーティのアプリに API を提供する Xiaomi の組み込みフレームワークです。 Soter は、世界中の何億台もの Android デバイスの電話とバックエンド サーバー間の支払いを検証する役割を担っています。 研究者は、ソーター アプリの任意の読み取りの脆弱性を悪用するためにタイム トラベルを実行しました。 これにより、トランザクションの署名に使用される秘密鍵を盗むことができました。
任意読み取りの脆弱性にはすでにパッチが適用されていますが、バージョン管理の脆弱性は「修正中」です。
さらに、研究者は soter を悪用するためのもう XNUMX つのトリックを考え出しました。
通常の権限のない Android アプリケーションを使用して、ソーター キーを管理するための API である「SoterService」を介して、信頼できるソーター アプリと通信することができました。 「実際には、私たちの目標はより安全な秘密鍵の XNUMX つを盗むことです」と著者は書いています。 しかし、古典的なヒープ オーバーフロー攻撃を実行することで、彼らは「Tencent soter プラットフォームを完全に侵害する」ことができ、たとえば、偽の支払いパッケージに署名するためのはるかに大きな力を可能にしました.
電話は精査されないままです
モバイル決済はすでに受信しています 他には? 精査 Apple Pay や Google Pay などのサービスが欧米で人気を博しているため、セキュリティ研究者からしかし、この問題は、モバイル決済の市場がすでに進んでいる極東にとってはさらに重要です。 からのデータによると Statista、その半球は、2021 年に全世界のモバイル決済の XNUMX 分の XNUMX を占めていました。合計で約 XNUMX 億ドルのトランザクションです。
それでも、アジア市場は「まだ広く調査されていない」と研究者は述べています。 「セキュリティ管理とモバイル決済の中核がそこに実装されているにもかかわらず、チップメーカーではなくXiaomiなどのデバイスベンダーによって作成された信頼できるアプリケーションを精査している人は誰もいません。」
前述のように、Check Point は、Xiaomi の信頼できるアプリケーションがセキュリティ問題についてレビューされたのはこれが初めてであると主張しました。
