모바일 거래는 공격자가 비활성화, 생성 및 서명했을 수 있습니다.
애플과 삼성에 이어 세계 XNUMX위의 스마트폰 제조사인 스마트폰 제조사 샤오미는 결제 데이터를 저장하는 데 사용되는 "신뢰할 수 있는 환경"에서 심각한 결함을 패치하여 일부 핸드셋이 공격을 받았다고 보고했습니다.
체크포인트 리서치 연구원 공개 지난주 DEF CON에서 발표된 보고서에서 Xiaomi 스마트폰 결함으로 인해 해커가 모바일 결제 시스템을 가로채고 비활성화하거나 자체 위조 거래를 생성 및 서명할 수 있었습니다.
2년 22분기 데이터에 따르면 전 세계 스마트폰 XNUMX대 중 XNUMX대가 Xiaomi에서 제조된다는 점을 고려할 때 잠재적 피해자 풀은 엄청났습니다. Canalys. Canalys에 따르면 이 회사는 전 세계적으로 세 번째로 큰 공급업체입니다.
“권한이 없는 Android 애플리케이션에서 결제 패키지를 위조하거나 결제 시스템을 직접 비활성화할 수 있는 일련의 취약점을 발견했습니다. 우리는 WeChat Pay를 해킹할 수 있었고 완벽하게 작동하는 개념 증명을 구현할 수 있었습니다.”라고 Check Point의 보안 연구원인 Slava Makkaveev는 말했습니다.
그는 체크포인트 연구에서 샤오미의 신뢰할 수 있는 애플리케이션이 보안 문제에 대해 검토된 것은 이번이 처음이라고 말했다. WeChat Pay는 중국에 본사를 둔 동명의 회사에서 개발한 모바일 결제 및 디지털 지갑 서비스입니다. 이 서비스는 300억 명 이상의 고객이 사용하며 Android 사용자가 모바일 결제 및 온라인 거래를 할 수 있도록 합니다.
결함
취약점이 얼마나 오래 존재했는지 또는 공격자가 야생에서 악용했는지는 불분명합니다. 다음으로 추적되는 버그 CVE-2020-14125, XNUMX월에 Xiaomi에 의해 패치되었으며 CVSS 심각도가 높음입니다.
“일부 Xiaomi 휴대폰 모델에는 서비스 거부 취약점이 존재합니다. 이 취약점은 아웃 오브 바운드 읽기/쓰기로 인해 발생하며 공격자가 서비스 거부를 만들기 위해 악용할 수 있습니다." 버그에 대한 노출 설명.
Xiaomi가 XNUMX월에 취약점을 공개할 당시 버그의 영향에 대한 세부 정보는 제한되어 있었지만 Check Point의 연구원은 패치된 버그의 사후 분석과 결함의 전체 잠재적 영향에 대해 설명했습니다.
Xiaomi 전화의 핵심 문제는 휴대 전화 결제 방법과 전화의 TEE(Trusted Execution Environment) 구성 요소였습니다. TEE는 거래 서명에 사용되는 지문 및 암호화 키와 같은 매우 민감한 보안 정보를 처리하고 저장하는 Xiaomi의 가상 전화 구역입니다.
“패치하지 않은 채로 두면 공격자가 WeChat Pay 제어 및 지불 패키지에 서명하는 데 사용되는 개인 키를 훔칠 수 있습니다. 최악의 경우 권한이 없는 Android 앱이 가짜 결제 패키지를 만들고 서명했을 수 있습니다.”라고 연구원은 썼습니다.
Check Point에 따르면 결함이 있는 단말기에 대해 두 가지 유형의 공격이 수행될 수 있었습니다.
- 권한이 없는 Android 앱에서: 사용자가 악성 애플리케이션을 설치하고 실행합니다. 앱은 키를 추출하고 가짜 지불 패킷을 보내 돈을 훔칩니다.
- 공격자가 대상 장치를 손에 들고 있는 경우: 공격자는 장치를 루팅한 다음 신뢰 환경을 다운그레이드한 다음 코드를 실행하여 애플리케이션 없이 가짜 결제 패키지를 생성합니다.
TEE 스킨을 만드는 두 가지 방법
Check Point에 따르면 TEE를 제어하는 것은 공격을 수행하기 위해 존재해야 하는 MediaTek 칩 구성 요소입니다. 분명히 말해서 결함은 MediaTek 칩에 없었지만 버그는 MediaTek 프로세서로 구성된 전화기에서만 실행 가능했습니다.
연구원들은 “아시아 시장은 주로 MediaTek 칩을 기반으로 하는 스마트폰으로 대표됩니다.”라고 말했습니다. MediaTek 칩에서 실행되는 Xiaomi 휴대폰은 "Kinibi"라고 하는 TEE 아키텍처를 사용합니다. 이 아키텍처에서 Xiaomi는 신뢰할 수 있는 자체 애플리케이션을 포함하고 서명할 수 있습니다.
"일반적으로 Kinibi OS의 신뢰할 수 있는 앱은 MCLF 형식을 사용합니다." - Mobicore Loadable 형식 - "하지만 Xiaomi는 자체적으로 하나를 내놓기로 결정했습니다." 그러나 자체 형식에는 "공격자가 신뢰할 수 있는 앱의 이전 버전을 기기로 전송하고 이를 사용하여 새 앱 파일을 덮어쓸 수 있는" 버전 제어가 없는 결함이 있었습니다. 버전 간 서명은 변경되지 않으므로 TEE는 차이점을 알지 못하고 이전 서명을 로드합니다.
본질적으로 공격자는 전화의 가장 민감한 영역에서 Xiaomi 또는 MediaTek이 만든 보안 수정을 우회하여 시간을 되돌릴 수 있습니다.
사례로 연구원들은 모바일 결제를 통합하려는 타사 앱에 API를 제공하는 Xiaomi의 임베디드 프레임워크인 "Tencent soter"를 목표로 삼았습니다. Soter는 전 세계 수억 대의 Android 기기에 대해 전화와 백엔드 서버 간의 결제 확인을 담당합니다. 연구원들은 soter 앱의 임의 읽기 취약점을 악용하기 위해 시간 여행을 수행했습니다. 이를 통해 거래에 서명하는 데 사용되는 개인 키를 훔칠 수 있었습니다.
임의 읽기 취약점은 이미 패치되었으며 버전 제어 취약점은 "수정 중"입니다.
또한 연구원들은 soter를 악용하는 또 다른 트릭을 생각해 냈습니다.
권한이 없는 일반 Android 애플리케이션을 사용하여 soter 키를 관리하기 위한 API인 "SoterService"를 통해 신뢰할 수 있는 soter 앱과 통신할 수 있었습니다. "실제로 우리의 목표는 더 나은 개인 키 중 하나를 훔치는 것입니다."라고 저자는 썼습니다. 그러나 고전적인 힙 오버플로 공격을 수행하여 "Tencent soter 플랫폼을 완전히 손상"시킬 수 있었고, 예를 들어 가짜 지불 패키지에 서명할 수 있는 훨씬 더 큰 권한을 허용했습니다.
전화는 조사되지 않은 상태로 남아 있습니다.
모바일 결제는 이미 받고 있습니다 배우기 정밀한 조사 Apple Pay 및 Google Pay와 같은 서비스가 서구에서 인기를 얻으면서 보안 연구원들로부터. 그러나 모바일 결제 시장이 이미 훨씬 앞서 있는 극동 지역에서는 문제가 훨씬 더 중요합니다. 의 데이터에 따르면 Statista, 그 반구는 2021년에 전 세계 모바일 결제의 전체 XNUMX/XNUMX를 담당했습니다. 총 거래 금액은 약 XNUMX억 달러입니다.
그러나 아직까지 아시아 시장은 “아직 폭넓게 탐색되지 않았다”고 연구원들은 지적했습니다. "보안 관리와 모바일 결제의 핵심이 구현되어 있음에도 불구하고 칩 제조업체가 아닌 Xiaomi와 같은 장치 공급업체가 작성한 신뢰할 수 있는 응용 프로그램을 조사하는 사람은 아무도 없습니다."
앞서 언급했듯이 Check Point는 Xiaomi의 신뢰할 수 있는 애플리케이션이 보안 문제에 대해 검토된 것은 이번이 처음이라고 주장했습니다.
