Mobiltransaksjoner kan ha blitt deaktivert, opprettet og signert av angripere.
Smarttelefonprodusenten Xiaomi, verdens nummer tre telefonprodusent bak Apple og Samsung, rapporterte at den har lappet en alvorlig feil i sitt "pålitelige miljø" som brukes til å lagre betalingsdata som åpnet noen av telefonene for angrep.
Forskere ved Check Point Research avslørt forrige uke i en rapport utgitt på DEF CON at Xiaomi-smarttelefonfeilen kunne ha tillatt hackere å kapre mobilbetalingssystemet og deaktivere det eller opprette og signere sine egne forfalskede transaksjoner.
Den potensielle poolen av ofre var enorm, med tanke på at én av syv av verdens smarttelefoner er produsert av Xiaomi, ifølge data fra Q2/22 fra Canalys. Selskapet er den tredje største leverandøren globalt, ifølge Canalys.
"Vi oppdaget et sett med sårbarheter som kunne tillate forfalskning av betalingspakker eller deaktivere betalingssystemet direkte fra en uprivilegert Android-applikasjon. Vi var i stand til å hacke inn WeChat Pay og implementerte et fullstendig gjennomarbeidet proof of concept,» skrev Slava Makkaveev, sikkerhetsforsker hos Check Point.
Han sa at Check Point-studien markerer første gang Xiaomis pålitelige applikasjoner har blitt gjennomgått for sikkerhetsproblemer. WeChat Pay er en mobilbetalings- og digital lommeboktjeneste utviklet av et firma med samme navn, som er basert i Kina. Tjenesten brukes av over 300 millioner kunder og lar Android-brukere foreta mobilbetalinger og nettbaserte transaksjoner.
Feilen
Det er uklart hvor lenge sårbarheten eksisterte eller om den ble utnyttet av angripere i naturen. Feilen, spores som CVE-2020-14125, ble lappet av Xiaomi i juni og har en CVSS alvorlighetsgrad på høy.
"Et tjenestenektsproblem eksisterer i noen Xiaomi-modeller av telefoner. Sårbarheten er forårsaket av ut-av-bundet lesing/skriving og kan utnyttes av angripere til å lage tjenestenekt," ifølge NIST felles sårbarhet og eksponeringsbeskrivelse av feilen.
Mens detaljer om feilens innvirkning var begrenset på det tidspunktet Xiaomi avslørte sårbarheten i juni, har forskere ved Check Point skissert i postmortem av den korrigerte feilen og den fulle potensielle effekten av feilen.
Kjerneproblemet med Xiaomi-telefonen var mobiltelefonens betalingsmåte og Trusted Execution Environment (TEE)-komponenten på telefonen. TEE er Xiaomis virtuelle enklave av telefonen, ansvarlig for å behandle og lagre ultrasensitiv sikkerhetsinformasjon som fingeravtrykk og kryptografiske nøklene som brukes til å signere transaksjoner.
«Upatched kan en angriper stjele private nøkler som brukes til å signere WeChat Pay-kontroll- og betalingspakker. I verste fall kunne en uprivilegert Android-app ha opprettet og signert en falsk betalingspakke," skrev forskere.
To typer angrep kan ha blitt utført mot telefoner med feilen ifølge Check Point.
- Fra en uprivilegert Android-app: Brukeren installerer en ondsinnet applikasjon og starter den. Appen trekker ut nøklene og sender en falsk betalingspakke for å stjele pengene.
- Hvis angriperen har målenhetene i hendene: Angriperen rooter enheten, nedgraderer deretter tillitsmiljøet og kjører deretter koden for å lage en falsk betalingspakke uten en applikasjon.
To måter å flå en TEE på
Kontroll av TEE, ifølge Check Point, er en MediaTek-brikkekomponent som måtte være tilstede for å gjennomføre angrepet. For å være klar, var feilen ikke i MediaTek-brikken - men feilen var bare kjørbar i telefoner konfigurert med MediaTek-prosessoren.
"Det asiatiske markedet," bemerket forskerne, er "hovedsakelig representert av smarttelefoner basert på MediaTek-brikker." Xiaomi-telefoner som kjører på MediaTek-brikker bruker en TEE-arkitektur kalt "Kinibi", der Xiaomi kan bygge inn og signere sine egne pålitelige applikasjoner.
"Vanligvis har pålitelige apper til Kinibi OS MCLF-formatet" - Mobicore Loadable Format - "men Xiaomi bestemte seg for å komme opp med en av sine egne." Innenfor deres eget format var det imidlertid en feil: et fravær av versjonskontroll, uten hvilken "en angriper kan overføre en gammel versjon av en pålitelig app til enheten og bruke den til å overskrive den nye appfilen." Signaturen mellom versjoner endres ikke, så TEE vet ikke forskjellen, og den laster inn den gamle.
I hovedsak kunne angriperen ha skrudd tiden tilbake ved å omgå eventuelle sikkerhetsreparasjoner laget av Xiaomi eller MediaTek i det mest sensitive området av telefonen.
Som et eksempel målrettet forskerne «Tencent soter», Xiaomis innebygde rammeverk som gir en API til tredjepartsapper som ønsker å integrere mobilbetalinger. Soter er det som er ansvarlig for å bekrefte betalinger mellom telefoner og backend-servere, for hundrevis av millioner av Android-enheter over hele verden. Forskerne utførte tidsreiser for å utnytte en vilkårlig lesesårbarhet i soter-appen. Dette tillot dem å stjele de private nøklene som ble brukt til å signere transaksjoner.
Det vilkårlige lesesårbarheten er allerede korrigert, mens versjonskontrollsårbarheten "blir fikset."
I tillegg kom forskerne med ett annet triks for å utnytte soter.
Ved å bruke en vanlig, uprivilegert Android-applikasjon, var de i stand til å kommunisere med den pålitelige soter-appen via "SoterService", et API for å administrere soter-nøkler. "I praksis er målet vårt å stjele en av de sotere private nøklene," skrev forfatterne. Ved å utføre et klassisk heap-overflow-angrep var de imidlertid i stand til å "kompromittere Tencent soter-plattformen fullstendig", noe som gir mye større kraft til for eksempel å signere falske betalingspakker.
Telefoner forblir ukontrollerte
Mobilbetalinger mottas allerede mer granskning fra sikkerhetsforskere, ettersom tjenester som Apple Pay og Google Pay vinner popularitet i Vesten. Men problemet er enda viktigere for Fjernøsten, hvor markedet for mobilbetalinger allerede er langt fremme. I følge data fra Statista, den halvkulen var ansvarlig for hele to tredjedeler av mobilbetalinger globalt i 2021 – omtrent fire milliarder dollar i transaksjoner totalt.
Og likevel, det asiatiske markedet "har ennå ikke blitt mye utforsket," bemerket forskerne. "Ingen gransker pålitelige applikasjoner skrevet av enhetsleverandører, som Xiaomi, i stedet for av brikkeprodusenter, selv om sikkerhetsstyring og kjernen i mobilbetalinger er implementert der."
Som tidligere nevnt, hevdet Check Point at dette var første gang Xiaomis pålitelige applikasjoner har blitt gjennomgått for sikkerhetsproblemer.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- mobil sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- Sikkerhetsproblemer
- nettside sikkerhet
- zephyrnet
