Mobil işlemler saldırganlar tarafından devre dışı bırakılmış, oluşturulmuş ve imzalanmış olabilir.
Apple ve Samsung'un ardından dünyanın üç numaralı telefon üreticisi olan akıllı telefon üreticisi Xiaomi, bazı telefonlarını saldırıya açan ödeme verilerini depolamak için kullanılan "güvenilir ortamında" yüksek önemde bir kusuru yamaladığını bildirdi.
Check Point Research şirketindeki araştırmacılar ortaya DEF CON'da geçen hafta yayınlanan bir raporda, Xiaomi akıllı telefon açığının bilgisayar korsanlarının mobil ödeme sistemini ele geçirmesine ve devre dışı bırakmasına veya kendi sahte işlemlerini oluşturup imzalamasına izin vermiş olabileceği belirtildi.
Q2/22 verilerine göre, dünyadaki her yedi akıllı telefondan birinin Xiaomi tarafından üretildiği düşünüldüğünde, potansiyel kurban havuzu çok büyüktü. Canalys. Canalys'e göre şirket, dünyanın en büyük üçüncü satıcısı.
Ayrıcalıksız bir Android uygulamasından ödeme paketlerinin sahteciliğine veya ödeme sisteminin doğrudan devre dışı bırakılmasına izin verebilecek bir dizi güvenlik açığı keşfettik. Check Point'te güvenlik araştırmacısı olan Slava Makkaveev, WeChat Pay'i hacklemeyi başardık ve tamamen işe yaramış bir konsept kanıtı uyguladık” dedi.
Check Point araştırmasının, Xiaomi'nin güvenilir uygulamalarının güvenlik sorunları için ilk kez incelendiğini işaret ettiğini söyledi. WeChat Pay, Çin merkezli aynı adlı bir firma tarafından geliştirilen bir mobil ödeme ve dijital cüzdan hizmetidir. Hizmet, 300 milyondan fazla müşteri tarafından kullanılıyor ve Android kullanıcılarının mobil ödemeler ve çevrimiçi işlemler yapmasına olanak tanıyor.
Kusur
Güvenlik açığının ne kadar süredir var olduğu veya vahşi doğada saldırganlar tarafından istismar edilip edilmediği belli değil. olarak izlenen hata CVE-2020-14125, Xiaomi tarafından Haziran ayında yama uygulandı ve yüksek CVSS önem derecesine sahip.
“Bazı Xiaomi telefon modellerinde bir hizmet reddi güvenlik açığı var. Güvenlik açığı, sınır dışı okuma/yazma nedeniyle oluşur ve saldırganlar tarafından hizmet reddi yapmak için kullanılabilir", NIST ortak güvenlik açığına göre ve hatanın maruz kalma açıklaması.
Hatanın etkisinin ayrıntıları, Xiaomi'nin Haziran ayında güvenlik açığını açıkladığı sırada sınırlı olsa da, Check Point'teki araştırmacılar, otopsisinde yamalı hatanın ve kusurun tam potansiyel etkisinin ana hatlarını çizdiler.
Xiaomi telefonuyla ilgili temel sorun, cep telefonlarının ödeme yöntemi ve telefonun Güvenilir Yürütme Ortamı (TEE) bileşeniydi. TEE, Xiaomi'nin telefonun sanal yerleşim bölgesidir ve parmak izleri ve imzalama işlemlerinde kullanılan kriptografik anahtarlar gibi ultra hassas güvenlik bilgilerinin işlenmesinden ve saklanmasından sorumludur.
“Yama uygulanmadan bırakılan bir saldırgan, WeChat Pay kontrol ve ödeme paketlerini imzalamak için kullanılan özel anahtarları çalabilir. En kötü durumda, ayrıcalıksız bir Android uygulaması sahte bir ödeme paketi oluşturup imzalayabilirdi” diye yazdı araştırmacılar.
Check Point'e göre kusurlu el cihazlarına karşı iki tür saldırı gerçekleştirilebilirdi.
- Ayrıcalıksız bir Android uygulamasından: Kullanıcı kötü amaçlı bir uygulama yükler ve onu başlatır. Uygulama, anahtarları çıkarır ve parayı çalmak için sahte bir ödeme paketi gönderir.
- Saldırganın elinde hedef cihazlar varsa: Saldırgan cihazı köklendirir, ardından güven ortamını düşürür ve ardından uygulama olmadan sahte bir ödeme paketi oluşturmak için kodu çalıştırır.
Bir TEE'yi Kaplamanın İki Yolu
Check Point'e göre TEE'yi kontrol etmek, saldırıyı gerçekleştirmek için bulunması gereken bir MediaTek çip bileşenidir. Açık olmak gerekirse, kusur MediaTek yongasında değildi – ancak hata yalnızca MediaTek işlemciyle yapılandırılmış telefonlarda çalıştırılabilirdi.
Araştırmacılar, "Asya pazarı"nın "esas olarak MediaTek çiplerine dayalı akıllı telefonlar tarafından temsil edildiğini" belirtti. MediaTek yongaları üzerinde çalışan Xiaomi telefonları, Xiaomi'nin kendi güvenilir uygulamalarını yerleştirip imzalayabileceği “Kinibi” adlı bir TEE mimarisi kullanır.
"Genellikle, Kinibi OS'nin güvenilir uygulamaları MCLF formatına sahiptir" - Mobicore Loadable Format - "ancak Xiaomi kendilerinden birini bulmaya karar verdi." Ancak kendi biçimleri içinde bir kusur vardı: Sürüm denetiminin olmaması, bu olmadan "saldırgan güvenilir bir uygulamanın eski bir sürümünü cihaza aktarabilir ve onu yeni uygulama dosyasının üzerine yazmak için kullanabilir". Sürümler arasındaki imza değişmez, bu nedenle TEE farkı bilmez ve eskisini yükler.
Aslında saldırgan, Xiaomi veya MediaTek tarafından telefonun en hassas alanında yapılan güvenlik düzeltmelerini atlayarak zamanı geri alabilirdi.
Bir örnek olarak, araştırmacılar, Xiaomi'nin mobil ödemeleri entegre etmek isteyen üçüncü taraf uygulamalara bir API sağlayan yerleşik çerçevesi olan "Tencent soter" ı hedef aldı. Soter, dünya çapında yüz milyonlarca Android cihaz için telefonlar ve arka uç sunucular arasındaki ödemeleri doğrulamaktan sorumludur. Araştırmacılar, soter uygulamasında rastgele bir okuma güvenlik açığından yararlanmak için zaman yolculuğu gerçekleştirdi. Bu, işlemleri imzalamak için kullanılan özel anahtarları çalmalarına izin verdi.
Rastgele okuma güvenlik açığı zaten yamalanmış durumdayken, sürüm kontrolü güvenlik açığı "düzeltiliyor".
Buna ek olarak, araştırmacılar soterden yararlanmak için başka bir numara buldular.
Sıradan, ayrıcalıksız bir Android uygulaması kullanarak, soter anahtarlarını yönetmek için bir API olan “SoterService” aracılığıyla güvenilir soter uygulamasıyla iletişim kurabildiler. Yazarlar, "Uygulamada amacımız, soter özel anahtarlarından birini çalmak" diye yazdı. Bununla birlikte, klasik bir yığın taşması saldırısı gerçekleştirerek, örneğin sahte ödeme paketleri imzalamak için çok daha fazla güce izin vererek "Tencent soter platformunu tamamen tehlikeye atmayı" başardılar.
Telefonlar İncelenmedi
Mobil ödemeler zaten alınıyor Daha inceleme Apple Pay ve Google Pay gibi hizmetler Batı'da popülerlik kazandıkça güvenlik araştırmacılarından. Ancak sorun, mobil ödeme pazarının zaten çok ileride olduğu Uzak Doğu için daha da önemli. gelen verilere göre (Statista), bu yarımküre 2021'de küresel olarak mobil ödemelerin tam üçte ikisinden sorumluydu - toplamda yaklaşık dört milyar dolarlık işlem.
Yine de, araştırmacılar, Asya pazarının "henüz geniş çapta araştırılmadığını" belirtti. "Hiç kimse, güvenlik yönetimi ve mobil ödemelerin özü orada uygulanmış olsa bile, çip üreticileri yerine Xiaomi gibi cihaz satıcıları tarafından yazılan güvenilir uygulamaları incelemiyor."
Daha önce belirtildiği gibi Check Point, bunun Xiaomi'nin güvenilir uygulamalarının güvenlik sorunları için ilk kez gözden geçirildiğini iddia etti.
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- mobil Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açıkları
- web sitesi güvenliği
- zefirnet
