Xiaomi فون بگ نے ادائیگی کی جعلسازی کی اجازت دی۔

ٹائم سٹیمپ: 16 اگست 2022 8:26 AM

موبائل لین دین حملہ آوروں کے ذریعہ غیر فعال، تخلیق اور دستخط کیے جا سکتے تھے۔

اسمارٹ فون بنانے والی کمپنی Xiaomi، جو ایپل اور سام سنگ کے پیچھے دنیا کی نمبر تین فون بنانے والی کمپنی ہے، نے اطلاع دی ہے کہ اس نے ادائیگی کے ڈیٹا کو ذخیرہ کرنے کے لیے استعمال ہونے والے اپنے "قابل اعتماد ماحول" میں ایک انتہائی شدید خامی کی نشاندہی کی ہے جس نے اس کے کچھ ہینڈ سیٹس کو حملہ کرنے کے لیے کھول دیا۔

چیک پوائنٹ ریسرچ میں محققین نازل کیا گزشتہ ہفتے DEF CON میں جاری کردہ ایک رپورٹ میں کہا گیا تھا کہ Xiaomi اسمارٹ فون کی خرابی کی وجہ سے ہیکرز کو موبائل پیمنٹ سسٹم کو ہائی جیک کرنے اور اسے غیر فعال کرنے یا اپنی جعلی ٹرانزیکشنز بنانے اور دستخط کرنے کی اجازت مل سکتی ہے۔

Q2/22 کے اعداد و شمار کے مطابق، متاثرین کا ممکنہ پول بہت بڑا تھا، اس بات پر غور کرتے ہوئے کہ دنیا کے سات میں سے ایک اسمارٹ فون Xiaomi کے ذریعہ تیار کیا جاتا ہے۔ Canalys. Canalys کے مطابق، کمپنی دنیا بھر میں تیسرا سب سے بڑا وینڈر ہے۔
Infosec اندرونی نیوز لیٹر"ہم نے کمزوریوں کا ایک مجموعہ دریافت کیا جو ایک غیر مراعات یافتہ اینڈرائیڈ ایپلی کیشن سے ادائیگی کے پیکجز کو جعلی بنانے یا ادائیگی کے نظام کو براہ راست غیر فعال کرنے کی اجازت دے سکتا ہے۔ ہم WeChat Pay کو ہیک کرنے میں کامیاب ہو گئے اور تصور کے مکمل طور پر کام کرنے والے ثبوت کو لاگو کیا، "Slava Makkaveev، Check Point کے ساتھ سیکورٹی ریسرچر نے لکھا۔

انہوں نے کہا، چیک پوائنٹ کا مطالعہ پہلی بار اس بات کی نشاندہی کرتا ہے کہ Xiaomi کی قابل اعتماد ایپلی کیشنز کا سیکورٹی کے مسائل کے لیے جائزہ لیا گیا ہے۔ WeChat Pay ایک موبائل ادائیگی اور ڈیجیٹل والیٹ سروس ہے جسے اسی نام کی ایک فرم نے تیار کیا ہے، جو چین میں مقیم ہے۔ یہ سروس 300 ملین سے زیادہ صارفین استعمال کرتے ہیں اور یہ اینڈرائیڈ صارفین کو موبائل ادائیگی اور آن لائن لین دین کرنے کی اجازت دیتی ہے۔

دوش

یہ واضح نہیں ہے کہ یہ خطرہ کب تک موجود تھا یا اگر جنگلی میں حملہ آوروں نے اس کا استحصال کیا تھا۔ بگ، بطور ٹریک کیا گیا۔ CVE-2020-14125، کو Xiaomi نے جون میں پیک کیا تھا اور اس کی CVSS سیوریٹی ریٹنگ زیادہ ہے۔

"سروس کے خطرے سے انکار کچھ Xiaomi ماڈلز کے فونز میں موجود ہے۔ NIST عام کمزوری اور کے مطابق، کمزوری حد سے باہر پڑھنے/لکھنے کی وجہ سے ہوتی ہے اور حملہ آور سروس سے انکار کرنے کے لیے اس کا فائدہ اٹھا سکتے ہیں۔ بگ کی نمائش کی تفصیل.

جب کہ Xiaomi کی جانب سے جون میں کمزوری کا انکشاف کرنے کے وقت بگ کے اثرات کی تفصیلات محدود تھیں، لیکن چیک پوائنٹ کے محققین نے پیچ شدہ بگ کے پوسٹ مارٹم اور خامی کے مکمل ممکنہ اثرات کا خاکہ پیش کیا ہے۔

Xiaomi فون کے ساتھ بنیادی مسئلہ موبائل فونز کی ادائیگی کا طریقہ اور فون کا ٹرسٹڈ ایگزیکیوشن انوائرنمنٹ (TEE) جزو تھا۔ TEE فون کا Xiaomi کا ورچوئل انکلیو ہے، جو انتہائی حساس حفاظتی معلومات جیسے فنگر پرنٹس اور لین دین پر دستخط کرنے میں استعمال ہونے والی کرپٹوگرافک کیز کو پروسیسنگ اور اسٹور کرنے کا ذمہ دار ہے۔

"بغیر پیچھا چھوڑا، ایک حملہ آور WeChat Pay کنٹرول اور ادائیگی کے پیکجوں پر دستخط کرنے کے لیے استعمال ہونے والی نجی چابیاں چرا سکتا ہے۔ بدترین صورت میں، ایک غیر مراعات یافتہ اینڈرائیڈ ایپ جعلی ادائیگی پیکج بنا اور اس پر دستخط کر سکتی تھی،" محققین نے لکھا۔

چیک پوائنٹ کے مطابق خامی کے ساتھ ہینڈ سیٹس کے خلاف دو قسم کے حملے کیے جا سکتے تھے۔

  • ایک غیر مراعات یافتہ Android ایپ سے: صارف ایک بدنیتی پر مبنی ایپلیکیشن انسٹال کرتا ہے اور اسے لانچ کرتا ہے۔ ایپ چابیاں نکالتی ہے اور رقم چوری کرنے کے لیے ایک جعلی ادائیگی کا پیکٹ بھیجتی ہے۔
  • اگر حملہ آور کے ہاتھ میں ٹارگٹ ڈیوائسز ہیں: حملہ آور ڈیوائس کو روٹ کرتا ہے، پھر اعتماد کے ماحول کو گھٹاتا ہے، اور پھر بغیر کسی ایپلیکیشن کے جعلی ادائیگی پیکج بنانے کے لیے کوڈ چلاتا ہے۔

TEE جلد کرنے کے دو طریقے

TEE کو کنٹرول کرنا، چیک پوائنٹ کے مطابق، ایک MediaTek چپ جزو ہے جس کا حملہ کرنے کے لیے موجود ہونا ضروری ہے۔ واضح ہونے کے لیے، خامی میڈیا ٹیک چپ میں نہیں تھی - تاہم یہ بگ صرف میڈیا ٹیک پروسیسر کے ساتھ کنفیگر کیے گئے فونز میں قابل عمل تھا۔

"ایشیائی مارکیٹ،" محققین نے نوٹ کیا، "بنیادی طور پر میڈیا ٹیک چپس پر مبنی اسمارٹ فونز کی نمائندگی کرتا ہے۔" Xiaomi فونز جو MediaTek چپس پر چلتے ہیں ایک TEE فن تعمیر کا استعمال کرتے ہیں جسے "Kinibi" کہا جاتا ہے، جس کے اندر Xiaomi اپنی قابل اعتماد ایپلی کیشنز کو سرایت اور دستخط کر سکتا ہے۔

"عام طور پر، Kinibi OS کی بھروسہ مند ایپس میں MCLF فارمیٹ ہوتا ہے" - Mobicore لوڈ ایبل فارمیٹ - "لیکن Xiaomi نے فیصلہ کیا کہ وہ اپنا کوئی ایک ساتھ لائے۔" تاہم، ان کے اپنے فارمیٹ میں ایک خامی تھی: ورژن کنٹرول کی عدم موجودگی، جس کے بغیر "حملہ آور ایک قابل اعتماد ایپ کے پرانے ورژن کو ڈیوائس میں منتقل کر سکتا ہے اور اسے نئی ایپ فائل کو اوور رائٹ کرنے کے لیے استعمال کر سکتا ہے۔" ورژن کے درمیان دستخط تبدیل نہیں ہوتے ہیں، لہذا TEE فرق نہیں جانتا، اور یہ پرانے کو لوڈ کرتا ہے۔

خلاصہ یہ ہے کہ حملہ آور فون کے انتہائی حساس علاقے میں Xiaomi یا MediaTek کی طرف سے کیے گئے کسی بھی حفاظتی اصلاحات کو نظرانداز کرتے ہوئے، وقت سے پیچھے ہٹ سکتا تھا۔

ایک کیس ان پوائنٹ کے طور پر، محققین نے "Tencent soter" کو نشانہ بنایا، Xiaomi کا ایمبیڈڈ فریم ورک تھرڈ پارٹی ایپس کو API فراہم کرتا ہے جو موبائل ادائیگیوں کو مربوط کرنا چاہتے ہیں۔ Soter دنیا بھر میں لاکھوں Android آلات کے لیے فونز اور بیک اینڈ سرورز کے درمیان ادائیگیوں کی توثیق کرنے کا ذمہ دار ہے۔ محققین نے سوٹر ایپ میں صوابدیدی پڑھنے کے خطرے سے فائدہ اٹھانے کے لیے ٹائم ٹریول کیا۔ اس نے انہیں لین دین پر دستخط کرنے کے لیے استعمال ہونے والی نجی چابیاں چرانے کی اجازت دی۔

صوابدیدی پڑھنے کے خطرے کو پہلے ہی پیچ کر دیا گیا ہے، جبکہ ورژن کنٹرول کے خطرے کو "فکس کیا جا رہا ہے۔"

اس کے علاوہ، محققین نے سوٹر کے استحصال کے لیے ایک اور چال نکالی۔

ایک باقاعدہ، غیر مراعات یافتہ اینڈرائیڈ ایپلیکیشن کا استعمال کرتے ہوئے، وہ سوٹر کیز کے انتظام کے لیے ایک API "SoterService" کے ذریعے بھروسہ مند سوٹر ایپ کے ساتھ بات چیت کرنے کے قابل تھے۔ مصنفین نے لکھا، "عملی طور پر، ہمارا مقصد ایک نجی کلید کو چوری کرنا ہے۔" تاہم، ایک کلاسک ہیپ اوور فلو اٹیک کو انجام دے کر، وہ "Tencent soter پلیٹ فارم سے مکمل سمجھوتہ" کرنے میں کامیاب ہوئے، مثال کے طور پر، جعلی ادائیگی پیکجوں پر دستخط کرنے کے لیے بہت زیادہ طاقت فراہم کی۔

فون کی جانچ پڑتال نہیں کی جاتی ہے۔

موبائل ادائیگیاں پہلے ہی موصول ہو رہی ہیں۔ زیادہ جانچ پڑتال کے سیکیورٹی محققین کی طرف سے، کیونکہ ایپل پے اور گوگل پے جیسی خدمات مغرب میں مقبولیت حاصل کرتی ہیں۔ لیکن یہ مسئلہ مشرق بعید کے لیے اور بھی زیادہ اہم ہے، جہاں موبائل ادائیگیوں کا بازار پہلے ہی بہت آگے ہے۔ سے اعداد و شمار کے مطابق Statista، وہ نصف کرہ 2021 میں عالمی سطح پر موبائل ادائیگیوں کے مکمل دو تہائی کے لئے ذمہ دار تھا - مجموعی طور پر تقریبا چار بلین ڈالر کی لین دین۔

اور ابھی تک، ایشیائی مارکیٹ کو "ابھی تک وسیع پیمانے پر تلاش نہیں کیا گیا ہے،" محققین نے نوٹ کیا۔ "کوئی بھی چپ مینوفیکچررز کے بجائے ڈیوائس وینڈرز، جیسے Xiaomi کی طرف سے لکھی گئی قابل اعتماد ایپلی کیشنز کی جانچ نہیں کر رہا ہے، حالانکہ وہاں سیکیورٹی کا انتظام اور موبائل ادائیگیوں کا بنیادی عمل نافذ ہے۔"

جیسا کہ پہلے بتایا گیا ہے، چیک پوائنٹ نے زور دے کر کہا کہ یہ پہلا موقع ہے جب Xiaomi کی قابل اعتماد ایپلی کیشنز کا سیکورٹی کے مسائل کے لیے جائزہ لیا گیا ہے۔

ٹائم اسٹیمپ:

سے زیادہ نقصان دہ