Luki bezpieczeństwa w smartfonach Xiaomi [aktualizacja]

W urządzeniach Xiaomi wykryto poważne luki bezpieczeństwa płatności mobilnych. Jak sobie z nimi poradzić?

Fot. PhotoMIX-Company/Pixabay

Analitycy z firmy Check Point wykryli problemy z bezpieczeństwem w systemie płatności działającym w smartfonach Xiaomi, które opierają się na chipach MediaTek. Układy te mają tworzyć środowisko zaufanego wykonania (TEE), które jest odpowiedzialne za bezpieczne podpisywanie transakcji. Atakujący mogą wykorzystać wykryte luki do podpisywania fałszywych pakietów płatności za pomocą nieuprawnionej aplikacji innej firmy.

Konsekwencją takiego ataku może być uniemożliwienie dostępu do usługi płatniczej lub wykonanie przelewu z mobilnej aplikacji użytkownika na konto cyberprzestępcy. Biorąc pod uwagę, jak powszechne są płatności mobilne i telefony Xiaomi, zwłaszcza na rynkach azjatyckich, szacuje się, że pule pieniędzy możliwe do przejęcia przez przestępców mogą sięgać miliardów dolarów.

Zobacz również:

  • Xiaomi w Lidlu - to urządzenie znanej marki kupisz teraz taniej niż w innych sklepach
  • Aktualizacja Galaxy Store albo atak hackera! Ty wybierasz

Zaufane środowisko w Xiaomi

Telefony Xiaomi działające na chipie MediaTek wykorzystują architekturę „Kinibi” TEE, która tworzy oddzielną wirtualną enklawę do przechowywania kluczy bezpieczeństwa wymaganych do podpisywania transakcji. Ta przestrzeń jest przeznaczona do uruchamiania zaufanych aplikacji, takich jak „thhadmin” Xiaomi, które są odpowiedzialne za zarządzanie bezpieczeństwem, w tym wbudowaną platformą płatności mobilnych „Tencent Soter”. Zapewnia ona interfejs API dla aplikacji innych firm w celu integracji funkcji płatności.

Aplikacje takie jak WeChat Pay i Alipay, które łącznie mają ponad miliard użytkowników, korzystają z interfejsu API „Tencent Soter”, aby bezpiecznie weryfikować pakiety płatności i umożliwiać wykonanie transakcji finansowych. Badacze bezpieczeństwa z Check Point znaleźli lukę w zaufanym formacie aplikacji, z którego korzysta Xiaomi, a polega ona na braku kontroli wersji oprogramowania. Otwiera to drzwi do ataku typu downgrade, co oznacza, że podmiot atakujący może zastąpić nowszą, bezpieczniejszą aplikację wersją starszą, podatną na ataki.

Badaczom udało się odkryć też inną lukę (CVE-2020-14125) w zaufanej aplikacji Tencent Soter, która umożliwia atakującemu wyodrębnienie kluczy prywatnych i podpisanie fałszywych pakietów płatności przez użytkownika bez uprawnień. Analitycy ominęli łatki bezpieczeństwa Xiaomi i MediaTek, nadpisując aplikację „thhadmin” MIUI 12.5.6.0 wersją MIUI 10.4.1.0, umożliwiając jej wykorzystanie na wiele sposobów. Połączenie komunikacyjne jest nawiązywane przy użyciu SoterService jako proxy, po wywołaniu funkcji initSigh w aplikacji Soter przy użyciu określonego kodu Java.

Jak nie dopuścić do utraty pieniędzy?

Aby bronić się przed atakami, użytkownicy telefonów Xiaomi opartych na układach MediaTek powinni zastosować czerwcowe aktualizacje zabezpieczeń Androida, które usuwają lukę CVE-2020-14125. Błąd wycieku klucza Sotera to problem strony trzeciej, ale Xiaomi twierdzi, że sprzedawca pracuje nad poprawką, która powinna być dostępna w najbliższej przyszłości.

Jakimś sposobem na poradzenie sobie z zagrożeniami jest też tymczasowe wyłączenie mobilnych płatności, ale jeśli nie możesz sobie na to pozwolić, spróbuj zminimalizować liczbę zainstalowanych aplikacji na swoim urządzeniu, zaktualizować system operacyjny i skorzystać z pakietu bezpieczeństwa mobilnego, który może wykrywać i powstrzymywać podejrzane działania.

Aktualizacja

Koncern Xiaomi wydał oświadczenie w opisywanej sprawie:

"Przyczyna podatności została zidentyfikowana.

Zespół techniczny Xiaomi ściśle współpracuje z partnerami z łańcucha dostaw w celu wyeliminowania ryzyka, a proces naprawczy został już rozpoczęty. Luka została znaleziona tylko w ograniczonej liczbie modeli i wymaga niezwykle zaawansowanej technologii łamania zabezpieczeń.

W związku z tym, nie ma ona szerokiego wpływu i nie spowodowała żadnych strat dla użytkowników."

Źródło: BleepingComputer