Xiaomi opravilo závažnú chybu, útočníci dokázali zneužiť platobný systém

Svetová trojka v produkcii smartfónov, aj na Slovensku veľmi obľúbené Xiaomi, zažíva nepekné dni. Zistilo sa totiž, že jeho platobný systém WeChat Pay mohli zneužívať hekeri, čo znamená okrem iného prevod ľubovoľnej čiastky z vášho účtu.

Ak si uvedomíme, že zhruba každý siedmy smartfón vyrobí Xiaomi, ide o obrovský dosah na milióny ľudí s obrovskými potenciálnymi obeťami. O čo presne ide?

Výskumníci z Check Point Research minulý týždeň zverejnili, že chyba v smartfónoch Xiaomi mohla hekerom umožniť uniesť mobilný platobný systém a robiť si s ním čo chcú. Deaktivovať ho, alebo, ešte horšie, vytvárať a schváliť falošné transakcie. Chybu bolo možné spustiť len v smartfónoch s procesorom MediaTek.

Slava Makkaveev, bezpečnostný výskumník z Check Point, uviedol: „Objavili sme súbor zraniteľností, ktoré by mohli umožniť falšovanie platobných balíkov alebo deaktiváciu platobného systému priamo z neprivilegovanej aplikácie pre Android. Podarilo sa nám nabúrať do WeChat Pay a implementovať plne funkčný dôkaz koncepcie.“

Ešte zaujímavejšie je, že ide o prvý prípad, keď sa podarilo chránené a dôverné aplikácie skontrolovať z hľadiska bezpečnostných problémov. WeChat Pay je služba mobilných platieb a digitálnej peňaženky vyvinutá spoločnosťou s rovnakým názvom so sídlom v Číne. Službu využíva viac ako 300 miliónov používateľov, umožňuje používateľom systému Android vykonávať mobilné platby a on-line transakcie.

Výskumníci odhalili chybu zabezpečenia odmietnutia služby. Zraniteľnosť je spôsobená nechráneným čítaním, resp. zápisom. Hekeri ju tak mohli zneužiť na odmietnutie služby.

Hlavným problémom smartfónov od Xiaomi bol spôsob platby mobilnými telefónmi a komponent TEE (Trusted Execution Environment). Práve TEE zodpovedá za spracovanie a ukladanie mimoriadne citlivých bezpečnostných informácií, ako sú odtlačky prstov a kryptografické kľúče používané pri podpisovaní transakcií.

„Útočník by mohol ukradnúť súkromné ​​kľúče používané na podpisovanie kontrolných a platobných balíkov WeChat Pay. V najhoršom prípade mohla neprivilegovaná aplikácia pre Android vytvoriť a podpísať falošný platobný balík,“ uvádzalo sa v správe Check Point Research.

Útoky mohli byť prevedené dvomi formami. Z neprivilegovanej aplikácie pre Android. Vtedy si používateľ nainštaloval škodlivú appku a spustil ju. Aplikácia získa potrebné kľúče a odošle falošný platobný balík, aby ukradla peniaze. Druhým spôsob bol možný, ak mal hekrer v ruke cieľové zariadenie. Rootol ho, znížil úroveň dôveryhodnosti prostredia a napokon spustil kód na vytvorenie falošného platobného balíka bez aplikácie.

Ako sme spomínali, chybu bolo možné spustiť len v zariadeniach nakonfigurovaných s procesorom MediaTek. Chyba však nebola v čipe MediaTek. Práve tento výrobca je dominantný na ázijských trhoch. Telefóny Xiaomi, ktoré fungujú na čipoch MediaTek, používajú architektúru TEE s názvom Kinibi, do ktorej Xiaomi vkladá a podpisuje svoje vlastné dôveryhodné aplikácie.

Dôveryhodné aplikácie Kinibi majú zvyčajne formát MCLF (Mobicore Loadable Format), Xiaomi však používal vlastný a tam nastala fatálna chyba. Systém nevyžadoval najnovšiu verziu, takže heker mohol preniesť starú verziu dôveryhodnej aplikácie do zariadenia a použiť ju na prepísanie nového súboru aplikácie. Podpis medzi verziami sa nemenil, takže TEE nespoznalo rozdiel a bez problémov načítalo starú verziu.

Experti netušia, ako dlho táto zraniteľnosť existovala, nevie sa dokonca ani to, či ju útočníci vôbec niekedy použili. Chyba, označená ako CVE-2020-14125, bola opravená Xiaomi v júni a má vysoké hodnotenie závažnosti CVSS.