Gefälschte Transaktionen möglich: Schwachstellen im mobilen Zahlungsmechanismus von Xiaomi
San Carlos, Kalifornien – 12. August 2022 – Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr beseitigen.
Laut den neuesten Statistiken entfielen 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß ist daher das Interesse Hackern, sich Zugang oder sogar Kontrolle über virtuelle Zahlungswege zu verschaffen.
Xiaomi kann seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR stellte fest, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin“, die für die Sicherheitsverwaltung zuständig ist. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.
Sichere TEE, sichere Zahlungen
Die sogenannte vertrauenswürdige Ausführungsumgebung oder Trusted Execution Environment (TEE) ist seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck ist die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptografische Schlüssel oder Fingerabdrücke. Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.
Zuvor wurde der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert wird, noch nicht umfassend erforscht. Niemand untersucht vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert sind. Mit der Studie werden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasst sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät ist das Xiaomi Redmi Note 9T 5G mit MIUI Global 12.5.6.0 OS.
Integriertes Framework für mobile Zahlungen gefährdet
Xiaomi-Geräte verfügen über ein integriertes Framework für mobile Zahlungen namens „Tencent Soter“, das ein API (Application Programming Interface) für Android-Anwendungen von Drittanbietern bereitstellt, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion besteht darin, die Verifizierung von Zahlungspakete zu ermöglichen, die zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen werden. Darin besteht im Wesentlichen die Sicherheit, auf die wir alle zählen, wenn wir mobile Zahlungen durchführen.
Abbildung 1: Implementierung des Tencent-Soters auf Xiaomi-Geräten
Nach Angaben von Tencent unterstützen Hunderte von Millionen Android-Geräte Tencent Soter. WeChat Pay und Alipay sind die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machen sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen hat über eine Milliarde Nutzer. WeChat Pay basiert auf dem Soter von Tencent. Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die WeChat-App gebunden zu sein, kann er direkt den Tencent-Soter verwenden. Diese Vorgehensweise ermöglicht es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde.
Die von CPR entdeckte Schwachstelle, die Xiaomi mit CVE-2020-14125 bezeichnet, kompromittiert die Tencent-Soter-Plattform vollständig und ermöglicht es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.
Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte Android-Anwendung könnte die Sicherheitslücke CVE-2020-14125 ausnutzen, um Codes in der vertrauenswürdigen Wechat-App auszuführen und Zahlungspakete zu fälschen. Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.
Einen ganzheitlichen Überblick über die Nachforschungen lesen Sie unter: https://blog.checkpoint.com/2022/08/09/vulnerabilities-on-xiaomis-mobile-payment-mechanism
Den kompletten Bericht der Sicherheitsforscher finden Sie unter: https://research.checkpoint.com/2022/researching-xiaomis-tee
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
Gefälschte Transaktionen möglich: Schwachstellen im mobilen Zahlungsmechanismus von Xiaomi
San Carlos, Kalifornien – 12. August 2022 – Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr beseitigen.
Laut den neuesten Statistiken entfielen 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß ist daher das Interesse Hackern, sich Zugang oder sogar Kontrolle über virtuelle Zahlungswege zu verschaffen.
Xiaomi kann seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR stellte fest, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin“, die für die Sicherheitsverwaltung zuständig ist. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.
Sichere TEE, sichere Zahlungen
Die sogenannte vertrauenswürdige Ausführungsumgebung oder Trusted Execution Environment (TEE) ist seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck ist die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptografische Schlüssel oder Fingerabdrücke. Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.
Zuvor wurde der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert wird, noch nicht umfassend erforscht. Niemand untersucht vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert sind. Mit der Studie werden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasst sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät ist das Xiaomi Redmi Note 9T 5G mit MIUI Global 12.5.6.0 OS.
Integriertes Framework für mobile Zahlungen gefährdet
Xiaomi-Geräte verfügen über ein integriertes Framework für mobile Zahlungen namens „Tencent Soter“, das ein API (Application Programming Interface) für Android-Anwendungen von Drittanbietern bereitstellt, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion besteht darin, die Verifizierung von Zahlungspakete zu ermöglichen, die zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen werden. Darin besteht im Wesentlichen die Sicherheit, auf die wir alle zählen, wenn wir mobile Zahlungen durchführen.
Abbildung 1: Implementierung des Tencent-Soters auf Xiaomi-Geräten
Nach Angaben von Tencent unterstützen Hunderte von Millionen Android-Geräte Tencent Soter. WeChat Pay und Alipay sind die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machen sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen hat über eine Milliarde Nutzer. WeChat Pay basiert auf dem Soter von Tencent. Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die WeChat-App gebunden zu sein, kann er direkt den Tencent-Soter verwenden. Diese Vorgehensweise ermöglicht es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde.
Die von CPR entdeckte Schwachstelle, die Xiaomi mit CVE-2020-14125 bezeichnet, kompromittiert die Tencent-Soter-Plattform vollständig und ermöglicht es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.
Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte Android-Anwendung könnte die Sicherheitslücke CVE-2020-14125 ausnutzen, um Codes in der vertrauenswürdigen Wechat-App auszuführen und Zahlungspakete zu fälschen. Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.
Einen ganzheitlichen Überblick über die Nachforschungen lesen Sie unter: https://blog.checkpoint.com/2022/08/09/vulnerabilities-on-xiaomis-mobile-payment-mechanism
Den kompletten Bericht der Sicherheitsforscher finden Sie unter: https://research.checkpoint.com/2022/researching-xiaomis-tee
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.