Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr beseitigen. Laut den neuesten Statistiken entfielen 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß ist daher das Interesse Hackern, sich Zugang oder sogar Kontrolle über virtuelle Zahlungswege zu verschaffen.
Xiaomi kann seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR stellte fest, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin“, die für die Sicherheitsverwaltung zuständig ist. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.
Sichere TEE, sichere Zahlungen
Die sogenannte vertrauenswürdige Ausführungsumgebung oder Trusted Execution Environment (TEE) ist seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck ist die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptografische Schlüssel oder Fingerabdrücke. Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.
Zuvor wurde der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert wird, noch nicht umfassend erforscht. Niemand untersucht vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert sind. Mit der Studie werden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasst sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät ist das Xiaomi Redmi Note 9T 5G mit MIUI Global 12.5.6.0 OS.
Integriertes Framework für mobile Zahlungen gefährdet
Xiaomi-Geräte verfügen über ein integriertes Framework für mobile Zahlungen namens „Tencent Soter“, das ein API (Application Programming Interface) für Android-Anwendungen von Drittanbietern bereitstellt, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion besteht darin, die Verifizierung von Zahlungspakete zu ermöglichen, die zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen werden. Darin besteht im Wesentlichen die Sicherheit, auf die wir alle zählen, wenn wir mobile Zahlungen durchführen.
Nach Angaben von Tencent unterstützen Hunderte von Millionen Android-Geräte Tencent Soter. WeChat Pay und Alipay sind die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machen sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen hat über eine Milliarde Nutzer. WeChat Pay basiert auf dem Soter von Tencent. Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die WeChat-App gebunden zu sein, kann er direkt den Tencent-Soter verwenden. Diese Vorgehensweise ermöglicht es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde.
Die von CPR entdeckte Schwachstelle, die Xiaomi mit CVE-2020-14125 bezeichnet, kompromittiert die Tencent-Soter-Plattform vollständig und ermöglicht es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.
Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte Android-Anwendung könnte die Sicherheitslücke CVE-2020-14125 ausnutzen, um Codes in der vertrauenswürdigen Wechat-App auszuführen und Zahlungspakete zu fälschen. Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.
Den kompletten Bericht der Sicherheitsforscher finden Sie unter: https://research.checkpoint.com/2022/researching-xiaomis-tee
