Gefälschte Transaktionen möglich
Schwachstellen im mobilen Zahlungsmechanismus von Xiaomi
San Carlos, Kalifornien (ots) - Check Point Research analysiert das in
Xiaomi-Smartphones mit MediaTek-Chips integrierte Zahlungssystem
Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen,
Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten
Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse
verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen
bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr
beseitigen.
Laut den neuesten Statistiken (https://www.statista.com/statistics/1227576/mobil
e-wallet-transactions-worldwide/) entfielen 2021 zwei Drittel der weltweiten
mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier
Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß
ist daher das Interesse der Hackern, sich Zugang oder sogar Kontrolle über
virtuelle Zahlungswege zu verschaffen.
Xiaomi-Smartphones mit MediaTek-Chips integrierte Zahlungssystem
Check Point Research (CPR) hat Schwachstellen gefunden, die es ermöglichen,
Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten
Android-Anwendung aus zu deaktivieren. CPR teilte sämtliche Erkenntnisse
verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen
bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr
beseitigen.
Laut den neuesten Statistiken (https://www.statista.com/statistics/1227576/mobil
e-wallet-transactions-worldwide/) entfielen 2021 zwei Drittel der weltweiten
mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier
Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß
ist daher das Interesse der Hackern, sich Zugang oder sogar Kontrolle über
virtuelle Zahlungswege zu verschaffen.
Xiaomi kann seine eigenen vertrauenswürdigen Anwendungen einbetten und
signieren. CPR stellte fest, dass Angreifer eine alte Version einer
vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue
App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder
MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen
umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei
endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App
"thhadmin", die für die Sicherheitsverwaltung zuständig ist. Diese
Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen
oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen
durchzuführen.
Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi
gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die
Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App
ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte
Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und
Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde
und zu einem Drittanbieter gehört, wird in Kürze behoben.
Pressekontakt:
Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
Tel.: 089 74747058-0
mailto:info@kafka-kommunikation.de
Weiteres Material: http://presseportal.de/pm/14890/5295921
OTS: Check Point Software Technologies Ltd.
signieren. CPR stellte fest, dass Angreifer eine alte Version einer
vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue
App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder
MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen
umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft. Dabei
endeckten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App
"thhadmin", die für die Sicherheitsverwaltung zuständig ist. Diese
Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen
oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen
durchzuführen.
Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi
gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die
Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App
ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte
Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und
Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde
und zu einem Drittanbieter gehört, wird in Kürze behoben.
Pressekontakt:
Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
Tel.: 089 74747058-0
mailto:info@kafka-kommunikation.de
Weiteres Material: http://presseportal.de/pm/14890/5295921
OTS: Check Point Software Technologies Ltd.