After our post yesterday Attention: vulnerabilities in Xiaomi phones, Check Point Research sent us a press release describing the attack:
Check Point Research (CPR) identified vulnerabilities in the mobile payment mechanism Xiaomi. If this is not fixed, an attacker could steal the codes used to sign Wechat Pay checks and payments.
In the worst case scenario, an unauthorized Android app could create and sign a fake payment package.
Check Point Research (CPR) has identified vulnerabilities in the Xiaomi mobile payment engine. If not fixed, an attacker could steal the private keys used to sign Wechat Pay's control and payment packets. In the worst case, an unauthorized Android app could create and sign a fake payment package.
In particular, vulnerabilities were found in Xiaomi's trusted environment, which is responsible for storing and managing sensitive information such as passwords. The devices studied by CPR were powered by its chips MediaTek.
Two types of attack
CPR discovered two ways to attack trusted code:
- From an unauthorized Android app: O user installs a malicious application and launches it. The app extracts the keys and sends a fake payment packet to steal the money
-
If the attacker has the target devices in his hands: The attacker roots the device, then degrades the trust environment, and then executes the code to create a fake payment package without an application.
CPR responsibly disclosed its findings to Xiaomi. Xiaomi has acknowledged and issued fixes.
Slava Makkaveev, Security Researcher, Check Point commented:
"Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης."
"Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;"
