Η κινέζικη εταιρεία Xiaomi κυκλοφορεί smartphone με ευπάθειες, με μια εφαρμογή θεμάτων (themes) που προσπαθεί να παρακάμψει την ενσωματωμένη προστασία ασφαλείας Android της Google.
Επιπλέον, ερευνητές ασφαλείας ανακάλυψαν μια ευπάθεια στα chip MediaTek που καθιστούν ευάλωτο το σύστημα πληρωμών που είναι ενσωματωμένο στα smartphone της Xiaomi.
Το PlayProtect της Google, είναι γνωστό ότι σαρώνει εφαρμογές που είναι εγκατεστημένες στη συσκευή για κακόβουλο λογισμικό, ιούς, trojans κ.λπ. Σήμερα λοιπόν υπήρξαν αναφορές από την εφαρμογή προστασίας της Google, για το ότι η εφαρμογή θεμάτων της Xiaomi είναι κακόβουλη. Λάθος συναγερμός, μικρό λάθος από την πλευρά της Xiaomi ή της Google, πολιτική απόφαση;
Στο reddit.com πάντως υπάρχουν πάρα πολλές αναρτήσεις από χρήστες που συζητούν το θέμα. Η παρακάτω εικόνα μάλιστα είναι από αυτήν την ανάρτηση reddit.com και δείχνει ένα μήνυμα από το Play Protect της Google.
Άλλες αναρτήσεις στο reddit.com μπορείτε να βρείτε εδώ και εδώ. Στις 13 Αυγούστου 2022 με μια ενημέρωση στις 14 Αυγούστου 2022, η Xiaomi δημοσίευσε αυτό το μήνυμα στο forum της:
Η εφαρμογή Themes έχει αποκλειστεί από το Google Play Protect. Συνεργαζόμαστε με την Google για να εντοπίσουμε την αιτία του προβλήματος.
Εάν εξακολουθείτε να βλέπετε την ειδοποίηση, αλλά δεν έχετε ακόμη απενεργοποιήσει την εφαρμογή Themes, δείτε τι μπορείτε να κάνετε
Πραγματικά το Google Play Protect απέκλεισε την εφαρμογή Θέματα και η προειδοποίηση δεν θα πρέπει να εμφανίζεται πλέον, αφού ο κατασκευαστής συνεργάζεται με την Google για να λύσει το πρόβλημα. Μπορεί να ήταν ένας ψευδής συναγερμός από το Google Play Protect.
Κενά ασφαλείας στον μηχανισμό πληρωμής των Xiaomi
Ερευνητές ασφαλείας από την Check Point Research (CPR) εντόπισαν κενά ασφαλείας σε smartphone της Xiami με chips MediaTek που επιτρέπουν την πλαστογραφία πληρωμών και την απενεργοποίηση του συστήματος πληρωμών από κάποια μη προνομιούχα εφαρμογή Android.
Η Xiaomi μπορεί να ενσωματώσει και να υπογράψει τις δικές της αξιόπιστες εφαρμογές στις συσκευές. Η CPR ανέφερε όμως ότι οι εισβολείς μπορούν να μεταφέρουν μια παλιά έκδοση μιας αξιόπιστης εφαρμογής στη συσκευή, αντικαθιστώντας το νέο αρχείο εφαρμογής. Αυτό επιτρέπει σε έναν εισβολέα να παρακάμψει διορθώσεις ασφαλείας και μηχανισμούς που γίνονται από την Xiaomi ή από το MediaTek chip.
Οι ερευνητές ασφαλείας της Check Point ανακάλυψαν αρκετά κενά ασφαλείας στην αξιόπιστη εφαρμογή “thhadmin”, η οποία είναι υπεύθυνη για τη διαχείριση της ασφάλειας. Αυτά τα κενά ασφαλείας θα μπορούσαν να χρησιμοποιηθούν για την κατασκοπεία αποθηκευμένων κλειδιών ή την εκτέλεση κακόβουλου κώδικα.
Οι συσκευές της Xiaomi διαθέτουν ένα ενσωματωμένο framework πληρωμών μέσω κινητού που ονομάζεται “Tencent Soter”. To framework παρέχει ένα API σε εφαρμογές Android τρίτων για την ενσωμάτωση λειτουργιών πληρωμής. Η κύρια λειτουργία του είναι να ενεργοποιεί την επαλήθευση των πακέτων πληρωμής που μεταφέρονται μεταξύ μιας εφαρμογής για κινητά και ενός απομακρυσμένου διακομιστή υποστήριξης. Αυτή είναι ουσιαστικά η ασφάλεια στην οποία βασίζονται οι χρήστες όταν πραγματοποιούν πληρωμές μέσω κινητού τηλεφώνου.
Εκατοντάδες εκατομμύρια συσκευές Android υποστηρίζουν το Tencent Soter. Το WeChat Pay και το Alipay είναι οι δύο μεγαλύτεροι παίκτες στον κινεζικό κλάδο ψηφιακών πληρωμών. Μαζί, αντιπροσωπεύουν περίπου το 95 τοις εκατό των πληρωμών μέσω κινητού τηλεφώνου της Κίνας.
Κάθε μία από αυτές τις πλατφόρμες έχει πάνω από ένα δισεκατομμύριο χρήστες. Το WeChat Pay βασίζεται στο Soter της Tencent.
Η ευπάθεια που ανακαλύφθηκε από την CPR, την οποία η Xiaomi αναφέρει σαν CVE-2020-14125, επιτίθεται στην πλατφόρμα Tencent Soter και επιτρέπει σε έναν μη εξουσιοδοτημένο χρήστη να υπογράφει πλαστά πακέτα πληρωμών.
Κατά τη διάρκεια της έρευνας, η CPR βρήκε έναν τρόπο να επιτεθεί στην πλατφόρμα που είναι ενσωματωμένη στα smartphone της Xiaomi, η οποία χρησιμοποιείται από εκατομμύρια χρήστες στην Κίνα για πληρωμές μέσω κινητού τηλεφώνου. Μια μη προνομιούχος εφαρμογή Android θα μπορούσε να εκμεταλλευτεί την ευπάθεια CVE-2020-14125 για να τρέξει κακόβουλο κώδικα στην αξιόπιστη εφαρμογή Wechat και να δημιουργήσει πακέτα πληρωμών.
Το screenshot στο άρθρο είναι δικό μου😂. Το είχα; Ανεβάσει στο reddit.