小米手機曝出支付漏洞

據BleepingComputer報道，近日安全分析師發現采用聯發科芯片的小米智能手機的支付系統存在安全問題，這些智能手機依賴聯發科芯片提供的負責簽署交易的可信執行環境(TEE)。

攻擊者可以利用這些漏洞使用第三方非特權應用程序簽署虛假支付數據包。通俗來說，這意味著黑客可以將用戶移動錢包中的錢轉賬到黑客賬戶中。

考慮到移動支付和小米手機的普及率，尤其是在亞洲市場，研究人員估計黑客有機會染指的資金規模達到數十億美元。

小米的“可信環境”

2021年Check Point曾在聯發科芯片的DSP固件中發現“竊聽漏洞”，黑客可“零點擊”攻擊未安裝安全更新的用戶。而最近曝出的漏洞來自小米手機使用的與聯發科芯片匹配的TEE可信執行環境架構——“Kinibi”，該架構在安卓操作系統環境中創建了一個單獨的虛擬安全空間，用于存儲簽署交易所需的安全密鑰。（編者：TEE安全空間通常托管一些重要的安全功能，例如硬件加密/密鑰、DRM、移動支付、生物特征識別等）。

智能手機中常見的TEE有三大類：高通的QSEE/QTEE、華為的TrustedCore和Trustonic的Kinibi，后者主要應用于聯發科和三星的手機芯片。

在采用聯發科芯片的小米手機中，Kinibi運行著負責安全管理的小米“thhadmin”，以及“Tencent Soter”嵌入式移動支付框架，該框架為第三方應用程序提供API以集成支付能力。

擁有超過10億用戶的微信支付和支付寶等應用程序都依賴“Tencent Soter”API來驗證支付數據包來進行安全的金融交易。

攻擊小米的“可信空間”

Check Point的安全研究人員發現，小米使用的可信應用程序文件格式存在一個漏洞——缺乏版本控制。這為降級攻擊打開了大門，這意味著黑客可以用舊的易受攻擊的版本替換新的更安全的應用程序。

研究人員在騰訊Soter可信應用程序中利用了另一個漏洞(CVE-2020-14125)，該漏洞允許攻擊者在非特權用戶的上下文中提取私鑰并簽署虛假支付數據包。

研究者成功繞過了小米和聯發科的安全補丁，用MIUI 10.4.1.0中的應用程序覆蓋MIUI 12.5.6.0上的“thhadmin”應用程序，開辟了許多利用可能性。

研究者使用以下Java代碼在Soter應用程序中調用initSigh函數后，使用SoterService作為代理建立通信鏈接。

用戶如何保護自己

對于采用聯發科芯片的小米手機的用戶，6月份的Android安全更新非常重要，該更新修補了CVE-2020-14125漏洞。

Soter密鑰泄漏的漏洞則屬于第三方問題，小米已經確認供應商正在修復，未來應該會提供補丁。

如果用戶無法完全禁用移動支付，請盡量減少手機上新裝應用程序的數量，確保操作系統更新到最新版本，警惕所有短信中的鏈接（例如不存在的快遞訂單、核算相關通知等等），并使用可以檢測和阻止可疑行為的手機安全軟件。