Check Point Software Technologiesはこのほど、「Vulnerabilities on Xiaomi’s mobile payment mechanism which could allow forged transactions : A Check Point Research analysis」において、MediaTekチップを搭載したXiaomi製スマートフォンにモバイル決済で偽造取引が可能な脆弱性が発見されたと伝えた。この脆弱性を悪用すると、特権のないAndroidアプリからモバイル決済のトランザクションを偽造したり、支払いシステムを無効にしたりすることが可能になる。

  • Vulnerabilities on Xiaomi’s mobile payment mechanism which could allow forged transactions : A Check Point Research analysis - Check Point Software

    Vulnerabilities on Xiaomi’s mobile payment mechanism which could allow forged transactions : A Check Point Research analysis - Check Point Software

Check Pointは、スマートフォンのTrusted Execution Environment (TEE) のセキュリティを分析中に、台湾の半導体メーカーであるMediaTek製チップセットを搭載したデバイスでこの脆弱性を発見したという。TEEは暗号化キーなどの機密情報を保存および処理するための、メインプロセッサ内のセキュア領域である。モバイル決済の署名処理は、その安全性を保証するためにTEE内で実行される。

今回発見された脆弱性は、Xiaomiデバイス上で署名された信頼できるアプリが、バージョン管理の欠陥によって古いバージョンで上書きできてしまうというもの。これによって、攻撃者はXiaomiやMediaTekが信頼できるアプリで行ったセキュリティの修正を、パッチ適用前の脆弱なバージョンにダウングレードできるようになる。

さらに、セキュリティ管理のための信頼されたアプリ「thhadmin」に、保存されたキーの漏洩や任意コード実行の危険性がある複数の脆弱性が確認されている。また、Xiaomiデバイスに搭載された「Tencent Soter」という組み込みのモバイル決済フレームワークでも、TEEと通信する権限を持たないAndroidアプリによってサービス拒否を誘発する脆弱性「CVE-2020-14125」が発見された。

Check Pointによる調査では、前述のダウングレード攻撃と組み合わせると、パッチ適用済みのこれらのアプリを脆弱なバーションで上書きし、モバイル決済のための支払いパッケージの署名に使用される秘密鍵を抽出できることが判明したという。テストはMIUI Global 12.5.6.0 OSを搭載したXiaomi Redmi Note 9T 5Gで行われたが、それ以外のデバイスもこの脆弱性の影響を受ける危険性があるとのことだ。

この脆弱性は2022年6月にXiaomiに報告され、Xiaomiでは2022年6月6日にリリースされた更新プログラムの一部としてCVE-2020-14125への対処を実施した。