受到疫情影響,現在大多數人在消費時往往會選擇行動支付的方式來減少接觸;大多數人對於手機業者提供的行動支付服務相當信任,很少會懷疑這項服務有什麼不利己之處。只是現在資安業者 Check Point 分析了搭載聯發科晶片的小米手機,其所內建的行動支付系統可能暗藏漏洞,恐讓駭客有機會進入你的行動支付系統中偷走你的錢。
根據 Check Point 官方部落格指出,這次的研究是利用搭載聯發科晶片的紅米 Note 9T 5G 手機,其作業系統版本為 MIUI Global 12.5.6.0。
Check Point 表示,多年來可信任執行環境(TEE)一直是行動設備中不可或缺的一部分,TEE 主要的工作就是安全地儲存敏感資訊,例如加密密鑰與使用者的指紋資訊等。由於行動支付的簽名(認證)是在 TEE 中執行,假若 TEE 是安全的,那麼使用者的支付行為就會是安全的。
現在 TEE 較多是由高通的 QSEE 來實現,基於聯發科晶片的智慧手機雖然在亞洲市場被廣泛地使用,但卻較少有安全研究人員會審查這一類手機,也因此沒有人會特別再去審查由手機供應商(例如小米)所編寫的可信應用程式。
Check Point 發現,攻擊者可以將較舊版本的可信應用程式傳送到這一類的設備中,並使用它來覆蓋新的應用程式文件,透過這種降級的方式,就可以繞過小米或聯發科在受信任的應用程式中所做的安全修復。
在小米的手機中內建了一個名為騰訊 Soter 的嵌入式行動支付框架,而這項由 Check Point 發現的漏洞(CVE-2020-14125)將會完全破壞騰訊 Soter 平台,這將允許未經授權的用戶得以認證偽造的支付行為。
Check Point 指出,再經由該公司的協助與揭露後,小米官方已於 6 月時修補了這項漏洞,建議使用者應該要將手機的作業系統更新到最新版本。
針對這項漏洞,小米發言人也回應,造成該漏洞的原因已被鎖定,技術團隊正和供應鏈合作伙伴緊密合作、消除隱患,已啟動相關修復程序。另外,該漏洞僅存在於有限機型,且破解技術難度要求極高,不會存在廣泛影響,也未造成實質性的用戶損失。
(首圖來源:shutterstock)
