Xiaomi-Smartphones: Risiko durch Sicherheitslücken

Sicherheit (Pexels, allgemeine Nutzung)[English]Mir liegen aktuell gleich zwei Informationen zu Risiken durch Sicherheitslücken bei Xiaomi-Smartphones vor. Der chinesische Anbieter liefert eine Themes-App aus, die versucht, den von Google eingebauten Android Sicherheitsschutz zu umgehen. Zudem haben Sicherheitsforscher eine Schwachstelle in MediaTek-Chips entdeckt, die das in den Xiaomi-Smartphones integrierte Zahlungssystem angreifbar machen.


Anzeige

Persönlich habe ich die letzten Jahre um Smartphones und viele Produkte chinesischer Hersteller wie Huawei, One,  Xiaomi etc. einen Bogen gemacht und auch keine Produkte mehr hier im Blog vorgestellt. Allerdings ist mir klar, dass so gut wie alle Smartphones und Geräte von Motorola, Medion und weiteren Herstellern in China gefertigt werden und sogar chinesische Firmen dahinter stehen. Selbst die als "deutsche Fima" auftretende Gigaset ist in chinesischer Hand. Aber Xiaomi ist hier im Blog schon mehrfach wegen Problemen thematisiert worden (siehe Links am Artikelende).

Xiaomi Themes-App

Blog-Leser Sebastian H. hat mich zum Sonntag auf eine unschöne Geschichte aufmerksam gemacht. Der chinesische Anbieter liefert eine Themes-App aus, die versucht, den von Google eingebauten Android Sicherheitsschutz zu umgehen. Sebastian schrieb:

Sehr geehrter Herr Born,

eventuell ist dieses Thema interessant für Sie und eignet sich für einen Beitrag in Ihrem (nebenbei gesagt sehr guten und informativem!) Blog.

Heute Morgen wurde ich mit einer merkwürdigen Android-Benachrichtigung auf dem Homescreen begrüßt. Sie kommt direkt vom Google-eigenen PlayProtect, welches bekanntlich auf dem Gerät installierte Apps auf Malware, Viren, Trojaner, etc. überprüft.
Interessanterweise stammt die "böse" Themes-App direkt aus dem Hause Xiaomi…. Das lässt durchaus ein wenig aufhorchen, oder ? Falscher Alarm, kleiner Fehler seitens Xiaomi oder Google, politische Entscheidung oder im schlimmsten Fall gar ein Gigaset-ähnliches Szenario ?

Da ich am Sonntag möglichst nicht blogge, hole ich die Information nach. Sebastian hat mich auf verschiedene Beiträge auf reddit.com hingewiesen, wo andere Nutzer das Thema diskutieren. Nachfolgender Screenshot stammt aus diesem reddit.com-Post und zeigt eine entsprechende Meldung von Googles Play Protect.

Xiaomi Themes-App

Es gibt eine Reihe Nutzer, die die Meldung erhalten haben. Weitere Posts auf reddit.com finden sich hier und hier. Am 13. August 2022 mit Update zum 14. August 2022 hat Xiaomi in der Community diesen Beitrag gepostet.  Dort heißt es:

Themes APP Got Blocked by Google Play Protect

This alert is no longer issued and we are working together with Google to identify the cause of the issue.

If you still see the alert, but have not yet disabled the Themes APP, here's what you can do

….

Es wird bestätigt, dass Google Play Protect die Themes-App blockiert. Eigentlich sollte die Warnung inzwischen nicht mehr erscheinen und der Hersteller arbeitet mit Google zusammen, um das Problem zu lösen. Scheint also erst einmal ein falscher Alarm von Google Play Protect zu sein.

Schwachstellen im Xiaomi-Zahlungsmechanismus

Mobile Zahlungssysteme sind stark im kommen, laut den neuesten Statistiken entfielen 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China. Das entspricht in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß ist daher das Interesse von Hackern, sich Zugang oder sogar Kontrolle über virtuelle Zahlungswege zu verschaffen. Daher schauen Sicherheitsforscher sich die entsprechenden Lösungen genau an.

Alte App mit Schwachstellen

Sicherheitsforscher von Check Point Research (CPR) haben Schwachstellen in Xiami-Smartphons mit MediaTek-Chips gefunden, die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten Android-Anwendung aus zu deaktivieren.


Anzeige

Hintergrund ist, dass Xiaomi seine eigenen vertrauenswürdigen Apps auf den Geräten einbetten und signieren kann. CPR stellte fest, dass Angreifer eine alte Version einer vertrauenswürdigen App auf das Gerät übertragen und damit die neue App-Datei überschreiben können. So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsfixes und -mechanismen behebungen umgehen, indem er die Apps auf nicht gepatchte Versionen herunterstuft.

Die Check Point Sicherheitsforscher endeckten mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin", die für die Sicherheitsverwaltung zuständig ist. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.

Hintergrund: Sichere TEE, sichere Zahlungen

Die sogenannte vertrauenswürdige Ausführungsumgebung oder Trusted Execution Environment (TEE) ist seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck ist die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptografische Schlüssel oder Fingerabdrücke. Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.

Zuvor wurde der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert wird, noch nicht umfassend von CheckPoint oder andere Firmen erforscht. Niemand untersucht vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert sind. Mit der Studie von CheckPoint werden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasst sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät war das Xiaomi Redmi Note 9T 5G mit MIUI Global 12.5.6.0 OS.

Integriertes Framework für mobile Zahlungen gefährdet

Xiaomi-Geräte verfügen über ein integriertes Framework für mobile Zahlungen namens "Tencent Soter", das ein API (Application Programming Interface) für Android-Anwendungen von Drittanbietern bereitstellt, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion besteht darin, die Verifizierung von Zahlungspakete zu ermöglichen, die zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen werden. Darin besteht im Wesentlichen die Sicherheit, auf die sich Benutzer verlassen, wenn sie mobile Zahlungen durchführen.

Implementierung des Tencent-Soters auf Xiaomi-Geräten

Abbildung 1: Implementierung des Tencent-Soters auf Xiaomi-Geräten

Nach Angaben von Tencent unterstützen Hunderte von Millionen Android-Geräte Tencent Soter. WeChat Pay und Alipay sind die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machen sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen hat über eine Milliarde Nutzer. WeChat Pay basiert auf dem Soter von Tencent. Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die WeChat-App gebunden zu sein, kann er direkt den Tencent-Soter verwenden. Diese Vorgehensweise ermöglicht es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde.

Die von CPR entdeckte Schwachstelle, die Xiaomi mit CVE-2020-14125 bezeichnet, kompromittiert die Tencent-Soter-Plattform vollständig und ermöglicht es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.

Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte Android-Anwendung könnte die Sicherheitslücke CVE-2020-14125 ausnutzen, um Codes in der vertrauenswürdigen Wechat-App auszuführen und Zahlungspakete zu fälschen.

CPR teilte sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi. Der Hersteller konnte die Schwachstellen bestätigen und basierend auf der resultierenden Zusammenarbeit die Gefahr beseitigen. Die Schwachstelle wurde nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht. Darüber hinaus konnten die Forscher feststellen, wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der Wechat-App ermöglichen kann, private Schlüssel zu stehlen. Diese vorgestellte Leseschwachstelle wurde ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht. Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben. CheckPoint hat diesen Beitrag zum Sachverhalt veröffentlicht.

Ähnliche Artikel:
Wegen Embargo: Xiaomi sperrt Smartphones
Xiaomi-Smartphones und die Nutzer-Spionage
Sicherheitslücke in Millionen Xiaomi Smartphone-ROM
Telefonieren Xiaomi-Smartphones "nach Hause"?
Litauen warnt vor Kauf chinesischer 5G-Smartphones
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit Android, Sicherheit, SmartPhone verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Xiaomi-Smartphones: Risiko durch Sicherheitslücken

  1. Bolko sagt:

    Welche Version der Themes App betrifft das?
    Welche Android- bzw welche MIUI-Version?

    Ich habe auch ein Xiaomi Smartphone, erhalte diese Warnung aber nicht.

    Bei mir ist folgende Version installiert:
    Xiaomi Themes 2.0.6.5-global

    Google Play Protect meckert nicht.

    Xiaomi Redmi Note 6 Pro
    Android 8.1.0
    MIUI Global 9.6.6.0 (OIKMIFD)
    (es gibt zwar neuere Versionen von Android und MIUI auch für dieses etwas betagte Smartphone, aber ich habe absichtlich noch nicht upgedatet).

    Die aktuelle gefixte Themes-App Version ist "Themes Global 2.1.0.3".
    techrushi[.]com/how-to-fix-xiaomi-themes-app-blocked-on-google/

    Downloadlink der gefixten Themes App 2.1.0.3 (Telegram):
    t[.]me/MiuiSystemUpdates/5389
    bzw als Channel-Preview für User ohne Telegram-Account:
    t[.]me/s/MiuiSystemUpdates/5389

    Also betrifft dieser Fehler irgendeine Version zwischen
    "Themes 2.0.6.5-global" (noch OK)
    und
    "Themes 2.1.0.3-global" (bereits gefixt)

    Kann man das auf eine konkrete Version weiter eingrenzen?

    • Bolko sagt:

      Downloadlink "theme-app-2-1-0-3-global" auf APK-Mirror:
      www[.]apkmirror[.]com/apk/xiaomi-inc/miui-theme-app/miui-theme-app-2-1-0-3-global-release/xiaomi-themes-2-1-0-3-global-android-apk-download/

      Da steht auch "Target: Android 12 (API 31)".
      Betrifft der Fehler nur Android 12, aber nicht Android 8,9,10?

    • Cali sagt:

      Ich hatte die gleiche Meldung wie der Blogleser. Ich kann seit dem auch die Themes und Hintergrund Einstellungen unter den Einstellungen nicht mehr aufrufen, die Hersteller-App hat sich auch eigenständig gelöscht:

      Redmi Note 10 Pro
      MIUI 13.0.10(SKFEUXM)
      Android 12 SKQ1.21xxxx mit einem Sicherheitsupdate vom 1.6.2022

  2. Hu Shigen sagt:

    Smartphones chinesischer Hersteller kaufen und verwenden und sich über mögliche Sicherheits- und Auspäh-Risiken wundern. Realsatire vom Feinsten.

    • Dorian sagt:

      Google Play Dienste nutzen, die sich selbst ausserhalb des Play Stores updaten und die Mitprotokollierzentrale von Google sind, und sich über mögliche Auspäh-Risiken wundern. Auch Realsatire vom Feinsten.

      • Günter Born sagt:

        Leute, eure Real-Satire ist recht abgehoben – hier in der Blase der Blog-Leserschaft kann das nachvollzogen werden – aber 99 % der Leute da draußen können damit a) nichts anfangen, b) interessiert das nicht und c) dürften die Fragestellung als wenig praxisrelevant ansehen.

        Zeigt mir ein Android-Smartphone, welches nicht in China gefertigt wurde? Und die Google Play Dienste sind m.W. die einzige Möglichkeit, wie Android-Systeme wenigstens halbwegs Updates bei Sicherheitslücken erhalten können, wenn der Gerätehersteller mit Updates patzt.

  3. Thorky sagt:

    Hatte kürzlich die Warnmeldung mit dem Hinweis, dass "Themen" deaktiviert wurde, auf einem Pocophone F1 mit Android 10, als ich im Play Store Updates für meine installierten Apps nachfragte.

  4. Art sagt:

    Xiaomi liefert immer attraktive Hardware zu guten Preisen, aber deren Software enthält noch mehr Spy- und Surveilanceware als andere Android Marken.
    -> Ich kaufe die POCO Serie gern gebraucht und bespiele sie mit e.foundation bevor ich sie im Freundes und Verwandtenkreis verteile.

    Mediatek SOCs vermeide ich : Updates sind gruselig und es gibt kaum Custom Rom Unterstützung.

    Für das Bezahlen bevorzuge ich die Boomer Methode Bargeld – meine Einkäufe mit meinen Finanzdienstleistern zu teilen, bzw. meine Kontodaten mit Händlern erscheint mir nicht von Vorteil zu sein.

  5. ralf sagt:

    fuer mich ein "false positive" von google play protect.

    begruendung:
    auf meinem redmi note 10 pro wurde am wochenende die themen app (2.0.6.5-global: aufgespielt am 23.06.), von play protect als moegliche gefaehrung bezeichnet und angeboten diese zu deaktivieren. habe ich nicht getan. heute wird die gleiche version der app (2.0.6.5-global: aufgespielt am 23.06.) nicht mehr moniert.

    ps:
    "probleme" haben nun leute, die der empfehlung von google play protect blindlings gefolgt sind: sie koennen u.a. ihr wallpaper nicht mehr veraendern. die themen app ist eine systemapp von xiaomi (teil der benutzeroberflaeche) und kann nicht auf dem ueblichen weg (also via app-info) wieder aktiviert werden. sie wird auch nicht via google play store geupdated sondern ueber den systemapp-updatemechanismus von xiaomi.

  6. Phadda sagt:

    Kein Problem bei Note 10 Lite
    MIUI Global 13.0.2 Stabil
    Android 12 SKQ1.210908.001
    Theme 2.0.6.5-global

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.