Detectan vulnerabilidades en el mecanismo de pago móvil de Xiaomi

Check Point ha llevado a cabo una investigación sobre los pagos a través del móvil, centrándose en el mercado asiático y ha encontrado vulnerabilidades en el mecanismo utilizado por Xiaomi, uno de los grandes fabricantes de smartphones chinos.

Estas vulnerabilidades en el Trusted Environment de Xiaomi, el lugar en el que se almacenan y gestionan las contraseñas, podrían terminar con el robo de información sensible.

Concretamente, afectan a las claves privadas para firmar paquetes de control y pago de Wechat Pay. Incluso podría intervenir una aplicación Android sin privilegios para crear y firmar paquetes de pago falso.

Y es que Check Point ha descubierto dos formas de realizar ataques en los dispositivos estudiados, todos ellos equipados con chip de MediaTek.

Basta con que el usuario instale una aplicación maliciosa para que esta extraiga las claves y envíe el paquete de pago falso, lo que termina con el robo de dinero. Por otro lado, si el ciberdelincuente tiene los terminales en sus manos, puede rootearlos, bajar el entorno de confianza y ejecutar el código para crear ese paquete de pago falso sin que participe ninguna aplicación en la acción.

Xiaomi tiene la capacidad de incrustar y firmar aplicaciones de confianza. Los criminales podrían aprovechar una versión antigua para sobrescribir el archivo en una aplicación nueva y así eludir las correcciones de seguridad de los fabricantes.

Además, varios errores presentes en la aplicación thhadmin, responsable de gestionar la seguridad, pueden utilizarse para filtrar claves almacenadas, ejecutar código y realizar acciones maliciosas falsificadas.

Check Point advierte de un fallo que compromete la plataforma soterrada de Tencent. Los dispositivos Xiaomi cuentan con el framework de pago móvil Tencent Soter que entrega una API para que aplicaciones de terceros integren capacidades de pago. WeChat Pay se basa en el soterramiento de Tencent.

“Descubrimos un conjunto de vulnerabilidades que podrían permitir la falsificación de paquetes de pago o su desactivación desde una aplicación Android sin privilegios”, resume Slava Makkaveev, investigador de seguridad de Check Point Software.

“Fuimos capaces de hackear WeChat Pay e implementamos una prueba de concepto totalmente operativa”, indica.

“Nuestra investigación es la primera que se hace para revisar las aplicaciones de confianza de Xiaomi en busca de problemas de seguridad”, destacan desde Check Point que remarca que “el mercado asiático, representado principalmente por los smartphones basados en chips MediaTek, aún no ha sido ampliamente explorado. Nadie está examinando las aplicaciones de confianza escritas por los proveedores de dispositivos, como Xiaomi, a pesar de que la gestión de la seguridad y el núcleo de los pagos móviles están implementados allí”.

Tras encontrar los fallos que afectan los terminales de Xiaomi, Check Point se puso en contacto con la compañía, que proporcionó correcciones.

“Lo que queremos decir a los usuarios es que se aseguren constantemente de que sus teléfonos están actualizados con la última versión proporcionada por el fabricante”, apunta Slava Makkaveev. Y lanza una última reflexión: “si ni siquiera los pagos por móvil son seguros, ¿qué lo es?”.