Categories: Seguridad

Detectan vulnerabilidades en el mecanismo de pago móvil de Xiaomi

Check Point ha llevado a cabo una investigación sobre los pagos a través del móvil, centrándose en el mercado asiático y ha encontrado vulnerabilidades en el mecanismo utilizado por Xiaomi, uno de los grandes fabricantes de smartphones chinos.

Estas vulnerabilidades en el Trusted Environment de Xiaomi, el lugar en el que se almacenan y gestionan las contraseñas, podrían terminar con el robo de información sensible.

Concretamente, afectan a las claves privadas para firmar paquetes de control y pago de Wechat Pay. Incluso podría intervenir una aplicación Android sin privilegios para crear y firmar paquetes de pago falso.

Y es que Check Point ha descubierto dos formas de realizar ataques en los dispositivos estudiados, todos ellos equipados con chip de MediaTek.

Basta con que el usuario instale una aplicación maliciosa para que esta extraiga las claves y envíe el paquete de pago falso, lo que termina con el robo de dinero. Por otro lado, si el ciberdelincuente tiene los terminales en sus manos, puede rootearlos, bajar el entorno de confianza y ejecutar el código para crear ese paquete de pago falso sin que participe ninguna aplicación en la acción.

Xiaomi tiene la capacidad de incrustar y firmar aplicaciones de confianza. Los criminales podrían aprovechar una versión antigua para sobrescribir el archivo en una aplicación nueva y así eludir las correcciones de seguridad de los fabricantes.

Además, varios errores presentes en la aplicación thhadmin, responsable de gestionar la seguridad, pueden utilizarse para filtrar claves almacenadas, ejecutar código y realizar acciones maliciosas falsificadas.

Check Point advierte de un fallo que compromete la plataforma soterrada de Tencent. Los dispositivos Xiaomi cuentan con el framework de pago móvil Tencent Soter que entrega una API para que aplicaciones de terceros integren capacidades de pago. WeChat Pay se basa en el soterramiento de Tencent.

“Descubrimos un conjunto de vulnerabilidades que podrían permitir la falsificación de paquetes de pago o su desactivación desde una aplicación Android sin privilegios”, resume Slava Makkaveev, investigador de seguridad de Check Point Software.

“Fuimos capaces de hackear WeChat Pay e implementamos una prueba de concepto totalmente operativa”, indica.

“Nuestra investigación es la primera que se hace para revisar las aplicaciones de confianza de Xiaomi en busca de problemas de seguridad”, destacan desde Check Point que remarca que “el mercado asiático, representado principalmente por los smartphones basados en chips MediaTek, aún no ha sido ampliamente explorado. Nadie está examinando las aplicaciones de confianza escritas por los proveedores de dispositivos, como Xiaomi, a pesar de que la gestión de la seguridad y el núcleo de los pagos móviles están implementados allí”.

Tras encontrar los fallos que afectan los terminales de Xiaomi, Check Point se puso en contacto con la compañía, que proporcionó correcciones.

“Lo que queremos decir a los usuarios es que se aseguren constantemente de que sus teléfonos están actualizados con la última versión proporcionada por el fabricante”, apunta Slava Makkaveev. Y lanza una última reflexión: “si ni siquiera los pagos por móvil son seguros, ¿qué lo es?”.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Silicon Pulse: Titulares de la semana #33

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

7 horas ago

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

16 horas ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

16 horas ago

Los ingresos trimestrales de NVIDIA aumentan un 94 %

Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.

18 horas ago

Sage concluye “un año de éxito”

Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…

18 horas ago

Inetum quiere duplicar su plantilla en Aragón

Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…

19 horas ago