Alertan de una brecha de seguridad en el mecanismo de pago por móvil de Xiaomi

Un equipo de investigadores de Check Point ha identificado una serie de vulnerabilidades en el mecanismo de pago por móvil de Xiaomi, unas brechas de seguridad que podrían haber permitido la realización de transacciones falsas en algunos de los modelos de la marca.

En los últimos años, los pagos con el móvil se han hecho muy populares y se han convertido en una forma de cobro habitual en todo el mundo, lo que ha generado un gran interés en los ciberdelincuentes, según el portal Statista.

Esta modalidad también se ha implementado ampliamente entre los usuarios españoles ya que, de acuerdo con el II Estudio de tendencias de pago móvil en España, casi el 40 por ciento de los encuestados afirma que utiliza su 'smartphone' para pagar compras.

Por ese motivo, las compañías telefónicas trabajan en desarrollar soluciones de seguridad que fomenten la protección de los datos de sus usuarios, entre las que se encuentra Trusuted Environment de Xiaomi.

Un equipo de investigadores de Check Point ha hallado una serie de vulnerabilidades en este sistema, que se encarga de almacenar y gestionar información sensible, como pueden ser credenciales de acceso o claves de seguridad.

Concretamente, estos errores, que podrían haber permitido la realización de transacciones falsas, se han dado en dispositivos equipados con chips MediaTek. Asimismo, el proveedor de servicios de ciberseguridad ha puntualizado que los ciberdelincuentes podrían haber atacado su código de confianza de dos formas.

En primer lugar, desde una aplicación Android sin privilegios. De ese modo, los estafadores instalan una aplicación maliciosa en los dispositivos infectados para extraer las claves. Una vez tiene acceso a ellas, envía un paquete de pago falso para robar el dinero.

Por el contrario, si el ciberdelincuente tiene los dispositivos objetivo en sus manos, obtienen el control privilegiado de estos, disminuye el entorno de confianza y ejecuta a continuación el código malicioso para crear un paquete de pago falso sin necesidad de instalar una aplicación.

Desde CheckPoint puntualizan que los entornos de ejecución de confianza (TEE, por sus siglas en inglés), donde se se llevan a cabo los pagos móviles, son una parte integral de los dispositivos móviles, ya que procesan y almacenan información confidencial.

A pesar de esta relevancia, la compañía asegura que nadie está examinando las aplicaciones de confianza escritas por los propios proveedores de dispositivos, en este caso, por Xiaomi, que incrusta y firma sus propias aplicaciones de confianza.

En este sentido, los investigadores han descubierto que existe la posibilidad de que un atacante pueda transferir una versión antigua de una aplicación de confianza al dispositivo y utilizarla para sobrescribir el archivo de la nueva aplicación.

Ese sería, precisamente, el método llevado a cabo por los ciberdelincuentes para eludir las correcciones de seguridad llevadas a cabo por la marca o por la desarrolladora de sus procesadores, MediaTek, en sus aplicaciones.

Además, los investigadores han descubierto brechas en la aplicación de confianza thhadmin, responsable de la gestión de la seguridad en estos dispositivos, que se podría aprovechar para filtrar claves almacenadas o ejecutar código malicioso en las 'apps', para realizar acciones fraudulentas a continuación.

ESTRUCTURA DE PAGO INTEGRADA COMPROMETIDA

Tencent Soter es la estructura de pago integrada en los dispositivos de Xiaomi, que proporciona una API para que las aplicaciones de Android de terceros integren sus correspondientes capacidades de pago. Su función principal es la de verificar las transferencias de pago entre las aplicaciones móviles y los servidores 'backend' remotos.

De acuerdo con las investigaciones llevadas a cabo por esta compañía de ciberseguridad, se ha encontrado una vulnerabilidad registrada por Xiaomi como DVE-202014125, que compromete la plataforma y permite a los usuarios no autorizados a firmar paquetes de pagos falsos.

En esta línea, Check point recuerda que WeChat y Alipay son los dos mayores operadores del sector de los pagos digitales en China y que representan el 95 por ciento del mercado chino con respecto a estas transacciones.

Particularmente, WeChat está basado en el soterramiento de Tencent. De esa manera, si un vendedor de aplicaciones quiere implantar su propio sistema de pago sin estar vinculado a esta aplicación, puede usar el 'soter' del 'framework' de pago móvil para verificar las transacciones en su servidor de 'backend'.

Por su parte, Xiaomi ha reconocido las vulnerabilidades y proporcionado las correcciones pertinentes para frenar las posibilidades de los estafadores para llevar a cabo sus ataques.