Categories: Seguridad

Detectan vulnerabilidades en el mecanismo de pago móvil de Xiaomi

Check Point ha llevado a cabo una investigación sobre los pagos a través del móvil, centrándose en el mercado asiático y ha encontrado vulnerabilidades en el mecanismo utilizado por Xiaomi, uno de los grandes fabricantes de smartphones chinos.

Estas vulnerabilidades en el Trusted Environment de Xiaomi, el lugar en el que se almacenan y gestionan las contraseñas, podrían terminar con el robo de información sensible.

Concretamente, afectan a las claves privadas para firmar paquetes de control y pago de Wechat Pay. Incluso podría intervenir una aplicación Android sin privilegios para crear y firmar paquetes de pago falso.

Y es que Check Point ha descubierto dos formas de realizar ataques en los dispositivos estudiados, todos ellos equipados con chip de MediaTek.

Basta con que el usuario instale una aplicación maliciosa para que esta extraiga las claves y envíe el paquete de pago falso, lo que termina con el robo de dinero. Por otro lado, si el ciberdelincuente tiene los terminales en sus manos, puede rootearlos, bajar el entorno de confianza y ejecutar el código para crear ese paquete de pago falso sin que participe ninguna aplicación en la acción.

Xiaomi tiene la capacidad de incrustar y firmar aplicaciones de confianza. Los criminales podrían aprovechar una versión antigua para sobrescribir el archivo en una aplicación nueva y así eludir las correcciones de seguridad de los fabricantes.

Además, varios errores presentes en la aplicación thhadmin, responsable de gestionar la seguridad, pueden utilizarse para filtrar claves almacenadas, ejecutar código y realizar acciones maliciosas falsificadas.

Check Point advierte de un fallo que compromete la plataforma soterrada de Tencent. Los dispositivos Xiaomi cuentan con el framework de pago móvil Tencent Soter que entrega una API para que aplicaciones de terceros integren capacidades de pago. WeChat Pay se basa en el soterramiento de Tencent.

“Descubrimos un conjunto de vulnerabilidades que podrían permitir la falsificación de paquetes de pago o su desactivación desde una aplicación Android sin privilegios”, resume Slava Makkaveev, investigador de seguridad de Check Point Software.

“Fuimos capaces de hackear WeChat Pay e implementamos una prueba de concepto totalmente operativa”, indica.

“Nuestra investigación es la primera que se hace para revisar las aplicaciones de confianza de Xiaomi en busca de problemas de seguridad”, destacan desde Check Point que remarca que “el mercado asiático, representado principalmente por los smartphones basados en chips MediaTek, aún no ha sido ampliamente explorado. Nadie está examinando las aplicaciones de confianza escritas por los proveedores de dispositivos, como Xiaomi, a pesar de que la gestión de la seguridad y el núcleo de los pagos móviles están implementados allí”.

Tras encontrar los fallos que afectan los terminales de Xiaomi, Check Point se puso en contacto con la compañía, que proporcionó correcciones.

“Lo que queremos decir a los usuarios es que se aseguren constantemente de que sus teléfonos están actualizados con la última versión proporcionada por el fabricante”, apunta Slava Makkaveev. Y lanza una última reflexión: “si ni siquiera los pagos por móvil son seguros, ¿qué lo es?”.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

El empleado, eslabón más débil en el modelo de trabajo híbrido

La mayoría de los españoles utilizan dispositivos personales para intercambiar información y documentos de trabajo.…

5 horas ago

La importancia del 5G en la cadena logística

La posibilidad que ofrece el 5G de contar con flujos de datos más amplios en…

18 horas ago

Globant potenciará la plataforma digital de LaLiga

El acuerdo promoverá una expansión de los productos y servicios de LaLiga Tech a través…

19 horas ago

Hasta el 60 % de las reservas de viajes ya se hacen online

Las distintas plataformas y metabuscadores facilitan la gestión y reserva de viajes pero también hay…

19 horas ago

4 recomendaciones para garantizar la seguridad física del centro de datos

Vigilar el acceso de las personas y utilizar sensores de temperatura y humedad son algunas…

1 día ago

Los operadores se unen para implementar tecnología de seguridad cuántica

Nace la iniciativa GSMA Post-Quantum Telco Network Taskforce para llevar a la industria de las…

1 día ago