Los investigadores de Check Point Research (CPR), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha identificado vulnerabilidades en el mecanismo de pago por móvil de Xiaomi. Si se deja sin parchear, un atacante podría robar las claves privadas utilizadas para firmar los paquetes de control y pago de Wechat Pay. En el peor de los casos, una aplicación Android sin privilegios podría haber creado y firmado un paquete de pago falso.
Los pagos con el móvil se han hecho muy populares y se han convertido en una forma de cobro habitual en todo el mundo. Según las últimas estadísticas del portal Statistica, en 2021 el Extremo Oriente y China representaron dos tercios de los pagos móviles del mundo. Una cantidad tan grande de dinero atrae sin duda la atención de los ciberdelincuentes. En el caso de España, según el II Estudio de tendencias de pago móvil en España, realizado por Pecunpay, en colaboración con Visa, ya son casi el 40% de los españoles encuestados afirma que utiliza su móvil para pagar sus compras.
Las vulnerabilidades localizadas
Desde Check Point Research, advierten que los problemas se encontraron en el Trusted Environment de Xiaomi, encargado de almacenar y gestionar información sensible como claves y contraseñas. Los investigadores descubrieron dos formas de atacar el código de confianza.
En primer lugar, desde una aplicación Android sin privilegios. De ese modo, los estafadores instalan una aplicación maliciosa en los dispositivos infectados para extraer las claves. Una vez tiene acceso a ellas, envía un paquete de pago falso para robar el dinero. Si el ciberdelincuente tiene los dispositivos objetivo en sus manos, obtienen el control privilegiado de estos, disminuye el entorno de confianza y ejecuta a continuación el código malicioso para crear un paquete de pago falso sin necesidad de instalar una aplicación.
Las aplicaciones de confianza de Xiaomi pueden ser degradadas
Xiaomi puede incrustar y firmar sus propias aplicaciones de confianza. Los investigadores han descubierto que un atacante puede transferir una versión antigua de una aplicación de confianza al dispositivo y utilizarla para sobrescribir el archivo de la nueva aplicación. Por lo tanto, un ciberdelincuente puede eludir las correcciones de seguridad realizadas por Xiaomi o MediaTek en sus apps.
Además, se han descubierto varias vulnerabilidades en la aplicación de confianza thhadmin, responsable de la gestión de la seguridad, que podrían aprovecharse para filtrar claves almacenadas o ejecutar código en el contexto de la aplicación y, a continuación, realizar prácticamente acciones maliciosas falsificadas.