Os pesquisadores de Check Point Research (CPR), um provedor líder de soluções de ciberseguridad a nível mundial, tem identificado vulnerabilidades no mecanismo de pagamento por móvel de Xiaomi . Se deixa-se sem parchear, um atacante poderia roubar as chaves privadas utilizadas para assinar os pacotes de controle e pagamento de Wechat Pay. No pior dos casos, um aplicativo Android sem mordomias poderia ter criado e assinado um pacote de pagamento falso.
Os pagamentos com o móvel fizeram-se muito populares e converteram-se numa forma de cobrança habitual em todo mundo. Segundo as últimas estatísticas do portal Statistica, em 2021 o Extremo Oriente e Chinesa representaram dois terços dos pagamentos móveis do mundo. Uma quantidade tão grande de dinheiro atrai sem dúvida a atenção dos ciberdelincuentes. No caso de Espanha , segundo o II Estudo de tendências de pagamento móvel em Espanha, realizado por Pecunpay, em colaboração com Visa, já são quase o 40% dos espanhóis interrogados afirma que utiliza seu móvel para pagar seus compras.
As vulnerabilidades localizadas
Desde Check Point Research, advertem que os problemas se encontraram no Trusted Environment de Xiaomi, encarregado de alojar e gerir informação sensível como chaves e senhas. Os pesquisadores descobriram duas formas de atacar o código de confiança.
Em primeiro lugar, desde um aplicativo Android sem mordomias. Desse modo, os estafadores instalam um aplicativo maliciosa nos dispositivos infectados para extrair as chaves. Uma vez tem acesso a elas, envia um pacote de pagamento falso para roubar o dinheiro. Se o ciberdelincuente tem os dispositivos objectivo em suas mãos, obtêm o controle privilegiado destes, diminui o meio de confiança e executa a seguir o código malicioso para criar um pacote de pagamento falso sem necessidade de instalar um aplicativo.
Os aplicativos de confiança de Xiaomi podem ser degradadas
Xiaomi pode incrustar e assinar seus próprios aplicativos de confiança. Os pesquisadores têm descoberto que um atacante pode transferir uma versão antiga de um aplicativo de confiança ao dispositivo e a utilizar para sobrescrever o arquivo do novo aplicativo. Portanto, um ciberdelincuente pode eludir as correcções de segurança realizadas por Xiaomi ou MediaTek em suas apps.
Ademais, descobriram-se várias vulnerabilidades no aplicativo de confiança thhadmin, responsável pela gestão da segurança, que poderiam se aproveitar para filtrar chaves alojadas ou executar código no contexto do aplicativo e, a seguir, realizar praticamente acções maliciosas falsificadas.