Dispositivos de Xiaomi, POCO X4 GT, con procesador MediaTek -XIAOMI
MADRID, 12 de agosto. (Portaltico/EP) –
Un equipo de investigadores de Check Point ha identificado una serie de vulnerabilidades el mecanismo de pago por movil de Xiaomi.
En los últimos años, los pagos móviles se han vuelto muy populares y se han convertido en una forma de pago habitual en todo el mundo, lo que ha generado un gran interés por los ciberdelincuentes, según el portal de Statista.
Esta modalidad también se ha implementado ampliado entre los usuarios españoles ya que, de acuerdo con el II Estudio de tendencias de pago móvil en Españacasi el 40 por ciento de los encuestados afirma que utiliza su ‘smartphone’ para pagar compras.
Por ese motivo, las compañías telefónicas trabajan en desarrollo de seguridad que fomentan la protección de los datos de sus usuarios, entre las que se encuentran Entorno de confianza de Xiaomi.
Un equipo de investigadores de Check Point ha encontrado una serie de vulnerabilidades en este sistema, que se encargan de almacenar gestionar información sensiblecomo pueden ser credenciales de acceso o claves de seguridad.
Concretamente, estos errores, que podrian haber permitido la realizacion de transacciones falsas, se han hayado en dispositivos equipados con chips MediaTek. Asimismo, el proveedor de servicios de ciberseguridad ha señalado que los ciberdelincuentes podrían haber atacado su código de confianza de dos formas.
En primer lugar, desde una aplicación Android sin privilegios. De esta forma, los estafadores instalan una aplicación maliciosa en los dispositivos infectados para extraer las claves. Una vez tiene acceso a ellas, enviar un paquete de pago falso para robar el dinero.
Por el contrario, si el ciberdelincuente tiene los dispositivos objetivos en sus manos, obtiene el control privilegiado de estos, diminuje el entorno de confianza y ejecuta un contado el código malicioso para crear un paquete de pago falso sin necesidad de instalar una aplicación.
Desde CheckPoint puntulaniz que los entornos de ejecución de confianza (TEE, por sus siglas en inglés), donde se llevan a cabo los pagos móviles, son una parte integral de los dispositivos móviles, ya que procesan y alcanzan información confidencial.
A pesar de esta relevancia, la compañía asegura que nodie está examinando las aplicaciones de confianza escrita por los propios proveedores de dispositivos, en este caso, por Xiaomi, que incrusta y firma sus propias aplicaciones de confianza.

En este sentido, los investigadores han descubierto que existe la posibilidad de que un atacante puedo transferir una version antigua de una appliqué de confianza al dispositivo y utilizarla para sobrescribir el archivo de la nueva appliqué.
Este sería, precisamente, el método que llevan a cabo los ciberdelincuentes para eludir las correcciones de seguridad que realiza la marca o el desarrollador de sus procesadores, MediaTek, en sus aplicaciones.
Además, los investigadores descubrieron brechas en la aplicación de confianza thadmin, encargada de la gestión de la seguridad en estos dispositivos, que podrían utilizarse para filtrar claves almacenadas o ejecutar código malicioso en las ‘apps’, para realizar acciones fraudulentas a contiguando.
ESTRUCTURA DE PAGO INTEGRADA COMPROMETIDA
Tencent Soter es la estructura de pago integrada en los dispositivos de Xiaomi, que proporciona una API para que las aplicaciones Android de terceros integren sus correspondientes capacidades de pago. Su función principal es la de verificar las transferencias de pago entre las aplicaciones móviles y los servidores ‘backend’remotos.
Según las investigaciones realizadas por esta empresa de ciberseguridad, ha encontrado una vulnerabilidad registrada por Xiaomi como DVE-202014125, que compromete la plataforma y permite a los usuarios no autorizados a firmar paquetes de pagos falsos.
En esta línea, Check point recuerda que WeChat y Alipay son los dos mayores operadores del sector de los pagos digitales en China y que representan el 95 por ciento del mercado chino con respecto a estas transacciones.
Particularmente, WeChat se basa en el sótano de Tencent. De esa manera, si un vendedor de aplicaciones quiere implantar su propio sistema de pago sin estar ligando a esta aplicación, puede usar el ‘soter’ del ‘framework’ de pago móvil para verificador de las transacciones en su servidor de ‘backend’.
Por su parte, Xiaomi ha reconocido las vulnerabilidades y ha proporcionado las correcciones pertinentes para ello. frenar las posibilidades de los estafadores para llevar a cabo sus ataques.