El mecanismo de pago móvil de Xiaomi cuenta con una serie de brechas de seguridad que podría haber llevado a los usuarios a realizar transacciones falsas. Así lo han puesto de manifiesto investigadores de Check Point que han alertado de esta brecha que puede conllevar serios problemas de seguridad si no se solventa.

Los pagos móviles han experimentado un notable crecimiento en los últimos años. En nuestro país, casi el 40% de los españoles utiliza su móvil para pagar las compras, tal y como se desprende del II Estudio de tendencia de pago móvil en España de Pecunpay.

Esta tendencia está llevando a que cada vez más ciberdelincuentes pongan sus miras en estos sistemas de pago móvil para llevar a cabo sus amenazas. En esta ocasión, un grupo de investigadores de Check Point Research (CPR) ha identificado vulnerabilidades en el sistema de pago móvil de Xiaomi.

En concreto, el problema radica en el Trusted Environment de la compañía, que es el mecanismo encargado de almacenar y gestionar información sensible como claves y contraseñas.

Un aspecto común de todos los dispositivos en los que se ha detectado esta vulnerabilidad es que tenían chips MediaTek. Una vulnerabilidad que, de no explotarse, podría ser aprovechada por los ciberdelincuentes para robar claves o realizar falsos pagos.

Así explotan la vulnerabilidad del sistema de Xiaomi

Los investigadores de CPR apuntan dos formas de atacar este mecanismo de pagos. Por un lado, desde una aplicación Android sin privilegios, en la que los ciberdelincuentes instalan una aplicación maliciosa en los dispositivos infectados para extraer las claves. Cuando consiguen el acceso, envía un paquete de pago falso para robar dinero.

El otro método se realiza cuando los ciberdelincuentes tienen los dispositivos objetivo en sus manos y los rootean para obtener permisos de superusuario. De esta forma, baja el entorno de confianza y ejecuta el código para crear un paquete de pago falso sin necesidad de disponer de una aplicación.

Este entorno de ejecución de confianza (TEE) es clave en los dispositivos móviles para guardar información sensible como claves criptográficas o huellas dactilares. Teniendo en cuenta que las firmas de los pagos móviles se realizan en el TEE, la seguridad de los pagos es un hecho.

En el caso de Xiaomi, los dispositivos tienen un framework de pago móvil integrado llamado Tencent Soter, que proporciona una API para que las aplicaciones Android de terceros integren las capacidades de pago.

De este modo se verifican las transferencias de paquetes de pago entre una aplicación móvil y un servidor backend remoto. La vulnerabilidad detectada compromete la plataforma de Tencent permitiendo que un usuario no autorizado pueda firmar paquetes de pago falsos.

Cómo protegerse de esta vulnerabilidad

Los riesgos de esta brecha son mayores si se tiene en cuenta que WeChat Pay y Aplipay, que hacen uso de Tencent, son los dos principales operadores del sector de pagos móviles en China. Conjuntamente cuentan con alrededor del 95% del mercado chino de pagos móviles y más de 2.000 millones de usuarios.

Desde Xiaomi han reconocido esta vulnerabilidad y han colaborado con los investigadores de CPR que, como explica Slava Makkaveev, investigador de seguridad de Check Point Software, se apresuraron a solventar la brecha.

Por eso señala que es importante que los usuarios «se aseguren constantemente de que sus teléfonos están actualizados con la última versión proporcionada por el fabricante».

 

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre