fbpx
Top

¿Pago con Xiaomi? Mejor no según CPR

Pago

¿Pago con Xiaomi? Mejor no según CPR

Puede corregirse. Pero CPR encontró una vulnerabilidad del sistema de pago de los móviles Xiaomi que puede generar transacciones fraudulentas.

 

¿Qué puede ser peor que saber qué su teléfono móvil es vulnerable a brechas de intrusion de la hacker? Sin duda, lo que acaba de descubrír el equipo de investigación de amenazas de Check Point® Software: que la vulnerabilidad está justamente en el sistema de pagos. 

Es decir que, si tiene rato peleando con el banco por una transaccion de pago no realizada le tenemos las peores noticias: no fue usted… fue su smartphone. 

Según el reporte de Check Point Research, CPR, las vulnerabilidades halladas en el mecanismo de pago por móvil de Xiaomi, si no se parchea oportunamente, podría permitir a un hackers robar las claves privadas utilizadas para firmar los paquetes de control y pago de Wechat Pay.

“En el peor de los casos, una aplicación Android sin privilegios podría haber creado y firmado un paquete de pago falso”, señala el informe.  

Ahora bien, si usted:

  • Tiene un móvil Xiaomi 
  • No ha presentado ninguna operación fraudulenta 
  • Y está leyendo esto…

… son buenas noticias: puesto que CPR ya informó al respecto, es probable que usted nunca sea víctima de esta falla. 

¿Cuál es el problema? 

En otro momento, CPR advirtió y explicó lo riesgos inherentes a Android que han sido corregidos a lo largo del año y, especialmente, en la nueva versión. 

En el caso de lo encontrado en los dispositivos del fabricante chino, CPR, señala que las referidas vulnerabilidades de Xiaomi se  encontraron en el Trusted Environment. 

“El entorno de ejecución de confianza (TEE) fue una parte integral de los dispositivos móviles durante muchos años. Su objetivo principal es procesar y almacenar información de seguridad sensible como claves criptográficas y huellas dactilares. Dado que las firmas de los pagos móviles se llevan a cabo en el TEE, suponemos que, si el TEE es seguro, también lo son sus pagos”, señala el informe de Check Point Research.

Los dispositivos estudiados estaban equipados con chips MediaTek y CPR descubrió dos formas de atacar el código de confianza: 

1.- Desde una aplicación Android sin privilegios

En este caso, el usuario instala una aplicación maliciosa y la lanza. La app extrae las claves y envía un paquete de pago falso para robar el dinero.

2.- Si el ciberdelincuente tiene los dispositivos objetivo en sus manos

En este caso, el atacante rootea el dispositivo. 

Luego, baja el entorno de confianza y, después, ejecuta el código para crear un paquete de pago falso sin necesidad de una aplicación.

Pago

En medio del auge 

Según las últimas estadísticas del portal Statistica, en 2021 el Extremo Oriente y China representaron dos tercios de los pagos móviles del mundo.

Esto supone unos US$ 4 millardos (billones según la nomenclatura inglesa) en transacciones de monederos móviles. 

No puede sorprender, entonces, que hay hackers taladrandbrechss. Una cantidad tan grande de dinero es un imán para los ciberdelincuentes. 

Los dispositivos Xiaomi tienen un framework de pago móvil integrado llamado Tencent Soter que proporciona una API para que las aplicaciones Android de terceros integren las capacidades de pago. 

Su función principal es proporcionar la capacidad de verificar las transferencias de paquetes de pago entre una aplicación móvil y un servidor backend remoto, que son esencialmente la seguridad y la protección con las que todos contamos cuando realizamos pagos móviles.

Según Tencent, cientos de millones de dispositivos Android son compatibles con Tencent soter. 

La vulnerabilidad que se encontró, a la que Xiaomi asigno como CVE-2020-14125, compromete por completo la plataforma soterrada de Tencent, permitiendo a un usuario no autorizado firmar paquetes de pago falsos.

¿Lejos de la amenaza?

Por supuesto, el mercado que corre más riesgo es el asiàtico pero ya Xiaomi es un marca global y los usuarios de smartphones suelen intentar aprovechar al máximo los beneficios de cada dispositivo.

WeChat Pay y Alipay son los dos mayores operadores del sector de los pagos digitales en China. Juntos, representan alrededor del 95% del mercado chino de pagos móviles. Cada una de estas plataformas tiene más de 1.000 millones de usuarios.

WeChat Pay está basado en el soterramiento de Tencent.

Además, Xiaomi puede incrustar y firmar sus propias aplicaciones de confianza. Los investigadores descubrieron que un atacante puede transferir una versión antigua de una aplicación de confianza al dispositivo y utilizarla para sobrescribir el archivo de la nueva aplicación. 

Por lo tanto, un ciberdelincuente puede eludir las correcciones de seguridad realizadas por Xiaomi o MediaTek en sus apps.

Si bien pareciera que Occidente no es, en principio, el foco central de la amenaza, esto podría cambiar. 

Después de todo, en la medida en Xiaomi y Tencent vayan cerrando la bracha, los ciberatacantes buscarán nuevas formas de aprovechar esas y otras vulnerabilidades. 

Precaución, manejar sumas bajas y atender el detalle de sus operaciones son las acciones defensivas mínimas para hacer que, si ocurre algún incidente, no sea grave. 

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP