logo azul

Descubren una grave vulnerabilidad en ciertos modelos de móviles Xiaomi que permite falsificar pagos

Categorías

Opinión

Descubren una grave vulnerabilidad en ciertos modelos de móviles Xiaomi que permite falsificar pagos

Si realizas pagos móviles con tu teléfono Xiaomi, es probable que puedas ser vulnerable a este problema de seguridad.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 
Los ciberdelincuentes siempre están atentos a distintas vulnerabilidades de teléfonos populares para intentar perpetrar ataques a un gran conjunto de usuarios, y los teléfonos inteligentes de Xiaomi que se basan en procesadores de MediaTek están en peligro debido a su sistema de pago.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



Y tal como señalan los investigadores de Checkpoint, han encontrado problemas de seguridad en el sistema de pago presente en estos teléfonos que proporcionan un entorno de ejecución confiable (TEE) responsable de firmar transacciones.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Con esto los piratas informáticos podrían explotar estas debilidades para firmar paquetes de pago falsos al utilizar una aplicación de terceros sin privilegios.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



Los investigadores explican que los teléfonos Xiaomi afectados usan la arquitectura TEE «Kinibi», que crea un enclave virtual para almacenar las claves de seguridad necesarias para firmar este tipo de transacciones.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 
Comentan que está diseñado para ejecutar aplicaciones confiables como «thhadmin» de Xiaomi que es el responsable de la gestión de seguridad dentro del marco de pago móvil integrado llamado ‘Tencent Soter’.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


No obstante, aplicaciones como WeChat y Alipay se basan en Tencent Soter para verificar estos paquetes de pago de forma segura.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Esto abre la puerta a un ataque de degradación, donde un actor malicioso podría reemplazar una aplicación más nueva y segura con una versión más antigua y vulnerable.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Los investigadores pudieron usar otra vulnerabilidad en Tencent Soter que permite a un atacante extraer claves privadas y firmar paquetes de pago falsos en el contexto de un usuario sin privilegios.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Recomiendan que si tienes un dispositivo Xiaomi basado en Mediatek debes aplicar todas las actualizaciones de seguridad desde junio de 2022.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Se recomienda que deshabilites los pagos móviles por completo hasta que venga la actualización durante la próxima semana o al menos minimizar la cantidad de aplicaciones instaladas en el dispositivo.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ComputerHoy

Comparte esta noticia:

Contáctanos

Envíe sus comentarios, informaciones, preguntas, dudas y síguenos en nuestras redes sociales

Publicidad

Si desea obtener información acerca de
cómo publicar con nosotros puedes Escríbirnos

Nuestro Boletín de noticias

Suscríbase a nuestro boletín y le enviaremos por correo electrónico las últimas publicaciones.