Preocupante advertencia sobre los celulares Xiaomi: podrían robarte tus claves privadas fácilmente

Los investigadores de Check Point Research (CPR), un proveedor líder de soluciones de ciberseguridad a nivel mundial, identificó vulnerabilidades en el mecanismo de pago por móvil de Xiaomi.

Los investigadores colaboraron con Xiaomi, que reconoció las vulnerabilidades y proporcionó parches para las mismas.

La realidad es que si se deja sin parchear, un atacante podría robar las claves privadas utilizadas para firmar los paquetes de control y pago de Wechat Pay. En el peor de los casos, una aplicación Android sin privilegios podría haber creado y firmado un paquete de pago falso.

Cabe remarcar que los pagos con el móvil se hicieron muy populares y se convirtieron en una forma de cobro habitual en todo el mundo.

Según las últimas estadísticas del portal Statistica, en 2021 el Extremo Oriente y China representaron dos tercios de los pagos móviles del mundo. Esto supone unos 4 billones de dólares en transacciones de monederos móviles. Una cantidad tan grande de dinero atrae sin duda la atención de los ciberdelincuentes.

De este modo, las vulnerabilidades se encontraron en el Trusted Environment de Xiaomi, encargado de almacenar y gestionar información sensible como claves y contraseñas. Los dispositivos estudiados estaban equipados con chips MediaTek. CPR descubrió dos formas de atacar el código de confianza:

Desde una aplicación Android sin privilegios: el usuario instala una aplicación maliciosa y la lanza. La app extrae las claves y envía un paquete de pago falso para robar el dinero.

Si el ciberdelincuente tiene el dispositivo objetivo en sus manos: rootea el dispositivo, luego baja el entorno de confianza y después ejecuta el código para crear un paquete de pago falso sin necesidad de una aplicación.