• Home

  • Alerta: cuidado si has hecho algún pago móvil con Xiaomi, la compañía reconoce brechas de seguridad

Alerta: cuidado si has hecho algún pago móvil con Xiaomi, la compañía reconoce brechas de seguridad

Un grupo de investigadores detecta vulnerabilidades en el sistema que podrían haber permitido la realización de transacciones falsas

consumidor global logo

Consumidor Global

Teléfonos Xiaomi / EP
Teléfonos Xiaomi / EP

Los investigadores de Check Point Research (CPR), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha identificado vulnerabilidades en el mecanismo de pago por móvil de Xiaomi. Si se deja sin parchear, un atacante podría robar las claves privadas utilizadas para firmar los paquetes de control y pago de Wechat Pay. En el peor de los casos, una aplicación Android sin privilegios podría haber creado y firmado un paquete de pago falso. 

Los pagos con el móvil se han hecho muy populares y se han convertido en una forma de cobro habitual en todo el mundo. Según las últimas estadísticas del portal Statistica, en 2021 el Extremo Oriente y China representaron dos tercios de los pagos móviles del mundo. Una cantidad tan grande de dinero atrae sin duda la atención de los ciberdelincuentes. En el caso de España, según el II Estudio de tendencias de pago móvil en España, realizado por Pecunpay, en colaboración con Visa, ya son casi el 40% de los españoles encuestados afirma que utiliza su móvil para pagar sus compras.

Las vulnerabilidades localizadas

Desde Check Point Research, advierten que los problemas se encontraron en el Trusted Environment de Xiaomi, encargado de almacenar y gestionar información sensible como claves y contraseñas. Los investigadores descubrieron dos formas de atacar el código de confianza.

Teléfono móvil de Xiaomi con la interfaz abierta / PIXABAY
Teléfono móvil de Xiaomi con la interfaz abierta / PIXABAY

En primer lugar, desde una aplicación Android sin privilegios. De ese modo, los estafadores instalan una aplicación maliciosa en los dispositivos infectados para extraer las claves. Una vez tiene acceso a ellas, envía un paquete de pago falso para robar el dinero. Si el ciberdelincuente tiene los dispositivos objetivo en sus manos, obtienen el control privilegiado de estos, disminuye el entorno de confianza y ejecuta a continuación el código malicioso para crear un paquete de pago falso sin necesidad de instalar una aplicación.

Las aplicaciones de confianza de Xiaomi pueden ser degradadas

Xiaomi puede incrustar y firmar sus propias aplicaciones de confianza. Los investigadores han descubierto que un atacante puede transferir una versión antigua de una aplicación de confianza al dispositivo y utilizarla para sobrescribir el archivo de la nueva aplicación. Por lo tanto, un ciberdelincuente puede eludir las correcciones de seguridad realizadas por Xiaomi o MediaTek en sus apps.

Además, se han descubierto varias vulnerabilidades en la aplicación de confianza thhadmin, responsable de la gestión de la seguridad, que podrían aprovecharse para filtrar claves almacenadas o ejecutar código en el contexto de la aplicación y, a continuación, realizar prácticamente acciones maliciosas falsificadas.

Has leído este contenido de Consumidor Global elaborado por nuestro equipo de redacción y expertos. Si deseas acceder de forma libre a todos los contenidos que producimos te recomendamos suscribirte. Además, podrás recibir asesoramiento legal gratuito por formar parte de nuestra comunidad.

Artículos relacionados

Productos relacionados

Comentarios

Desbloquear para comentar

Suscríbase

Tenemos
el mejor plan
para el consumidor exigente

Suscríbase
Opine

Opiniones destacadas

Lea todas las opiniones para determinar una elección

Acceda

Acceso completo

Libere los accesos a todas las secciones bajo suscripción

Contenido exclusivo

Contenido exclusivo

Los mejores artículos, productos, contenido exclusivo y asesoría legal

Suscríbase
Sea el mejor consumidor únase a nuestro club.
Suscríbase