• Home

  • Alerta: cuidado se tens feito algum pagamento móvel com Xiaomi, a companhia reconhece brechas de segurança

Alerta: cuidado se tens feito algum pagamento móvel com Xiaomi, a companhia reconhece brechas de segurança

Um grupo de pesquisadores detecta vulnerabilidades no sistema que poderiam ter permitido a realização de transacções falsas

consumidor global logo

Consumidor Global

xiaomi
xiaomi

Os pesquisadores de Check Point Research (CPR), um provedor líder de soluções de ciberseguridad a nível mundial, tem identificado vulnerabilidades no mecanismo de pagamento por móvel de Xiaomi . Se deixa-se sem parchear, um atacante poderia roubar as chaves privadas utilizadas para assinar os pacotes de controle e pagamento de Wechat Pay. No pior dos casos, um aplicativo Android sem mordomias poderia ter criado e assinado um pacote de pagamento falso.

Os pagamentos com o móvel fizeram-se muito populares e converteram-se numa forma de cobrança habitual em todo mundo. Segundo as últimas estatísticas do portal Statistica, em 2021 o Extremo Oriente e Chinesa representaram dois terços dos pagamentos móveis do mundo. Uma quantidade tão grande de dinheiro atrai sem dúvida a atenção dos ciberdelincuentes. No caso de Espanha , segundo o II Estudo de tendências de pagamento móvel em Espanha, realizado por Pecunpay, em colaboração com Visa, já são quase o 40% dos espanhóis interrogados afirma que utiliza seu móvel para pagar seus compras.

As vulnerabilidades localizadas

Desde Check Point Research, advertem que os problemas se encontraram no Trusted Environment de Xiaomi, encarregado de alojar e gerir informação sensível como chaves e senhas. Os pesquisadores descobriram duas formas de atacar o código de confiança.

Teléfono móvil de Xiaomi con la interfaz abierta / PIXABAY
Telefone móvel de Xiaomi com a interface aberta / PIXABAY

Em primeiro lugar, desde um aplicativo Android sem mordomias. Desse modo, os estafadores instalam um aplicativo maliciosa nos dispositivos infectados para extrair as chaves. Uma vez tem acesso a elas, envia um pacote de pagamento falso para roubar o dinheiro. Se o ciberdelincuente tem os dispositivos objectivo em suas mãos, obtêm o controle privilegiado destes, diminui o meio de confiança e executa a seguir o código malicioso para criar um pacote de pagamento falso sem necessidade de instalar um aplicativo.

Os aplicativos de confiança de Xiaomi podem ser degradadas

Xiaomi pode incrustar e assinar seus próprios aplicativos de confiança. Os pesquisadores têm descoberto que um atacante pode transferir uma versão antiga de um aplicativo de confiança ao dispositivo e a utilizar para sobrescrever o arquivo do novo aplicativo. Portanto, um ciberdelincuente pode eludir as correcções de segurança realizadas por Xiaomi ou MediaTek em suas apps.

Ademais, descobriram-se várias vulnerabilidades no aplicativo de confiança thhadmin, responsável pela gestão da segurança, que poderiam se aproveitar para filtrar chaves alojadas ou executar código no contexto do aplicativo e, a seguir, realizar praticamente acções maliciosas falsificadas.

Você leu este conteúdo de consumidor global preparado por nossa equipe de redatores e especialistas. Se você deseja acessar livremente todo o conteúdo que produzimos, recomendamos se inscrever. Além disso, você pode receber aconselhamento jurídico gratuito por fazer parte da nossa comunidade.

Postagens Relacionadas

Produtos relacionados

Comentários

Desbloquear para comentar

Inscrever-se

Temos
o melhor plano
para o consumidor exigente

Inscrever-se
Opinar

Opiniões em destaque

Leia todos os comentários para determinar uma escolha

Acessar

Acesso total

Acesso a todas as seções sob assinatura

Conteúdo exclusivo

Conteúdo exclusivo

Os melhores artigos, produtos, conteúdos exclusivos e assessoria jurídica

Inscrever-se
Seja o melhor consumidor junte-se ao nosso clube.
Inscrever-se