Categorías: Actualidad

La vulnerabilidad TEE en los teléfonos Xiaomi permite pagos móviles falsificados

Los investigadores han descubierto una falla de seguridad grave en los teléfonos Xiaomi con tecnología de MediaTek, que permite pagos móviles falsificados debido a un problema de seguridad de TEE. Xiaomi corrigió la vulnerabilidad con las actualizaciones de junio de 2022.

Vulnerabilidad de Xiaomi TEE que afecta pagos seguros a través de teléfonos

Investigadores de Check Point Research (CPR) han compartido un informe detallado sobre los problemas de seguridad de los teléfonos Xiaomi. La vulnerabilidad, CVE-2020-14125, permite la manipulación de pagos móviles, especialmente en teléfonos Xiaomi, debido a problemas de seguridad del entorno de ejecución de confianza (TEE).

Trusted Execution Environment (TEE) es el área segura en los procesadores que almacenan información confidencial. TEE permite que las aplicaciones confiables se ejecuten a través de un sistema operativo confiable, evitando el acceso no autorizado a la información criptográfica. Cualquier vulnerabilidad que afecte a este enclave seguro puede provocar daños graves, incluidas pérdidas financieras y filtraciones de datos.

Según CPR, se han realizado muchos estudios sobre el estado de seguridad de TEE populares como Qualcomm SEE y Trustonic Kinibi. Mientras que los teléfonos Xiaomi con chips Qualcomm usan QSEE, los que tienen chips MediaTek usan Kinibi.

En general, los teléfonos Xiaomi evitan que las aplicaciones no autorizadas accedan a aplicaciones confiables. Sin embargo, CPR descubrió previamente que una vulnerabilidad en el decodificador de medios ALAC permitía tales comunicaciones. Esta vulnerabilidad también puede permitir el acceso a aplicaciones confiables de Xiaomi.

Acerca de la falla recientemente descubierta de Tencent Soter

En su investigación reciente, los investigadores de CPR evaluaron los teléfonos Xiaomi con chips MediaTek, ya que permanecieron en gran medida sin explotar en estudios anteriores. Analizaron el Xiaomi Redmi Note 9T 5G con sistema operativo MIUI Global 12.5.6.0.

Esta vez, los investigadores encontraron una vulnerabilidad en Tencent Soter (CVE-2020-14125). Específicamente, Tencent Soter es un marco de pago móvil integrado que proporciona una API para aplicaciones Android de terceros, como WeChat y AliPay, para integrar sistemas de pago. Si bien este marco de confianza garantiza pagos verificados y seguros, la vulnerabilidad permite que un atacante extraiga claves privadas y falsifique pagos como un usuario desfavorecido.

Al describir cómo esto se vuelve posible, dijeron los investigadores,

La aplicación del sistema com.tencent.soter.soterserver exporta (comparte para acceso público) el servicio SoterService, que proporciona la API para administrar claves soter. El servicio involucra al [email protected] servicio del sistema para comunicarse con la aplicación de confianza soter.

Una aplicación de Android sin privilegios no tiene permiso para comunicarse directamente con el TEE, pero puede usar SoterService como proxy. El código Java invoca la función initSigh de la aplicación soter y provoca un bloqueo en la aplicación de confianza… Por lo tanto, una aplicación de Android de terceros puede atacar fácilmente el soter sin ninguna interacción del usuario. Xiaomi no ha implementado la autorización de aplicaciones para proteger la API soter.

Los investigadores elaboraron los aspectos técnicos de esta vulnerabilidad en su informe.

Xiaomi solucionó la falla

Tras el descubrimiento del error, el equipo de CPR se puso en contacto con los funcionarios de Xiaomi para informar el problema. Y ahora los investigadores han confirmado que Xiaomi ha publicado las correcciones de vulnerabilidad con las actualizaciones de junio de 2022. Además, el tercero afectado también está manejando el problema de fuga de clave Soter, según lo confirmado por Xiaomi.

Por lo tanto, todos los usuarios de Xiaomi deben asegurarse de que sus teléfonos funcionen con las actualizaciones de junio de 2022 o posteriores. Sin embargo, si las actualizaciones inmediatas no son posibles, o a menos que los pagos móviles sean urgentes, los usuarios pueden optar por deshabilitar los pagos móviles para evitar pérdidas.

Háganos saber sus pensamientos en los comentarios.

Fuente

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Compartir
Publicado por
WP Dev JaGonzalez

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

2 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

2 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace