Brecha de seguridad pone en riesgo el sistema de pagos de una importante compañía de smartphones
El mecanismo de pago móvil de un gigante tecnológico como Xiaomi ha contado con múltiples brechas de seguridad. Estos fallos pudieron haber llevado a sus usuarios a hacer transacciones bancarias falsas, o que no se reflejaron en los bancos remitentes, por ejemplo. Esto lo han descubierto investigadores expertos de una firma de seguridad, alertando que este fallo puede llevar a problemas más serios.
Para nadie es un secreto que los pagos móviles han experimentado un crecimiento casi explosivo en los últimos años. En algunos países, el 40% de las personas hacen uso de su dispositivo móvil para pagar las compras, además de otras transacciones financieras.
Por otro lado, esta tendencia de hacer pagos mediante los smartphones ha llevado a que cada vez más actores maliciosos enfoquen sus miras en estos sistemas de pago, para llevar a cabo sus ciberataques. Por ello, los investigadores de una empresa como Check Point Research, han puesto el ojo a las vulnerabilidades del sistema de pago móvil de Xiaomi.
El problema de fondo se encuentra en el llamado “Trusted Enviroment” del gigante tecnológico, el cual se encarga del almacenamiento y gestión de la información sensible, como los nombres de usuario, claves de bancos y contraseñas varias.
Los investigadores de la empresa de seguridad han explicado un par de formas en las que los ciberdelincuentes puede atacar al mecanismo de pagos. Una de las vulnerabilidades viene dada desde una app de Android sin privilegios, en donde los hackers maliciosos instalan una aplicación en los móviles que quieren infectar para extraer sus contraseñas.
Cuando los hackers consiguen el acceso a los dispositivos, envían paquetes de pagos falsos para proceder a robar el dinero de las cuentas.
El segundo método consiste en la tenencia de los smartphones que, por alguna razón, caen en las manos de los ciberdelincuentes. Luego, proceden a rootear dichos dispositivos para obtener permisos de superusuario. Así, se baja el entorno de confianza (Trusted Enviroment) y se ejecuta el código para crear paquetes de pago falsos, sin necesidad de instalar aplicación alguna.
El llamado Entorno de Ejecución de Confianza (TEE) es crítico en los smartphones y en cualquier equipo móvil, para guardar información sensible, como las claves criptográficas y las huellas dactilares, por ejemplo. Si se tiene en cuenta que las firmas de los pagos móviles se hacen a través del TEE, la seguridad de los pagos puede verse comprometida.
Toda la información personal y empresarial es de suma importancia, por ello, debes tenerla siempre asegurada, disponible y en completa integridad. Si has tenido problemas con la gestión de tu información, TIC Defense puede recurrir al rescate, ya que nuestros especialistas desarrollan herramientas y productos que se ajustan a las necesidades de tu organización.
En el caso concreto de Xiaomi, los equipos disponen de un framework de pago móvil totalmente integrado que se llama Tencent Soter, el cual proporciona una API para que las apps de Android de terceros puedan integrarse a las capacidades de pago.
De esta manera es como se verifican las transferencias de paquetes de pago, entre una app móvil y un servidor backend remoto. Por ello, la vulnerabilidad que ha sido detectada compromete la plataforma de Tencent, permitiendo que usuarios no autorizados puedan firmar y gestionar paquetes de pago falsos.
