Xiaomi: vulnerabilidade podia ludibriar pagamentos 'contactless' com smartphones Android

Rui Bacelar
Rui Bacelar
Tempo de leitura: 3 min.

Foram detetadas vulnerabilidades no mecanismo de pagamentos móveis da Xiaomi que poderiam permitir transações falsificadas e, desse modo, lesar o utilizador. A análise foi conduzida pela agência de segurança Check Point cuja investigação detetou falhas graças em determinados smartphones Android da marca chinesa.

Mais concretamente, a Check Point Research (CPR) analisou o sistema de pagamento incorporado nos smartphones Xiaomi alimentados por chips MediaTek. Foi nestes dispositivos que a agência de segurança encontrou sinais de alerta que, entretanto, deu a conhecer e também partilhou com a empresa de Lei Jun.

Vulnerabilidades detetadas pela agência Check Point em smartphones Xiaomi

Foram encontradas, com efeito, vulnerabilidades que poderiam permitir a falsificação do pagamento e a desativação direta do sistema de pagamento. Isto a partir de uma aplicação Android sem privilégios ou permissões dignas de nota. Entretanto, a agência em questão colaborou com a Xiaomi. A empresa reconheceu as vulnerabilidades e providenciou as correções para as vulnerabilidades.

Em causa estava uma vulnerabilidade nos sistemas de pagamento no telemóveis da Xiaomi. Estas vulnerabilidades afetam sobretudo os smartphones com processadores da MediaTek. Porém, de acordo com os relatórios realizado pela Check Point Research aos sistemas de pagamento na China, a ameaça era reduzida fora deste país.

Com o aumento da popularidade dos pagamentos móveis, uma forma comum de pagamentos em todo o mundo, estes são cada vez mais visados pelos meliantes. São sistemas que a maioria dos utilizadores de smartphones já usa diariamente e confortavelmente, afastando dúvidas e incertezas.

Smartphones Xiaomi com chips MediaTek foram visados na China

Segundo o relatório dos investigadores da CPR (Mobile) a ameaça podia afetar o sistema de pagamento incorporado nos smartphones Xiaomi alimentados por chips MediaTek. Modelos mais acessíveis, por conseguinte, muito populares na China e nos demais mercados globais.

Durante estas análises, foram descobertas vulnerabilidades que poderiam permitir forjar pacotes de pagamento. Também podiam desativar o sistema de pagamento diretamente, a partir de uma aplicação Android sem privilégios.

Se o TEE é seguro, os seus pagamentos também o são.

O Trusted execution environment (TEE) tem sido parte integrante dos dispositivos móveis durante muitos anos. O seu principal objetivo é processar e armazenar informações de segurança sensíveis. Informações tais como chaves criptográficas e impressões digitais.

Uma vez que as assinaturas de pagamentos móveis são realizadas no TEE, assumimos que se o TEE é seguro. Assim, também o são os seus pagamentos.

O mercado asiático, representado principalmente por smartphones baseados em chips MediaTek, ainda não foi amplamente explorado. Ninguém está a examinar aplicações de confiança escritas por vendedores de dispositivos, como a Xiaomi. Isto embora a gestão da segurança e o núcleo dos pagamentos móveis sejam aí implementados.

Segundo a CPR, "O nosso estudo marca a primeira vez que as aplicações de confiança de Xiaomi estão a ser revistas por questões de segurança."

"Na nossa investigação, concentramo-nos nas aplicações de confiança dos dispositivos MediaTek. O dispositivo de teste utilizado é o Xiaomi Redmi Nota 9T 5G com o sistema operativo Android e interface MIUI Global 12.5.6.0.", aponta a CPR.

Conclusão

  • Ao longo desta investigação detetaram formas de atacar a plataforma incorporada nos smartphones Xiaomi e utilizada por milhões de utilizadores na China para pagamentos móveis.
  • Uma aplicação sem privilégios do Android poderia explorar a vulnerabilidade do CVE-2020-14125 para executar código na aplicação de confiança wechat e forjar pacotes de pagamento.
  • Após a divulgação e colaboração, esta vulnerabilidade foi corrigida por Xiaomi em Junho de 2022.
  • Para além disso, demonstraram como a vulnerabilidade de degradação no TEE de Xiaomi pode permitir que a antiga versão da aplicação wechat roube chaves privadas. Esta vulnerabilidade apresentada foi também corrigida e corrigida por Xiaomi após divulgação e colaboração.
  • A questão da desclassificação, foi confirmada por Xiaomi como pertencendo a um terceiro fornecedor, está a ser corrigida em breve.

Editores 4gnews recomendam:

  • Samsung apanhada a mentir nas especificações dos Galaxy Watch 5
  • Apple prepara-se para apresentar mais publicidade no iPhone e iPad
  • Android 13 é oficial! Eis as novidades do sistema operativo da Google
Rui Bacelar
Rui Bacelar
O Rui ajudou a fundar o 4gnews em 2014 e desde então tornou-se especialista em Android. Para além de já contar com mais de 12 mil conteúdos escritos, também espalhou o seu conhecimento em mais de 300 podcasts e dezenas de vídeos e reviews no canal do YouTube.