Vulnerabilidades no mecanismo de pagamentos móveis da Xiaomi que poderiam permitir transações falsificadas : Uma análise de investigação em Check Point

 Vulnerabilidades no mecanismo de pagamentos móveis da Xiaomi que poderiam permitir transações falsificadas : Uma análise de investigação em Check Point 

Check Point Research (CPR) analisou o sistema de pagamento incorporado nos smartphones Xiaomi alimentados por chips MediaTek

Encontradas vulnerabilidades que poderiam permitir a falsificação do pagamento e a desativação direta do sistema de pagamento, a partir de uma aplicação Android sem privilégios

A CPR colaborou com a Xiaomi, que reconheceu as vulnerabilidades e providenciou as correções para as vulnerabilidades

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, descobriu uma vulnerabilidade nos sistemas de pagamento no telemóveis da Xiaomi, estas vulnerabilidades afetam sobretudo os smartphones com processadores da MediaTek, neste relatórios realizado pela Check Point Research aos sistemas de pagamento na china.

Os pagamentos móveis tornaram-se muito populares e uma forma comum de pagamentos em todo o mundo. Todos nós o utilizamos diariamente e confortavelmente, afastando dúvidas e incertezas. 

Mas será que alguma vez se interrogou se esta prática diária que muitos de nós estamos habituados a fazer é realmente segura? Alguém poderia roubar dinheiro da sua carteira digital, usada diariamente, sem o seu conhecimento?

De acordo com as últimas estatísticas do portal Statistica, o Extremo Oriente e a China representaram dois terços dos pagamentos móveis mundiais em 2021. Isto representa cerca de 4 mil milhões de dólares em transações de carteiras móveis. Um montante tão elevado atrai certamente a atenção dos hackers.

Neste relatório, os investigadores da CPR (Mobile) analisaram o sistema de pagamento incorporado nos smartphones Xiaomi alimentados por chips MediaTek, que são muito populares na China. Durante estas análises, descobrimos vulnerabilidades que poderiam permitir forjar pacotes de pagamento ou desativar o sistema de pagamento diretamente, a partir de uma aplicação Android sem privilégios.

Se o TEE é seguro, os seus pagamentos também o são.

O Trusted execution environment (TEE) tem sido parte integrante dos dispositivos móveis durante muitos anos. O seu principal objetivo é processar e armazenar informações de segurança sensíveis, tais como chaves criptográficas e impressões digitais.

Uma vez que as assinaturas de pagamentos móveis são realizadas no TEE, assumimos que se o TEE é seguro, também o são os seus pagamentos.

O mercado asiático, representado principalmente por smartphones baseados em chips MediaTek, ainda não foi amplamente explorado. Ninguém está a examinar aplicações de confiança escritas por vendedores de dispositivos, como a Xiaomi, embora a gestão da segurança e o núcleo dos pagamentos móveis sejam aí implementados. O nosso estudo marca a primeira vez que as aplicações de confiança de Xiaomi estão a ser revistas por questões de segurança.

Na nossa investigação, concentramo-nos nas aplicações de confiança dos dispositivos MediaTek. O dispositivo de teste utilizado é o Xiaomi Redmi Nota 9T 5G com o sistema operativo MIUI Global 12.5.6.0.

Principais conclusões 

Aplicações confiáveis em Xiaomi podem ser revertidas

A Xiaomi pode incorporar e assinar as suas próprias aplicações de confiança. Descobrimos que o atacante pode transferir uma versão antiga de uma aplicação de confiança para o dispositivo e utilizá-la para sobregravar o novo ficheiro de aplicação. Portanto, um atacante pode contornar as correcções de segurança feitas pela Xiaomi ou MediaTek em aplicações de confiança, baixando-as para versões não corrigidas. 

Descobrimos várias vulnerabilidades na aplicação de confiança thhadmin, que é responsável pela gestão de segurança que poderia ser explorada para vazar chaves armazenadas ou para executar código no contexto da aplicação e depois, praticamente, executar ações forjadas maliciosas.

Quadro de pagamento móvel incorporado comprometido 

Os dispositivos Xiaomi têm um quadro de pagamento móvel incorporado chamado Tencent Soter que fornece uma API para aplicações Android de terceiros para integrar as capacidades de pagamento. A sua principal função é fornecer a capacidade de verificar pacotes de pagamento transferidos entre uma aplicação móvel e um servidor backend remoto, que são essencialmente a segurança e proteção com que todos contamos quando executamos pagamentos móveis.

Segundo a Tencent, centenas de milhões de dispositivos Android suportam o Tencent soter.

O WeChat Pay e Alipay são os dois maiores intervenientes na indústria de pagamento digital chinesa. Em conjunto, representam cerca de 95% do mercado chinês de pagamentos móveis. Cada uma destas plataformas tem mais de 1 bilião de utilizadores. O WeChat Pay é baseado no Tencent soter. Se um fornecedor de aplicações quiser implementar o seu próprio sistema de pagamento, incluindo o backend que armazena os cartões de crédito dos utilizadores, contas bancárias, etc., sem estar ligado à aplicação WeChat, pode utilizar diretamente o Tencent soter para verificar a autenticidade das transações no seu servidor backend ou, por outras palavras, especificamente, certificar-se de que foi enviado um pacote de pagamento a partir da sua aplicação instalada num dispositivo específico, e aprovado pelo utilizador.

A vulnerabilidade encontrada, que Xiaomi atribuiu ao CVE-2020-14125, compromete completamente a plataforma Tencent soter, permitindo a um utilizador não autorizado assinar pacotes de pagamento falsos.

Conclusão

O nosso relatório fornece uma análise atenta a um conjunto de vulnerabilidades dentro das aplicações de confiança da Xiaomi que são responsáveis pela gestão da segurança dos dispositivos e pagamentos móveis, sendo utilizadas por milhões de utilizadores em todo o mundo.

• Ao longo desta investigação observámos formas de atacar a plataforma incorporada nos smartphones Xiaomi e utilizada por milhões de utilizadores na China para pagamentos móveis.

• Uma aplicação sem privilégios do Android poderia explorar a vulnerabilidade do CVE-2020-14125 para executar código na aplicação de confiança wechat e forjar pacotes de pagamento.

• Após a nossa divulgação e colaboração, esta vulnerabilidade foi corrigida por Xiaomi em Junho de 2022.

• Para além disso, mostrámos como a vulnerabilidade de degradação no TEE de Xiaomi pode permitir que a antiga versão da aplicação wechat roube chaves privadas. Esta vulnerabilidade apresentada foi também corrigida e corrigida por Xiaomi após divulgação e colaboração.

• A questão da desclassificação, que foi confirmada por Xiaomi como pertencendo a um terceiro fornecedor, está a ser corrigida em breve.

• Os clientes da Check Point permanecem totalmente protegidos contra tais ameaças enquanto utilizam a Harmony Mobile Security.

• Recomendamos aos utilizadores de telemóveis que atualizem sempre o SO do seu telefone para a versão mais recente.