A Xiaomi, terceira maior fabricante de celulares do globo, atrás apenas da Apple e Samsung, informou que corrigiu uma falha de extrema seriedade no seu “ambiente confiável” usado para memorizar informações de pagamento, o que tornou alguns dos seus dispositivos vulneráveis a ataques.
Os cientistas da Check Point Research descobriram na semana passada, num documento revelado na DEF CON, que uma falha do telefone Xiaomi pode ter proporcionado aos invasores a possibilidade de sequestrar o sistema de pagamento móvel, desabilitá-lo ou criar e validar suas próprias transações falsificadas.
Descobrimos uma série de debilidades que poderia permitir a criação de pacotes de pagamento ou desativar o sistema de pagamento diretamente, de um aplicativo Android não privilegiado. Conseguimos hackear o WeChat Pay e implementar uma prova de conceito completamente eficaz”, relatou Slava Makkaveev, pesquisador de segurança da Check Point.
Ele afirmou que o estudo Check Point era a primeira análise de segurança das aplicações da Xiaomi. WeChat Pay é um meio de pagamento móvel e carteira digital produzido pela empresa com o mesmo nome, localizada na China, utilizado por mais de 300 milhões de usuários e fornecendo a possibilidade para os usuários de Android de realizar pagamentos bancários e transações online.
O Flawless é um programa que ajuda você a aperfeiçoar sua ortografia.
Não está definido por quanto tempo a falha foi descoberta ou se foi explorada por criminosos. O erro, identificado como CVE-2020-14125, foi resolvido pela Xiaomi em junho e tem uma classificação de risco CVSS elevada.
Alguns modelos de telefone Xiaomi apresentam uma não-aceitação da fragilidade dos serviços. Esta debilidade é devida a uma leitura/escrita fora do limite e poderá ser usada por assaltantes para aplicar uma negação de serviço, de acordo com o NIST relativo à ameaça usada com frequência e a descrição de exposição do erro.
Enquanto os efeitos do bug foram restringidos quando a Xiaomi tornou pública a falha em junho, analistas do Check Point elaboraram um relatório sobre o erro corrigido e seu possível impacto total.
Principal questão com o celular Xiaomi foi o método de pagamento e o Trusted Execution Environment (TEE) presente no aparelho. O TEE é o encontro virtual da Xiaomi no smartphone, responsável por tratar e armazenar dados de segurança ultra-sensíveis, como impressões digitais e chaves criptográficas usadas para a assinatura de transações.
Sem cuidado, os atacantes podem furtar chaves privadas usadas para firmar WeChat Pay, controlar e pacotes de pagamento. No pior cenário, um aplicativo Android não privilegiado seria capaz de gerar e autenticar um pacote de pagamento ilegítimo, dizem os pesquisadores.
Segundo o Check Point, duas formas de ataques poderiam ter sido feitas em dispositivos vulneráveis.
- Um aplicativo Android não autorizado é instalado e iniciado pelo usuário. Este aplicativo malicioso coleta as credenciais e manda um pacote de pagamento falso para obter os fundos fraudulentamente.
- Se o atacante possuir os alvos de destino em suas mãos: Primeiro, ele enraizará o dispositivo, depois comprometerá o ambiente de segurança e, finalmente, executará o código para gerar um pacote de transferência de dinheiro falsa sem a necessidade de aplicativos.
Dois métodos para rasgar um TEE são: usar uma lixa abrasiva ou passar uma lâmina.
A Check Point afirma que o TEE (Entorno de Execução Seguro) precisava estar presente para que o ataque pudesse ser conduzido. É importante notar que o problema não estava no chip MediaTek, mas a falha só poderia ser explorada em dispositivos equipados com o processador MediaTek.
Os pesquisadores afirmaram que o mercado asiático é predominantemente composto de smartphones que usam chips da MediaTek. Os aparelhos Xiaomi, que funcionam com esses chips, contêm uma arquitetura TEE intitulada “Kinibi”, na qual a Xiaomi pode incluir e autenticar suas próprias aplicações confiáveis.
Geralmente, os aplicativos confiáveis do sistema operacional Kinibi têm o formato MCLF – Mobicore Loadable Format -, mas a Xiaomi resolveu fabricar um deles usando o seu próprio formato. No entanto, isso foi um erro devido a ausência de controle de versão. Sem ele, “um invasor pode baixar uma versão antiga de um aplicativo confiável para o dispositivo e substituir o novo arquivo de aplicativo”. A assinatura entre as versões não é alterada, então o TEE não consegue detectar a diferença, e carrega o arquivo antigo.
Em essência, o invasor poderia ter enfrentado o tempo, desprezando qualquer ajuste de segurança realizado pela Xiaomi ou MediaTek na parte mais vulnerável do celular.
Como caso de estudo, os cientistas examinaram a “Tencent Soter”, um framework integrado da Xiaomi que oferece uma API para aplicativos de terceiros que desejam embutir pagamentos móveis. Soter é responsável por verificar as transações entre os telefones e os servidores de back-end, sendo utilizado por centenas de milhões de dispositivos Android ao redor do mundo. Os pesquisadores realizaram ataques de tempo para explorar uma vulnerabilidade de leitura não autorizada no aplicativo Soter, o que permitiu que eles roubassem as chaves privadas usadas para confirmar as transações.
A falha de leitura imprudente foi já solucionada, mas a falha de controle de versão está em processo de correção.
Além disso, os cientistas inventaram outro meio de investigar o sótão.
Usando um aplicativo Android comum, sem privilégios especiais, eles conseguiram estabelecer uma conexão com o serviço de soter confiável por meio da API “SoterService”. Os autores informaram que o objetivo era roubar uma das chaves privadas. No entanto, ao aplicar um ataque de excesso de heap clássico, eles foram capazes de comprometer a plataforma de soter Tencent, o que permitiu que eles tivessem acesso para, por exemplo, criar pacotes de pagamentos falsos.
Os telefones ainda não foram totalmente explorados.
Como serviços como Apple Pay e Google Pay são cada vez mais populares no Ocidente, especialistas em segurança estão dando mais atenção aos pagamentos móveis. Essa questão é ainda mais importante no Extremo Oriente, pois o mercado de pagamentos móveis lá já está muito à frente. Dados da Statista indicam que esse hemisfério contribuiu com dois terços dos pagamentos móveis globais em 2021, o que equivale a aproximadamente quatro bilhões de dólares em transações.
Os pesquisadores observaram que o mercado asiático ainda não foi aproveitado plenamente. Não está sendo levado em consideração a aplicação das aplicações seguras criadas por empresas como a Xiaomi, quando se trata da segurança e dos núcleos de pagamentos móveis nesses países.
Como havia sido notado anteriormente, a Check Point declarou que essa foi a primeira ocasião que os aplicativos seguros da Xiaomi foram examinados para questões de segurança.
Por favor, divulgue este artigo.
- A proteção de dispositivos móveis torna-se cada vez mais crucial para as organizações.
- Vulnerabilidades de segurança são brechas de segurança que podem ser exploradas por invasores para causar danos ao sistema.
