Descubren una falla en algunos teléfonos Xiaomi (se abre en una pestaña nueva) podría haber costado a los usuarios el dinero que tanto les costó ganar.
Los expertos en seguridad cibernética de Check Point Research (CPR) encontraron una falla en el mecanismo de pago móvil de los dispositivos, que los actores de amenazas podrían haber usado para firmar pagos falsos, esencialmente robando el dinero de las personas.
«Descubrimos un conjunto de vulnerabilidades que podrían permitir la falsificación de paquetes de pago o la desactivación del sistema de pago directamente desde una aplicación de Android sin privilegios», comentó Slava Makkaveev, investigador de seguridad de Check Point. Pudimos hackear WeChat Pay e implementamos una prueba de concepto totalmente funcional”.
Según el informe de CPR, la falla se encontró en el entorno confiable de Xiaomi, una herramienta que almacena y administra información confidencial, como contraseñas o claves de seguridad. Había dos formas de robar el dinero de las personas: haciéndoles instalar malware o robando y manipulando el propio dispositivo.
Arreglando los problemas rápido
En primera instancia, el malware extraería las claves y enviaría paquetes de pago falsos para robar el dinero. En la segunda instancia, el atacante necesitaría rootear el teléfono inteligente (se abre en una pestaña nueva)baje el entorno de confianza y luego ejecute el código para crear un paquete de pago falso sin una aplicación.
Sin embargo, en ambos casos, el punto final debería ejecutarse en procesadores MediaTek.
Después de encontrar la falla, CPR notificó a Xiaomi, que parece haber trabajado rápido para solucionar el problema: «Inmediatamente divulgamos nuestros hallazgos a Xiaomi, quien trabajó rápidamente para solucionarlo», señaló Makkaveev.
“Nuestro mensaje al público es que se aseguren constantemente de que sus teléfonos estén actualizados a la última versión proporcionada por el fabricante. Si incluso los pagos móviles no son seguros, ¿entonces qué lo es?”.
Los sistemas de pago móvil parecen ser la próxima gran frontera. Según Fortune Business Insights, se espera que el mercado alcance los 11,83 billones de dólares en 2028, con una tasa de crecimiento anual compuesta del 29,1 %. Eso también lo convierte en un objetivo importante para los ciberdelincuentes, que se han centrado cada vez más en los sistemas de pago, las billeteras de criptomonedas y similares.