A empresa Xiaomi, que é a terceira maior fabricante de smartphones do mundo, atrás apenas da Apple e da Samsung, anunciou que resolveu um problema significativo em seu sistema de segurança utilizado para armazenar informações de pagamento, que colocava alguns de seus dispositivos em risco de ataques.
Pesquisadores da Check Point Pesquisas divulgaram recentemente um relatório na DEF CON, no qual apontaram que uma vulnerabilidade encontrada no smartphone Xiaomi poderia ter sido explorada por hackers para assumir o controle do sistema de pagamento móvel, desativá-lo ou realizar transações fraudulentas.
Foi identificado um grande número de possíveis vítimas, levando em conta que aproximadamente um em cada sete smartphones em uso no mundo é produzido pela Xiaomi, de acordo com dados do segundo trimestre de 2022 da Canalys. A Xiaomi é classificada como o terceiro maior fornecedor global de smartphones, de acordo com a Canalys. Um pesquisador de segurança da Check Point, Slava Makkaveev, relatou a descoberta de vulnerabilidades que poderiam ser exploradas para falsificar transações de pagamento ou desativar o sistema de pagamento diretamente a partir de um aplicativo Android não privilegiado. Ele conseguiu hackear o WeChat Pay e demonstrar um conceito prático elaborado dessa vulnerabilidade.
Ele afirmou que o estudo realizado pela Check Point representa a primeira avaliação das aplicações seguras da Xiaomi em relação à segurança. O WeChat Pay é um sistema de pagamento móvel e carteira digital criado por uma empresa chinesa homônima, utilizado por mais de 300 milhões de usuários para realizar pagamentos e transações online.
Desculpe, mas não consegui encontrar o restante do texto para parafraseá-lo. Poderia me fornecer mais informações ou contexto sobre o que você gostaria de parafrasear? Seria um prazer ajudá-lo com isso.
Não se sabe por quanto tempo a vulnerabilidade esteve presente ou se foi utilizada por atacantes. A falha, identificada como CVE-2020-14125, foi solucionada pela Xiaomi em junho e é considerada grave, de acordo com a classificação CVSS.
Alguns modelos de telefones Xiaomi apresentam uma falha de segurança que permite ataques de negação de serviço, de acordo com a descrição da vulnerabilidade NIST e exposição do bug. A vulnerabilidade decorre de operações de leitura/escrita fora dos limites permitidos.
Enquanto os detalhes sobre como o bug afetou não foram totalmente divulgados quando a Xiaomi revelou a vulnerabilidade em junho, os pesquisadores do Check Point descreveram, em sua análise posterior ao bug corrigido, o impacto completo e potencial desta falha.
A principal questão com o telefone Xiaomi estava relacionada ao sistema de pagamento dos celulares e ao componente Trusted Execution Environment (TEE) do aparelho. O TEE é a área virtual segura do telefone Xiaomi responsável por lidar com informações altamente sensíveis, como impressões digitais e chaves criptográficas usadas em transações seguras.
De acordo com os pesquisadores, caso não haja cuidado, um invasor pode capturar chaves privadas usadas para assinar transações do WeChat Pay e pacotes de pagamento. Na pior das hipóteses, um aplicativo Android não autorizado poderia ter criado e assinado um pacote de pagamento fraudulento.
Segundo o Check Point, existiam duas possibilidades de ataques que poderiam ter sido executados em dispositivos vulneráveis.
- Paráfrase: A partir de um aplicativo Android não autorizado: O usuário baixa um aplicativo malicioso e o abre. O aplicativo rouba as informações de segurança e realiza uma transação fraudulenta para obter dinheiro indevidamente.
- Caso o invasor tenha em mãos os dispositivos alvo: O invasor acessa o dispositivo, compromete a segurança do ambiente e então executa um código para gerar um pacote de pagamento fraudulento sem a necessidade de uma aplicação.
Duas formas de retirar a pele de um TEE.
De acordo com Check Point, o TEE é um componente de chip MediaTek necessário para realizar o ataque. É importante destacar que a vulnerabilidade não estava no chip MediaTek, mas o bug só podia ser explorado em dispositivos com o processador MediaTek.
Segundo os pesquisadores, a maioria dos smartphones no mercado asiático são equipados com chips MediaTek. Os dispositivos da Xiaomi que utilizam esses chips MediaTek possuem uma tecnologia de segurança chamada “Kinibi”, que permite à Xiaomi incluir e certificar suas próprias aplicações confiáveis.
Em geral, os aplicativos confiáveis do sistema operacional Kinibi seguem o formato MCLF – Mobicore Loadable Format, mas a Xiaomi optou por desenvolver um formato próprio. No entanto, houve uma falha nesse formato personalizado: a falta de controle de versão. Isso significa que um atacante poderia transferir uma versão antiga de um aplicativo confiável para o dispositivo e substituir o novo arquivo do aplicativo, já que a assinatura entre as versões não é alterada e o TEE não consegue distinguir a diferença, resultando na instalação do aplicativo antigo.
Basicamente, o agressor poderia ter retrocedido no tempo, sem levar em consideração eventuais medidas de segurança implementadas pela Xiaomi ou MediaTek na parte mais vulnerável do telefone.
Os pesquisadores identificaram uma vulnerabilidade no framework “Tencent soter” da Xiaomi, que oferece uma API para integração de pagamentos móveis em aplicativos de terceiros. Especificamente, encontraram uma falha que possibilitava o roubo das chaves privadas usadas para assinar transações, durante investigações sobre o funcionamento do aplicativo.
A falha de segurança na leitura arbitrária já foi solucionada, e a correção da falha de controle de versão está em andamento.
Além disso, os pesquisadores encontraram uma outra maneira de explorar o material.
Utilizando um aplicativo Android comum, sem privilégios, eles conseguiram estabelecer comunicação com o aplicativo de segurança confiável através da “SoterService”, uma API utilizada para gerenciar chaves de segurança. Os autores descreveram o objetivo prático de obter uma das chaves privadas. No entanto, ao executar um ataque clássico de excesso de heap, conseguiram comprometer completamente a plataforma de segurança Tencent, o que possibilitou um poder muito maior, como assinar pacotes de pagamento falsos.
Os telefones continuam sem ser examinados.
Pagamentos móveis estão sendo cada vez mais examinados por especialistas em segurança, à medida que serviços como Apple Pay e Google Pay se tornam populares no Ocidente. No entanto, a importância desse tema é ainda maior no Extremo Oriente, onde o mercado de pagamentos móveis está muito avançado. Segundo a Statista, nesse hemisfério foram realizados dois terços de todos os pagamentos móveis globalmente em 2021, totalizando aproximadamente quatro bilhões de dólares em transações.
Os pesquisadores observaram que o mercado asiático ainda não foi totalmente explorado, pois ninguém está analisando aplicativos confiáveis desenvolvidos por fornecedores de dispositivos, como a Xiaomi, em vez de fabricantes de chips, embora a segurança e os pagamentos móveis sejam priorizados nessa região.
Como mencionado anteriormente, Check Point declarou que esta foi a primeira vez em que os aplicativos confiáveis da Xiaomi foram analisados em busca de problemas de segurança.
“Divulgue este artigo.”
- Proteção para dispositivos móveis
- Pontos fracos ou brechas de segurança.
