Check Point ha llevado a cabo una investigación sobre los pagos a través del móvil, centrándose en el mercado asiático y ha encontrado vulnerabilidades en el mecanismo utilizado por Xiaomi, uno de los grandes fabricantes de smartphones chinos.

Estas vulnerabilidades en el Trusted Environment, el lugar en el que se almacenan y gestionan las contraseñas, podrían terminar con el robo de información sensible. Afecta a claves privadas para firmar paquetes de control y pago de Wechat Pay. Incluso podría intervenir una aplicación Android sin privilegios para crear y firmar paquetes de pago falso.

Basta con que el usuario instale una aplicación maliciosa para que esta extraiga las claves y envíe el paquete de pago falso, lo que termina con el robo de dinero. Por otro lado, si el ciberdelincuente tiene los terminales en sus manos, puede rootearlos, bajar el entorno de confianza y ejecutar el código para crear ese paquete de pago falso sin que participe ninguna aplicación en la acción.

Xiaomi tiene la capacidad de incrustar y firmar aplicaciones de confianza. Los criminales podrían aprovechar una versión antigua para sobrescribir el archivo en una aplicación nueva y así eludir las correcciones de seguridad de los fabricantes.

Los dispositivos Xiaomi cuentan con el framework de pago móvil Tencent Soter que entrega una API para que aplicaciones de terceros integren capacidades de pago. WeChat Pay se basa en el soterramiento de Tencent.

“Descubrimos un conjunto de vulnerabilidades que podrían permitir la falsificación de paquetes de pago o su desactivación desde una aplicación Android sin privilegios”, resume Slava Makkaveev, Investigador de Seguridad de Check Point Software. “Fuimos capaces de hackear WeChat Pay e implementamos una prueba de concepto totalmente operativa”.

Tras encontrar los fallos que afectan los terminales de Xiaomi, Check Point se puso en contacto con la compañía, que proporcionó correcciones.