Smartphone Xiaomi: vulnerabilità dei pagamenti (update)
Topic
Approfondimenti
Trending
tutti

Smartphone Xiaomi: vulnerabilità dei pagamenti (update)

Alcune vulnerabilità presenti negli smartphone Xiaomi con chip MediaTek (risolte nel mese di giugno) possono compromettere i pagamenti mobile.
Smartphone Xiaomi: vulnerabilità dei pagamenti (update)
Sicurezza Antivirus Antivirus
Alcune vulnerabilità presenti negli smartphone Xiaomi con chip MediaTek (risolte nel mese di giugno) possono compromettere i pagamenti mobile.
Unsplash

I ricercatori di Check Point Software hanno scoperto gravi vulnerabilità negli smartphone Xiaomi con processori MediaTek che potrebbero essere sfruttate per modificare i pacchetti del sistema operativo utilizzati dai pagamenti mobile. Il produttore cinese ha risolto il problema di sicurezza con una patch rilasciata nel mese di giugno. È comunque consigliata l’installazione di un antivirus che può rilevare e bloccare le attività sospette.

Proteggi tutti i dispositivi con Bitdefender Total Security

Pagamenti rischiosi con smartphone Xiaomi

Il Trusted Execution Environment (TEE) è un’area sicura del processore in cui sono memorizzati alcuni dati sensibili, tra cui le chiavi crittografiche necessarie per autorizzare le transazioni. La versione presente nei chip MediaTek viene gestita dal Kinibi OS. Nell’area possono essere eseguite le “trusted app”. Nell’implementazione di Xiaomi non viene verificata la versione delle “trusted app”, quindi un malintenzionato può sovrascrivere la nuova versione con una vecchia versione.

I ricercatori di Check Point Software hanno estratto una vecchia versione dell’app thhadmin (responsabile della gestione della sicurezza) dalla MIUI Global 10.4.1.0 e sostituito la nuova versione nella MIUI Global 12.5.6.0. Dato che la firma è corretta, l’app viene eseguita nel TEE. Sfruttando le vulnerabilità dell’app thhadmin è possibile accedere alle chiavi conservate nel TEE.

Un’altra vulnerabilità è presente nel framework Tencent Soter usato dalle app di terze parti per verificare le transazioni tra app e server di backend. Sfruttando il bug è possibile rubare le chiavi private per firmare pacchetti fasulli dei pagamenti. Tutte le vulnerabilità sono state risolte da Xiaomi.

Aggiornamento (14/08/2022)
Xiaomi ha rilasciato il seguente comunicato ufficiale:

La causa della vulnerabilità è stata identificata. Il team tecnico sta lavorando a stretto contatto con i partner della catena di fornitura per eliminare il rischio, e il processo di correzione è stato avviato. La vulnerabilità è stata riscontrata in un numero limitato di modelli e richiede un livello estremamente elevato di tecnologia di cracking. Pertanto, non avrebbe avuto un impatto ampio e non ha causato alcuna perdita di dati per gli utenti.

Fonte: Check Point Software

Pubblicato il 13 ago 2022

Link copiato negli appunti

Ti potrebbe interessare

Smartphone pieghevoli: c'è anche Xiaomi MIX Fold 2

Smartphone pieghevoli: c'è anche Xiaomi MIX Fold 2
Xiaomi Pad 5 Pro: nuovo rivale dell'iPad Pro

Xiaomi Pad 5 Pro: nuovo rivale dell'iPad Pro
CyberOne è il robot umanoide di Xiaomi

CyberOne è il robot umanoide di Xiaomi
ExpressVPN: ecco l'offerta Black Friday, fino a 6 mesi extra GRATIS

ExpressVPN: ecco l'offerta Black Friday, fino a 6 mesi extra GRATIS
Smartphone pieghevoli: c'è anche Xiaomi MIX Fold 2

Smartphone pieghevoli: c'è anche Xiaomi MIX Fold 2
Xiaomi Pad 5 Pro: nuovo rivale dell'iPad Pro

Xiaomi Pad 5 Pro: nuovo rivale dell'iPad Pro
CyberOne è il robot umanoide di Xiaomi

CyberOne è il robot umanoide di Xiaomi
ExpressVPN: ecco l'offerta Black Friday, fino a 6 mesi extra GRATIS

ExpressVPN: ecco l'offerta Black Friday, fino a 6 mesi extra GRATIS
Luca Colantuoni
Pubblicato il
13 ago 2022
Link copiato negli appunti