I ricercatori di Check Point Software hanno scoperto gravi vulnerabilità negli smartphone Xiaomi con processori MediaTek che potrebbero essere sfruttate per modificare i pacchetti del sistema operativo utilizzati dai pagamenti mobile. Il produttore cinese ha risolto il problema di sicurezza con una patch rilasciata nel mese di giugno. È comunque consigliata l’installazione di un antivirus che può rilevare e bloccare le attività sospette.
Pagamenti rischiosi con smartphone Xiaomi
Il Trusted Execution Environment (TEE) è un’area sicura del processore in cui sono memorizzati alcuni dati sensibili, tra cui le chiavi crittografiche necessarie per autorizzare le transazioni. La versione presente nei chip MediaTek viene gestita dal Kinibi OS. Nell’area possono essere eseguite le “trusted app”. Nell’implementazione di Xiaomi non viene verificata la versione delle “trusted app”, quindi un malintenzionato può sovrascrivere la nuova versione con una vecchia versione.
I ricercatori di Check Point Software hanno estratto una vecchia versione dell’app thhadmin
(responsabile della gestione della sicurezza) dalla MIUI Global 10.4.1.0 e sostituito la nuova versione nella MIUI Global 12.5.6.0. Dato che la firma è corretta, l’app viene eseguita nel TEE. Sfruttando le vulnerabilità dell’app thhadmin
è possibile accedere alle chiavi conservate nel TEE.
Un’altra vulnerabilità è presente nel framework Tencent Soter usato dalle app di terze parti per verificare le transazioni tra app e server di backend. Sfruttando il bug è possibile rubare le chiavi private per firmare pacchetti fasulli dei pagamenti. Tutte le vulnerabilità sono state risolte da Xiaomi.
Aggiornamento (14/08/2022)
Xiaomi ha rilasciato il seguente comunicato ufficiale:
La causa della vulnerabilità è stata identificata. Il team tecnico sta lavorando a stretto contatto con i partner della catena di fornitura per eliminare il rischio, e il processo di correzione è stato avviato. La vulnerabilità è stata riscontrata in un numero limitato di modelli e richiede un livello estremamente elevato di tecnologia di cracking. Pertanto, non avrebbe avuto un impatto ampio e non ha causato alcuna perdita di dati per gli utenti.