Se han identificado fallas de seguridad en los modelos Xiaomi Redmi Note 9T y Redmi Note 11, que podr\u00edan explotarse para deshabilitar el mecanismo de pago m\u00f3vil e incluso falsificar transacciones a trav\u00e9s de una aplicaci\u00f3n de Android no autorizada instalada en los dispositivos.<\/p>\n
Check Point dijo que encontr\u00f3 las fallas en los dispositivos alimentados por conjuntos de chips MediaTek durante un an\u00e1lisis de seguridad del entorno de ejecuci\u00f3n confiable (TEE) “Kinibi” del fabricante chino de tel\u00e9fonos m\u00f3viles.<\/p>\n
Un TEE se refiere a un enclave seguro<\/a> dentro del procesador principal que se utiliza para procesar y almacenar informaci\u00f3n confidencial, como claves criptogr\u00e1ficas, para garantizar la confidencialidad y la integridad.<\/p>\n Espec\u00edficamente, la firma de ciberseguridad israel\u00ed descubri\u00f3 que una aplicaci\u00f3n confiable en un dispositivo Xiaomi puede degradarse debido a la falta de control de versiones, lo que permite a un atacante reemplazar una versi\u00f3n m\u00e1s nueva y segura de una aplicaci\u00f3n con una variante m\u00e1s antigua y vulnerable.<\/p>\n “Por lo tanto, un atacante puede eludir las correcciones de seguridad realizadas por Xiaomi o MediaTek en aplicaciones confiables degrad\u00e1ndolas a versiones sin parches”, dijo el investigador de Check Point, Slava Makkaveev. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n Adem\u00e1s, se identificaron varias vulnerabilidades en “thhadmin”, una aplicaci\u00f3n confiable que es responsable de la administraci\u00f3n de la seguridad, que podr\u00eda ser abusada por una aplicaci\u00f3n maliciosa para filtrar claves almacenadas o ejecutar c\u00f3digo arbitrario en el contexto de la aplicaci\u00f3n.<\/p>\n “Descubrimos un conjunto de vulnerabilidades que podr\u00edan permitir la falsificaci\u00f3n de paquetes de pago o deshabilitar el sistema de pago directamente desde una aplicaci\u00f3n de Android sin privilegios”, dijo Makkaveev en un comunicado compartido con The Hacker News.<\/p>\n Las debilidades apuntan a una aplicaci\u00f3n confiable desarrollada por Xiaomi para implementar operaciones criptogr\u00e1ficas relacionadas con un servicio llamado Tencent Soter<\/a>que es un “est\u00e1ndar biom\u00e9trico” que funciona como un marco de pago m\u00f3vil incorporado para autorizar transacciones en aplicaciones de terceros que utilizan WeChat y Alipay.<\/p>\n Pero una vulnerabilidad de desbordamiento de mont\u00f3n en la aplicaci\u00f3n de confianza soter significaba que podr\u00eda ser explotada para inducir una denegaci\u00f3n de servicio por parte de una aplicaci\u00f3n de Android que no tiene permisos para comunicarse directamente con el TEE.<\/p>\n Eso no es todo. Al encadenar el ataque de degradaci\u00f3n antes mencionado para reemplazar la aplicaci\u00f3n de confianza de soter a una versi\u00f3n anterior que conten\u00eda una vulnerabilidad de lectura arbitraria, Check Point descubri\u00f3 que era posible extraer las claves privadas utilizadas para firmar paquetes de pago.<\/p>\n “La vulnerabilidad […] compromete completamente la plataforma soter de Tencent, lo que permite que un usuario no autorizado firme paquetes de pago falsos”, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n Xiaomi, luego de una divulgaci\u00f3n responsable, ha lanzado parches<\/a> para abordar CVE-2020-14125 el 6 de junio de 2022. “El problema de degradaci\u00f3n, que Xiaomi confirm\u00f3 que pertenece a un proveedor externo, se est\u00e1 solucionando”, agreg\u00f3 Check Point.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Tel\u00e9fonos](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660313427_928_Telefonos-Xiaomi-con-chips-MediaTek-encontrados-vulnerables-a-pagos-falsificados.jpg\" "\\"Tel\u00e9fonos")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n