Descubren un grave fallo de seguridad en los teléfonos Xiaomi con procesador MediaTek

¡Falla de seguridad en teléfonos Xiaomi!

Falla de seguridad en los teléfonos Xiaomi
Falla de seguridad en los teléfonos Xiaomi

Se ha identificado una nueva falla de seguridad en los dispositivos Xiaomi Redmi Note 9T y Redmi Note 11 que podría explotarse para deshabilitar el mecanismo de pago a través del móvil e incluso, realizando falsificaciones de transacciones a través de una aplicación Android no autorizada.

Check Point, quienes han sido los que han encontrado la falla han confirmado que los dispositivos de Xiaomi afectados son los que incorporan procesadores MediaTek. La prueba se realizo a través de la ejecución TEE dentro del procesador principal, el cual se encarga de procesar y almacenar la información confidencial de los usuarios como por ejemplo las claves criptográficas, para garantizar la confidencialidad y la integridad.

Falla de seguridad en los teléfonos Xiaomi
Falla de seguridad en los teléfonos Xiaomi

Descubren falla de seguridad en los dispositivos Xiaomi con procesador MediaTek

La firma de ciberseguridad israelí menciono que una aplicación actualizada y confiable en los teléfonos Xiaomi se puede fácilmente degradar por la falta de un control de versión, esto permitiría a los atacantes poder suplantar dicha aplicación con otra falsificada.

La investigación también identifico varios problemas de seguridad relacionados con thhadmin, que es una aplicación que se encarga de la administración de seguridad, está podría ser manipulada por una aplicación maliciosa con el objetivo de filtrar claves almacenadas o simplemente ejecutar código arbitrario.

Estas debilidades apuntan a que el problema tiene que ver con una aplicación confiable y desarrollada por Xiaomi llamada «Tencent Soter«, que es es un estándar biométrico que se desempeña como un marco de pago móvil integrado para autorizar las transacciones en aplicaciones de terceros.

Esto significa que el fallo en el servicio Soter podría ser explotada para inducir una denegación de servicio por parte de una aplicación de Android que no tiene permisos para comunicarse directamente con el TEE.

Por su parte, Xiaomi abordo la falla de seguridad con el nombre CVE-2020-14125 como parte de las actualizaciones del mes de junio, por lo tanto, si tiene uno de estos dispositivos es importante descargar e instalar la actualización correspondiente para solucionar todas estas vulnerabilidades.