Cibercriminosos usam brecha em celulares Xiaomi para fraudar pagamentos

Uma brecha de segurança em smartphones da Xiaomi com chips da MediaTek permitia que pagamentos sejam fraudados por criminosos e autorizados pelo celular a partir de aplicativos maliciosos. A falha já foi corrigida em uma atualização para o sistema operacional Android liberada em junho deste ano e atinge até mesmo aparelhos com a tecnologia disponíveis no Brasil.

• 5 ataques mais populares contra celulares Android e iOS
• Golpe de e-commerce popular no Brasil vira campanha global de roubo de cartões

A vulnerabilidade descoberta pelos pesquisadores em segurança da Check Point está relacionada a um sistema chamado TEE (ambiente de execução confiável, na tradução), que assina as transações financeiras realizadas no dispositivo. É nele que funcionam sistemas de autenticação e frameworks de pagamento, como o Soter, desenvolvido pela Tencent e que permitia o comprometimento.

A tecnologia é usada, principalmente, em meios de pagamento comuns na Ásia, como WeChat e AliPay. Só aqui, estamos falando de um universo de mais de um bilhão de usuários em todo o mundo, que ficaram vulneráveis pela brecha. Não existem, entretanto, relatos de exploração nem números de vítimas, algo que pode mudar agora que a vulnerabilidade é pública.

O espaço restrito do TEE é usado para que apps confiáveis e certificados pela Xiaomi lidem com APIs, chaves de segurança e demais elementos de validação. Por meio da brecha nomeada como CVE-2020-14125 no Soter, porém, um atacante pode extrair informações e gerar pacotes de pagamento falsos, gerando transferências de dinheiro para suas contas.

Uma segunda brecha, também descoberta pela Check Point, permite os chamados ataques de downgrade, com apps mais recentes e atualizados sendo substituídos por versões mais antigas, com possíveis vulnerabilidades. Com isso, os criminosos podem abrir as portas para novos ataques que poderiam não estar mais disponíveis, novamente tendo acesso a elementos do sistema operacional que não deveriam, para a realização de fraudes.

Como dito, uma atualização liberada em junho para o sistema operacional Android corrige o problema, enquanto a Xiaomi informou que está trabalhando ao lado da Tencent no desenvolvimento de uma correção, também, para o Soter. Como medida de segurança, a principal recomendação dos especialistas é a instalação de atualizações e o uso de ferramentas de segurança capazes de identificar atividades suspeitas. Quem quiser se proteger definitivamente pode também desabilitar o sistema de pagamentos mobile no celular, pelo menos, até que a abertura seja corrigida, ou limitar o uso de apps financeiros no celular.

Atualização 15/08 17h10: Em resposta ao Canaltech, a DL, representante da Xiaomi no Brasil, disse não ter registrado indícios de que a falha de segurança citada foi abusada em smartphones disponíveis no Brasil. A empresa, ainda, ressaltou a importância de adquirir aparelhos vendidos oficialmente, já que eles acompanham as atualizações de segurança mais recentes; confira a íntegra do comunicado:

"A DL informa que não registrou qualquer relato de consumidores em relação à eventual falha de segurança nos aparelhos distribuídos no Brasil. A empresa procura sempre realizar a distribuição com a última versão dos pacotes de segurança e ressalta ainda a importância de adquirir aparelhos por meio dos canais oficiais."

Fonte: Check Point