Riflettori puntati sul Trusted Execution Environment (Tee) di Xiaomi, l’ambiente responsabile della memorizzazione e della gestione di informazioni sensibili come chiavi e password, dove sono state riscontrate alcune vulnerabilità. A lanciare l’allarme è un’analisi di Check Point Research (Cpr), la divisione Threat Intelligence di Check Point Software Technology, che ha rilevato delle falle nel sistema di pagamento mobile del marchio cinese, in particolare su dispositivi dotati di chip MediaTek. Xiaomi è consapevole del problema e ha già corretto le falle di sicurezza che avrebbero potuto consentire la compromissione dei dispositivi di oltre un miliardo di utenti.
“La causa della vulnerabilità è stata identificata. Il team tecnico sta lavorando a stretto contatto con i partner della catena di fornitura per eliminare il rischio, e il processo di correzione è stato avviato – evidenzia Xiaomi in una nota -. La vulnerabilità è stata riscontrata in un numero limitato di modelli e richiede un livello estremamente elevato di tecnologia di cracking. Pertanto, non avrebbe avuto un impatto ampio e non ha causato alcuna perdita di dati per gli utenti.”
L’ambiente in cui è stata riscontrata la vulnerabilità
I dispositivi Xiaomi dispongono di un framework di pagamento mobile incorporato denominato Tencent Soter che fornisce un’Api per applicazioni Android di terze parti per integrare le funzionalità di pagamento. La sua funzione principale è fornire la possibilità di verificare i pacchetti di pagamento trasferiti tra un’applicazione mobile e un server back-end remoto, che sono essenzialmente la sicurezza su cui tutti contiamo quando eseguiamo pagamenti mobili.
WeChat Pay e Alipay sono i due maggiori attori nel settore cinese dei pagamenti digitali. Insieme, rappresentano circa il 95% del mercato cinese dei pagamenti mobili. Ognuna di queste piattaforme ha oltre un miliardo di utenti. WeChat Pay si basa sul soter Tencent. Se un fornitore di app vuole implementare il proprio sistema di pagamento, incluso il backend che memorizza le carte di credito, i conti bancari e altri account degli utenti, senza essere legato all’app WeChat, può utilizzare direttamente il soter Tencent per verificare l’autenticità delle transazioni su il suo server di backend o, in altre parole, in particolare, assicurarsi che un pacchetto di pagamento sia stato inviato dalla sua app installata su uno specifico dispositivo e approvato dall’utente. La vulnerabilità riscontrata da Cpr compromette completamente la piattaforma Tencent soter, consentendo a un utente non autorizzato di firmare pacchetti di pagamento falsi.
In che modo gli attaccanti potrebbero sfruttare la falla
“Abbiamo scoperto una serie di vulnerabilità che potrebbero consentire la falsificazione dei pacchetti di pagamento o la disabilitazione del sistema di pagamento direttamente da un’applicazione Android non privilegiata”, spiega Slava Makkaveev, Security Researcher di Check Point Software. “Siamo riusciti a penetrare in WeChat Pay e a fare una prova perfettamente funzionante. Abbiamo immediatamente comunicato le nostre scoperte a Xiaomi, che si è adoperata rapidamente per correggere le falle. Raccomandiamo a tutti di tenere costantemente i vostri telefoni aggiornati all’ultima versione fornita dal produttore”.
Cpr ha inoltre scoperto che un utente malintenzionato può trasferire una vecchia versione di un’app attendibile sul dispositivo e utilizzarla per sovrascrivere il nuovo file dell’app. Pertanto, un attaccante può aggirare le correzioni di sicurezza apportate da Xiaomi o MediaTek nelle app affidabili eseguendo il downgrade a versioni senza patch.
Durante la ricerca Cpr ha osservato diversi modi per attaccare la piattaforma integrata negli smartphone Xiaomi e utilizzata da milioni di utenti in Cina per i pagamenti mobili. Un’applicazione Android non privilegiata potrebbe per esempio sfruttare la vulnerabilità per eseguire codice nell’app affidabile Wechat e falsificare pacchetti di pagamento. Dopo la divulgazione della minaccia, la vulnerabilità è stata corretta da Xiaomi nel giugno 2022.
Infine, è stato mostrato come la vulnerabilità di downgrade nel Tee di Xiaomi può consentire alla vecchia versione dell’app WeChat di rubare chiavi private. Anche questa vulnerabilità di lettura presentata è stata corretta e corretta da Xiaomi. Il problema del downgrade, che è stato confermato da Xiaomi come appartenente a un fornitore di terze parti, verrà risolto a breve.