Diario Bernabéu

Encuentra toda la información nacional e internacional sobre españa. Selecciona los temas sobre los que quieres saber más

Teléfonos inteligentes Xiaomi con una brecha seria.  Puedes falsificar el pago (Actualización)

Teléfonos inteligentes Xiaomi con una brecha seria. Puedes falsificar el pago (Actualización)

Si usted es uno de los escépticos de los sistemas de marcas registradas de MediaTek, tiene una buena razón para no cambiar de opinión.

Los procesadores modernos no procesan datos críticos como claves de cifrado en un grupo de memoria común. En su lugar, utilizan lo que se denomina bolsillos seguros que te permiten aislar información potencialmente sensible del resto.

Esto, por supuesto, es un concepto perfectamente válido, pero solo hasta que las barreras establecidas funcionen. Según lo informado por los investigadores de Check Point, podría ser diferente de los teléfonos inteligentes Xiaomi Redmi Note 9T y Redmi Note 11.

Ambos modelos se basan en los sistemas de la marca MediaTek y son el foco del problema, leemos en el informe publicado. Es decir, resulta que el bolsillo seguro implementado por el producto, que aquí se llama Kinibi, tiene muchas debilidades. El mayor, y desafortunadamente no el único, es la falta de control de versiones de aplicaciones confiables.

Por lo tanto, un atacante puede eludir los parches de seguridad introducidos por Xiaomi o MediaTek en aplicaciones confiables, degradándolas a versiones sin parches.

– Explica el investigador Slava McAfeev, citando The Hacker News.

Para empeorar las cosas, también hay un portal para usar descuentos sin censura: el servicio Tencent Soter. Técnicamente, es un poco impresionante. esqueleto Para operaciones que requieren más control, incluido, por ejemplo, el registro a través de datos biométricos.

Lo que pasa es que una de sus versiones anteriores adolece de una vulnerabilidad que le permite Acceso a un área de aplicación central segura y sin privilegios A través de un ataque de Denegación de Servicio (CVE-2020-14125).

READ  ¿Reelaborando la campaña Call of Duty MW3 en Call of Duty Vanguard? Según los informes, Activision ha rescindido el contrato con Sony.

A continuación, según Check Point, un atacante podría reducir con relativa facilidad el nivel de control de Soter sobre los pagos realizados con un teléfono inteligente. De esta forma, tanto los pedidos especificados serán cancelados como la creación fraudulenta.

Sabemos que en junio de 2022 Xiaomi abordó la vulnerabilidad CVE-2020-14125, pero aún faltan problemas de control de versiones, dejándolo en manos de terceros. Otro problema es que estas vulnerabilidades, si bien son técnicamente graves, representan la mayor amenaza no para los consumidores, sino para los empresarios, con los operadores de terminales y puertas de enlace a la cabeza.

Actualización – comentario de Xiaomi

Hemos recibido un comunicado oficial de Xiaomi en el caso anterior.

Se ha identificado la causa de la debilidad. El equipo técnico de Xiaomi está trabajando en estrecha colaboración con los socios de la cadena de suministro para eliminar los riesgos y el proceso de reparación ya comenzó.


La vulnerabilidad solo se encontró en un número limitado de modelos y requirió una técnica de piratería muy sofisticada. Por lo tanto, no tiene un impacto significativo y no genera pérdidas a los usuarios.

– Informar a Xiaomi

Fuente de la imagen: Robert Way / Shutterstock

Fuente del texto: The Hacker News, ed. rey