Uma vulnerabilidade em celulares
Descoberto por pesquisadores da Check Point, o erro está relacionado ao ambiente de execução confiável (TEE). Responsável pelas transações financeiras no dispositivo, é nele que funcionam sistemas de autenticação e frameworks de pagamento, como o Soter, da Tencent, que estava comprometido.
A tecnologia é usada principalmente em meios de pagamento comuns na Ásia, como WeChat e AliPay. Isso representa mais de 1 bilhão de usuários em todo o mundo. Apesar disso, não há relatos de indivíduos afetados nem números de vítimas.
É no TEE que apps confiáveis e certificados pela Xiaomi interagem com APIs, chaves de segurança e outros elementos de validação. A vulnerabilidade permitia que o invasor extraísse informações e criasse
Outra falha descoberta pela Check Point permite ataques de downgrade, em que apps mais recentes e atualizados são substituídos por versões antigas, com possíveis vulnerabilidades. A partir delas, os golpistas podem iniciar ataques que talvez nem estivessem mais disponíveis.
A Xiaomi informa que tem trabalhado com a Tencent no desenvolvimento de uma correção para o Soter. Por enquanto, a principal recomendação é a instalação de atualizações e o uso de ferramentas de segurança que possam identificar atividades suspeitas. Outra opção é desabilitar o sistema de pagamentos móveis no celular ou limitar o uso de apps financeiros.
A reportagem da Itatiaia entrou em contato com a DL Eletrônicos, que representa a Xiaomi no Brasil, para mais detalhes sobre como a falha pode ter afetado clientes brasileiros e para saber se ela já foi completamente corrigida.
Segundo a companhia, não houve registro de relatos de consumidores em relação à falha de segurança nos aparelhos distribuídos no Brasil. “A empresa procura sempre realizar a distribuição com a última versão dos pacotes de segurança e ressalta ainda a importância de adquirir aparelhos por meio dos canais oficiais”, diz em nota.
