Waspada! Transaksi Lewat Ponsel Xiaomi Bisa Berbahaya
- Unsplash.com
Gadget – Transaksi lewat ponsel Xiaomi diklaim bisa berakibat fatal, setidaknya inilah kesimpulan dari analisa dari perusahaan bernama Check Point Research (CPR). Mereka mengungkap jika sistem pembayaran yang ada di smartphone Xiaomi, khususnya yang berbasis MediaTek, bisa berbahaya.
Dalam laporan yang dipublikasikan CPR, para peneliti di perusahaan riset tersebut mengaku menemukan kerentanan di dalam smartphone Xiaomi saat digunakan untuk melakukan pembayaran atau bertransaksi. Kerentanan tersebut memungkinkan pemalsuan transaksi atau menonaktifkan sistem pembayaran secara langsung dari aplikasi android.
"Xiaomi bisa menyematkan dan mengesahkan sendiri aplikasi mana yang resmi dan tidak. Kami menemukan bahwa penjahat siber dapat mentransfer aplikasi versi lama ke perangkat Xiaomi kemudian menimpanya dengan file baru. Oleh karena itu, penjahat siber dapat melewati perbaikan keamanan yang dibuat oleh Xiaomi atau MediaTek, di aplikasi tersebut. Caranya dengan menurunkan versinya ke versi yang belum diperbaharui, secara diam-diam," ujar peneliti CPR dalam blog resminya, seperti dikutip Gadget Viva, Rabu, 31 Agustus 2022.
Xiaomi 12S Ultra
- Xiaomi
Para peneliti menjelaskan jika mereka telah menemukan beberapa kerentanan dalam aplikasi terpercaya thhadmin, yang bertanggung jawab atas manajemen keamanan yang dapat dieksploitasi untuk membocorkan kunci yang disimpan atau untuk mengeksekusi kode dalam konteks aplikasi dan kemudian, secara praktis melakukan tindakan palsu yang berbahaya.
TEE untuk keamanan transaksi di ponsel
Dalam setiap ponsel, biasanya ada bagian integral yang digunakan untuk menyimpan informasi transaksi. Namanya adalah Trusted Execution Environment (TEE). Tujuan utamanya untuk memproses dan menyimpan informasi keamanan sensitif seperti kunci kriptografi dan sidik jari.
"Jika TEE aman, transaksi pembayaran di ponsel pun aman. Belum banyak penelitian keamanan terkait TEE, khususnya untuk smartphone berbasis MediaTek yang tersebar di Asia. Dalam penelitian ini, kami memfokuskan diri pada aplikasi-aplikasi terpercaya di perangkat berbasis MediaTek, yakni Xiaomi Redmi Note 9T 5G dengan sistem operasi MIUI Global 12.5.6.0," kata peneliti CPR.
Masih berdasarkan penjelasan peneliti CPR, Xiaomi menanamkan perangkat transaksi mobile yang disebut Tencent Soter, yang menyediakan API untuk aplikasi android pihak ketiga guna mengintegrasikan kemampuan pembayaran. Fungsi utamanya adalah menyediakan kemampuan untuk memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh yang pada dasarnya adalah keamanan dan keselamatan yang kita semua andalkan saat melakukan pembayaran seluler. Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.
"Kerentanan yang kami temukan, pada CVE-2020-14125 di Xiaomi, sepenuhnya membahayakan platform soter Tencent, memungkinkan orang lain melakukan dan mengotorisasi transaksi palsu," jelas laporan tersebut.
Peneliti CPR menyebutkan jika rangkaian kerentanan ini sangat mempengaruhi keamanan perangkat, khususnya dalam melakukan transaksi di ponsel. Apalagi perangkat Xiaomi yang terdampak sudah digunakan oleh jutaan orang di dunia, khususnya para pengguna di China.
"Aplikasi Android yang tidak resmi dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi pembayaran resmi, dan memalsukan paket transaksi. Selain itu, TEE pada Xiaomi juga memungkinkan aplikasi pembayaran versi lama digunakan penjahat siber untuk mencuri kunci akun pribadi," kata mereka.
Namun begitu, dalam akhir laporan disebutkan jika peneliti CPR telah melaporkan kerentanan tersebut kepada pihak Xiaomi. Vendor asal China itu dikabarkan telah memperbaiki kerentanan yang dimaksud walaupun belum ada data pasti berapa jumlah pengguna Xiaomi yang aware untuk memperbaharui sistem keamanan di smartphone mereka.
