Jakarta, CNN Indonesia —
Ponsel China yang menggunakan chipset MediaTek dilaporkan rentan terhadap pembayaran palsu. Hal itu dinyatakan Divisi Siber Polda Petro Jaya lewat unggahan di Instagram.
“Waspada! Ponsel China dengan Chip Mediatek Ditemukan Rentan Terhadap Pembayaran Palsu!” tulis akun divisi siber Polda Metro Jaya dalam unggahannya di Instagram @siberpoldametrojaya, Senin (29/8).
Kerentanan tersebut ditemukan setelah penelusuran yang dilakukan oleh Check Point Research, sebuah perusahaan penyedia intelijen ancaman siber yang berbasis di Amerika Serikat (AS).
Di sisi lain, dalam penelusurannya, peneliti CPR menganalisis sistem pembayaran yang terpasang pada smartphone Xiaomi yang ditenagai oleh chip MediaTek.
Selama penelusuran tersebut, mereka berhasil menemukan kerentanan yang memungkinkan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki izin.
Dari situ peneliti CPR menemukan penyerang dapat mentransfer versi lama aplikasi tepercaya ke perangkat dan menggunakannya untuk menimpa file aplikasi baru. Dengan demikian, penyerang siber dapat melewati perbaikan keamanan yang dibuat oleh Xiaomi atau MediaTek di aplikasi tepercaya dengan menurunkan versinya ke versi yang belum ditambal, atau yang kita kenal dengan istilah downgrade.
“Kami menemukan beberapa kerentanan dalam aplikasi tepercaya thhadmin, yang bertanggung jawab atas manajemen keamanan yang dapat dieksploitasi untuk membocorkan kunci yang disimpan atau untuk mengeksekusi kode dalam konteks aplikasi dan kemudian, secara praktis melakukan tindakan palsu yang berbahaya,” kata mereka dalam laporan tersebut.
Perangkat Xiaomi sendiri memiliki kerangka pembayaran seluler tertanam bernama Tencent Soter yang menyediakan Antarmuka pemrograman aplikasi (API) untuk aplikasi Android pihak ketiga untuk mengintegrasikan kemampuan pembayaran. API dapat didefinisikan sebagai penerjemah komunikasi antara klien dan server untuk memudahkan implementasi dan pengembangan softare.
Fungsi utama Tencent Soter adalah menyediakan kemampuan untuk memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh yang pada dasarnya adalah fungsi keamanan dan keselamatan yang diandalkan saat melakukan pembayaran seluler.
Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.
Penelusuran CPR menemukan kerentanan CVE-2020-14125 pada Xiaomi sangat membahayakan platform soter Tencent, dan memungkinkan pengguna yang tidak sah menandatangani paket pembayaran palsu.
Sebagai informasi, penelusuran yang dilakukan peneliti CPR tersebut menggunakan Xiaomi Redmi Note 9T 5G dengan MIUI Global 12.5.6.0 OS.
Xiaomi disebut telah mengonfirmasi masalah kerentanan yang mereka sebut dikerjakan oleh pihak ketiga.
Lebih lanjut, mereka juga telah menambal kerentanan yang berpotensi membuat gawai melakukan pembayaran palsu ini dengan melakukan pembaruan pada sistemnya pada Juni lalu.
Dalam laporan temuannya, CPR mengatakan ponsel Xiaomi dapat menyematkan dan menandatangani aplikasi legal mereka sendiri.
(lom/lth)
