Ponselnya Dianggap Tak Aman untuk Transaksi, Ini Jawaban Xiaomi Indonesia

Jakarta, Gizmologi – Laporan terbaru dari Check Point Research (CPR) menyebutkan bahwa transaksi lewat ponsel Xiaomi yang berbasis MediaTek bisa berakibat fatal.

Dalam laporan yang dipublikasikan CPR, para peneliti di perusahaan riset tersebut mengaku menemukan kerentanan di dalam smartphone Xiaomi saat digunakan untuk melakukan pembayaran atau bertransaksi.

Kerentanan tersebut memungkinkan pemalsuan transaksi atau menonaktifkan sistem pembayaran secara langsung dari aplikasi Android. Di mana Xiaomi bisa menyematkan dan mengesahkan sendiri aplikasi mana yang resmi dan tidak.

“Kami menemukan bahwa penjahat siber dapat mentransfer aplikasi versi lama ke perangkat Xiaomi kemudian menimpanya dengan file baru. Oleh karena itu, penjahat siber dapat melewati perbaikan keamanan yang dibuat oleh Xiaomi atau MediaTek, di aplikasi tersebut. Caranya dengan menurunkan versinya ke versi yang belum diperbaharui, secara diam-diam,” ujar peneliti CPR dalam blog resminya, seperti dikutip Gizmologi (31/8/22).

Pada riset ini, mereka fokus pada aplikasi terpercaya pada smartphone dengan chipset MediaTek. Perangkat yang diuji adalah Redmi Note 9T 5G dengan sistem operasi MIUI Global 12.5.6.0 OS dari Xiaomi.

Menariknya, laporan tersebut bahkan sampai dipublikasikan di akun media sosial Kepolisian Daerah Metro Jaya. “Waspada ponsel China dengan chip Mediatek ditemukan rentan terhadap pembayaran palsu!” tulis akun Instagram @siberpoldametro.

Tanggapan Xiaomi Indonesia

xiaomi indonesia

Sehubungan dengan pemberitaan yang menyebutkan adanya ponsel China dengan chip MediaTek yang memiliki risiko keamanan tertentu, Xiaomi mengonfirmasi setidaknya ada dua hal.

Pertama, penyebab kerentanan yang disebutkan telah teridentifikasi. Saat ini tim teknis sedang bekerja sama dengan mitra terkait untuk mengeliminasi risiko dan proses perbaikan telah dilakukan.

Kedua, merentanan tersebut hanya ditemukan di sejumlah kecil perangkat dan membutuhkan teknologi ‘cracking’ tingkat tinggi sehingga tidak akan berdampak atau pun menimbulkan kerugian yang luas bagi pengguna.

Baca Juga :  5 Kelebihan Olike Hero T10, TWS Harga Rp200 Ribuan

“Sebagai tambahan informasi, perangkat yang disebutkan tidak tersedia secara resmi untuk pasar Indonesia,” kata Stephanie Sicilia, Associate Marketing Director Xiaomi Indonesia melalui pesan tertulis kepada Gizmologi di Jakarta (31/8).

TEE untuk keamanan transaksi di ponsel

Redmi Note 9T 5G

Dalam setiap ponsel, biasanya ada bagian integral yang digunakan untuk menyimpan informasi transaksi. Namanya adalah Trusted Execution Environment (TEE). Tujuan utamanya untuk memproses dan menyimpan informasi keamanan sensitif seperti kunci kriptografi dan sidik jari.

“Jika TEE aman, transaksi pembayaran di ponsel pun aman. Belum banyak penelitian keamanan terkait TEE, khususnya untuk smartphone berbasis MediaTek yang tersebar di Asia. Dalam penelitian ini, kami memfokuskan diri pada aplikasi-aplikasi terpercaya di perangkat berbasis MediaTek, yakni Xiaomi Redmi Note 9T 5G dengan sistem operasi MIUI Global 12.5.6.0,” kata peneliti CPR.

Masih berdasarkan penjelasan peneliti CPR, Xiaomi menanamkan perangkat transaksi mobile yang disebut Tencent Soter, yang menyediakan API untuk aplikasi android pihak ketiga guna mengintegrasikan kemampuan pembayaran. Fungsi utamanya adalah menyediakan kemampuan untuk memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh yang pada dasarnya adalah keamanan dan keselamatan yang kita semua andalkan saat melakukan pembayaran seluler.

Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.”Kerentanan yang kami temukan, pada CVE-2020-14125 di Xiaomi, sepenuhnya membahayakan platform soter Tencent, memungkinkan orang lain melakukan dan mengotorisasi transaksi palsu,” jelas laporan tersebut.

Peneliti CPR menyebutkan jika rangkaian kerentanan ini sangat mempengaruhi keamanan perangkat, khususnya dalam melakukan transaksi di ponsel. Apalagi perangkat Xiaomi yang terdampak sudah digunakan oleh jutaan orang di dunia, khususnya para pengguna di China.

“Aplikasi Android yang tidak resmi dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi pembayaran resmi, dan memalsukan paket transaksi. Selain itu, TEE pada Xiaomi juga memungkinkan aplikasi pembayaran versi lama digunakan penjahat siber untuk mencuri kunci akun pribadi,” kata mereka.

Baca Juga :  Huawei Summer 2022 Smart Office Launch Digelar Hari Ini, Rilis Produk Baru Untuk Indonesia

Namun begitu, dalam akhir laporan disebutkan jika peneliti CPR telah melaporkan kerentanan tersebut kepada pihak Xiaomi. Vendor asal China itu dikabarkan telah memperbaiki kerentanan yang dimaksud walaupun belum ada data pasti berapa jumlah pengguna Xiaomi yang aware untuk memperbaharui sistem keamanan di smartphone mereka.