WARTA ZONE – Pesatnya perkembangan teknologi banyak melahirkan inovasi terhadap berbagai produk, tak terkecuali pada alat komunikasi.
Terbaru Divisi Siber Polda Metro Jaya mengimbau kepada pengguna Handphone (HP) asal China dengan chipset mediatek.
Pasalnya HP asal China yang mengusung dapur pacu mediatek itu ditemukan kerentanan terhadap pembayaran palsu.
“Waspada! Ponsel China dengan Chip Mediatek Ditemukan Rentan Terhadap Pembayaran Palsu!” isi keterangan akun Divisi Siber Polda Metro Jaya di akun Instagram @siberpoldametrojaya, yang dikutip oleh CNBC Indonesia, Sabtu (22/10/2022).
Dengan adanya kerentanan seperti yang dimaksud, hal itu ditakutkan pada tindak menonaktifkan mekanisme pembayaran sosial, bahkan memalsukan transaksi melalui Android yang diinstal pada perangkat.
Namun meski pihak kepolisian menyebut kerentanan di atas terjadi pada HP China, tetapi tidak menyebut dengan rinci HP apa saja, hanya menyebutkan kode N9T dan N11.
Awal mula ditemukannnya kerentanan pada HP China itu berawal dari penelusuran yang dilakukan oleh Check Point Research (CPR), sebuah perusahaan riset yang berbasis di Amerika Serikat (AS).
CPR menyebut bahwa merek yang dimaksud adalah Xiaomi. Di mana serangkaian kerentanan dalam aplikasi Xiaomi yang bertanggung jawab untuk mengelola keamanan perangkat dan pembayaran seluler, yang digunakan oleh jutaan pengguna di seluruh dunia.
“Dalam laporan ini, peneliti CPR (Mobile) menganalisis sistem pembayaran yang terpasang pada smartphone Xiaomi yang ditenagai oleh chip MediaTek, yang sangat populer di China,” tulis riset CPR, dikutip dari laman resminya.
Dari peninjauan CPR kemungkinan kerentanan itu mungkin terjadi pada pemalsuan pembayaran atau menonaktifkan sistem pembayaran secara langsung dari aplikasi Android yang tidak memiliki hak istimewa.
Penelitian tersebut fokus pada aplikasi yang tertanam dalam dapur pacu mediatek yaitu dengan melakukan pengujian pada aplikasi yang digunakan adalah Xiaomi Redmi Note 9T 5G.
“Dalam penelitian kami, kami fokus pada aplikasi terpercaya dari perangkat yang didukung MediaTek. Perangkat uji yang digunakan adalah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0.” kata mereka.
Dari pengujian di atas aplikasi Android yang tidak memiliki hak istimewa dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi terpercaya wechat dan memalsukan paket pembayaran.
Tidak hanya itu, dalam laman CNBC Indonesia juga dijelaskan bahwa kerentanan tersebut telah ditambal oleh Xiaomi pada Juni 2022.
Selain itu, CPR menunjukkan bagaimana kerentanan penurunan versi di lingkungan eksekusi terpercaya(trusted execution environment/TEE) Xiaomi dapat mengaktifkan versi lama aplikasi wechat untuk mencuri kunci pribadi. Kerentanan baca yang disajikan ini juga telah ditambal dan diperbaiki oleh Xiaomi setelah pengungkapan riset dari CPR kepada pihak perusahaan. (*)
Comment