Technologue.id, Jakarta - Divisi Siber Polda Metro Jaya mengungkap sebuah laporan yang menemukan kelemahan keamanan pada ponsel keluaran brand China dengan prosesor Mediatek.
Menurut divisi siber, smartphone yang menggunakan chip tersebut rentan terhadap pembayaran palsu. Oleh sebab itu, masyarakat diminta waspada.
"Waspada! Ponsel China dengan Chip Mediatek Ditemukan Rentan Terhadap Pembayaran Palsu!" tulis akun Divisi Siber Polda Metro Jaya di akun Instagram @siberpoldametrojaya, yang diunggah Sabtu (22/9/2022).
Dalam postingan itu, pihak kepolisian menjelaskan bahwa kelemahan tersebut dapat dimanfaatkan untuk menonaktifkan mekanisme pembayaran seluler, dan bahkan memalsukan transaksi melalui Android yang diinstal pada perangkat.
Kelemahan keamanan telah diidentifikasi dalam model "N9T" dan "N11".
Baca Juga:
Waspada, Aplikasi TikTok di Android Punya Celah Keamanan Serius
Meningkatnya kerentanan pada HP China dengan chip MediaTek disebut terjadi lantaran kurangnya kontrol pada versi lama. Dengan begitu, kelemahan tersebut muncul dan bisa dimanfaatkan para peretas untuk melancarkan aksinya.
Sebuah laporan menemukan serangkaian kerentanan yang memungkinkan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran langsung dari aplikasi Android yang tidak memiliki hak istimewa.
Penyerang dapat menyalahgunakan kerentanan ini oleh aplikasi yang mereka buat untuk membocorkan kunci yang disimpan atau untuk mengeksekusi kode arbitrer dalam konteks aplikasi.
Temuan Check Point Research
Imbauan yang dilontarkan oleh Divisi Siber Polda Metro Jaya merujuk pada hasil laporan yang disampaikan oleh Check Point Research (CPR).
Peneliti CPR melakukan analisis sistem pembayaran terhadap smartphone Xiaomi yang ditenagai oleh chip MediaTek. Selama peninjauan ini, menemukan kerentanan yang memungkinkan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki izin.
"Kami menemukan penyerang dapat mentransfer versi lama aplikasi tepercaya ke perangkat dan menggunakannya untuk menimpa file aplikasi baru. Dengan demikian, penyerang siber dapat melewati perbaikan keamanan yang dibuat oleh Xiaomi atau MediaTek di aplikasi tepercaya dengan menurunkan versinya ke versi yang belum ditambal," jelas CPR, dikutip dalam blog resminya.
Untuk diketahui, smartphone Xiaomi memiliki kerangka pembayaran seluler tertanam bernama Tencent Soter yang menyediakan Antarmuka pemrograman aplikasi (API) untuk aplikasi Android pihak ketiga untuk mengintegrasikan kemampuan pembayaran. API dapat didefinisikan sebagai penerjemah komunikasi antara klien dan server untuk memudahkan implementasi dan pengembangan software.
Baca Juga:
Waspadai Serangan Cyber, Ini Cara Melindungi Data dan Website Bisnis Anda
Kerentanan yang mereka temukan, yang beri kode Xiaomi CVE-2020-14125, sepenuhnya membahayakan platform soter Tencent, memungkinkan pengguna yang tidak sah menandatangani pembayaran palsu.
Perangkat uji yang digunakan adalah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0.
Xiaomi disebut telah mengonfirmasi masalah kerentanan yang mereka sebut dikerjakan oleh pihak ketiga.
Lebih lanjut, mereka juga telah menambal kerentanan yang berpotensi membuat gawai melakukan pembayaran palsu ini dengan melakukan pembaruan pada sistemnya pada Juni lalu.
Dalam laporan temuannya, CPR mengatakan ponsel Xiaomi dapat menyematkan dan menandatangani aplikasi legal mereka sendiri.