Gadgetdiva.id — Divisi Siber Polda Metro Jaya himbau masyarakat yang menggunakan handphone asal China khususnya dengan chipset MediaTek untuk berhati-hati. Sebab, chipset tersebut disinyalir rentan terhadap pembayaran palsu.

“Waspada! Ponsel China dengan Chip Mediatek Ditemuakn Rentan Terhadap pembayaran Palsu!” tulis akun Divisi Siber Polda Metro Jaya pada akun Instagramnya yang bernama @siberpoldametrojaya, Selasa (30/8).

Pihak kepolisian menyatakan kerentanan yang diungkap dalam laporan Check Point Reserch ini bisa dimanfaatkan untuk menonaktifkan pembayaran seluler. Hingga, memalsukan transaksi melalui Android yang terpakai dalam perangkat. Mereka menemukan kelemahan yang terletak pada model N9T dan N11.

“Kelemahan keamanan telah diidentifikasi dalam model “N9T” dan “N11″,” tulis akun tersebut.

Hal ini ternyata disebabkan karena adanya kekurangan kontrol pada versi lama. Sehingga, memungkinkan penyerang untuk melancarkan aksinya.

Meski pihak kepolisian tak menyebut perangkat dengan merek apa yang menggunakan chipset MediaTek, sebuah penelitian dari Check Point Research (CPR) menyatakan bahwa perangkat Xiaomi berbasis Mediatek dapat disusupi oleh aplikasi pembayaran palsu. Pihaknya telah melakukan penelusuran menggunakan Xiaomi Redmi Note 9T 5G dengan MIUI Global 12.5.6.0 OS.

Baca juga: Mengenal Fitur Kamera pada Redmi Note 11

Xiaomi dengan Chipset MediaTek Disusupi Aplikasi Pembayaran Palsu?

Peneliti dari CPR telah melakukan analisis sitem pembayaran yang terpasang pada smartphone Xiaomi berbasis MediaTek. Selama peninjauan tersebut mereka menemukan adanya keretnanan yang mana memungkinkan sistem melakukan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran langsung dari aplikasi Android.

“Kami menemukan kerentanan yang memungkinkan pemalsuan paket pembayaran atau menontaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki hak istimewa,” tulis peneliti pada situs blog Check Point.

Dalam penelitian tersebut, mereka menemukan bahwa penyerang dapat melakukan transfer aplikasi terpercaya versi lama ke perangkat. Lalu, menimpanya dengan file aplikasi baru.

Sehingga, penyerang dapat melewati perbaikan keamanan yang dibuat oleh Xiaomi maupun MediaTek di aplikasi terpercaya. Caranya dengan menurunkan versinya ke versi yang belum ditambal alias downgrade.

Xiaomi sendiri ternyata memiliki kerangka pembayaran seluler yang tertanam bernama Tencent Soter. Dimana menyediakan API untuk aplikasi Android pihak ketiga untuk mengintegrasikan kemampuan pembayaran.

Fungsi utama dari sistem pembayaran tersebut untuk menyediakan kemampuan dalam memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh. Yang mana pada dasarnya merupakan keamanan dan keselamatan yang kita andalkan saat melakukan pembayaran melalui perangkat seluler. Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.

Kemudian, CPR juga menyebut bahwa kerentanan yang mereka temukan terdapat apda Xiaomi CVE-2020-14125. Dimana sepenuhnya membahayakan platform soter Tencent, serta memungkinkan pengguna yang tidak sah menandatangani paket pembayaran palsu.

Xiaomi sendiri menyebut telah mengonfirmasi masalah kerentanan yang mereka sebut dikerjakan oleh pihak ketiga. Selanjutnya, mereka juga telah menambal kerentanan yang berpotensi membuat perangkat melakukan pembayaran palsu ini dengan melakukan pembaruan pada sistemnya bulan Juni lalu.

Menurut temuan CPR, ponsel Xiaomi dapat menyematkan dan menandatangani aplikasi legal mereka sendiri.

Cek berita teknologi, review gadget dan video Gadgetdiva.id di Google News