Polisi Minta Warga Indonesia Waspadai HP Cina dengan Cip Mediatek
Kepolisian meminta warga mewaspadai ponsel atau HP Cina yang menggunakan cip (chip) Mediatek. Alasannya, ditemukan adanya kerentanan terhadap ‘pembayaran palsu’.
Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri mengatakan, laporan Check Point Research (CPR) menunjukkan bahwa beberapa smartphone asal Cina dengan cip Mediatek rentan terhadap transaksi pembayaran palsu.
Kerentanan itu membuat gadget dapat dimanfaatkan untuk menonaktifkan mekanisme pembayaran seluler. Bahkan, bisa untuk memalsukan transaksi melalui aplikasi Android yang diunduh para perangkat.
“Kerentanan keamanan telah diidentifikasi dalam model N9T dan N11,” kata Dittipidsiber Bareskrim Polri melalui akun Instagram @ccicpolri, Sabtu (27/8).
Mengacu pada laporan tersebut, Dittipidsiber Bareskrim Polri menjelaskan bahwa penyebab kerentanan pada HP Cina itu yakni kurangnya kontrol pada versi lama. Ini memungkinkan penyerang atau hacker melancarkan aksi.
Pelaku kejahatan siber dapat menyalahgunakan kerentanan itu melalui aplikasi yang mereka buat. Dengan cara ini, mereka bisa membocorkan kunci yang disimpan atau untuk mengeksekusi kode arbitrer dalam konteks aplikasi.
“Dalam permasalahan ini, perusahaan ponsel Cina tersebut mengklaim terkait masalah penurunan versi ini sedang diperbaiki,” ujar Dittipidsiber Bareskrim Polri.
Katadata.co.id menelusuri langsung laman Research.Checkpoint yang memuat laporan tersebut. Disebutkan bahwa perusahaan yang dimaksud yakni Xiaomi. Peneliti CPR mengklaim menjadi yang pertama kali menyelidiki masalah keamanan pada aplikasi tepercaya Xiaomi.
“Dalam penelitian, kami berfokus pada aplikasi tepercaya dari perangkat yang didukung MediaTek. Gawai yang diuji ialah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0,” demikian dikutip dari laporan, dua pekan lalu (12/8).
Mereka menemukan bahwa hacker dapat mengirim aplikasi versi lama ke HP Cina itu, dan menggunakannya untuk menimpa file aplikasi baru. Oleh karena itu, mereka bisa melewati perbaikan keamanan yang dibuat oleh Xiaomi atau Mediatek.
“Kami menemukan beberapa kerentanan dalam aplikasi tepercaya thhadmin, yang bertanggung jawab atas manajemen keamanan yang dapat dieksploitasi,” demikian dikutip.
Eksploitas yang dimaksud yakni dapat membocorkan kunci yang disimpan atau mengeksekusi kode dalam konteks aplikasi. Kemudian, secara praktis melakukan pembayaran palsu yang berbahaya.
Ponsel Xiaomi memiliki kerangka pembayaran seluler tertanam bernama Tencent Soter yang menyediakan API untuk aplikasi Android pihak ketiga. Ini untuk mengintegrasikan kemampuan pembayaran.
Fungsi utamanya adalah menyediakan kemampuan memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh. Pada dasarnya ini berfungsi sebagai keamanan dan keselamatan dalam bertransaksi.
Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.
“Kerentanan yang kami temukan, yang ditetapkan Xiaomi CVE-2020-14125, sepenuhnya membahayakan platform soter Tencent. Ini memungkinkan pengguna yang tidak sah menandatangani paket pembayaran palsu,” kata dia.
Peneliti CPR melaporkan, Xiaomi telah memperbaiki beberapa bug yang diidentifikasi.