HP Cina Disebut Rentan ‘Pembayaran Palsu’, Ini Kata Xiaomi
Peneliti Check Point Research (CPR) melaporkan bahwa beberapa ponsel atau HP Cina dengan cip (chip) mediatek rentan ‘pembayaran palsu’. Salah satu produsen smartphone asal Tiongkok, Xiaomi meminta pengguna untuk berhati-hati.
Namun Associated Marketing Director Xiaomi Indonesia Stephanie Sicilia tidak berkomentar mengenai laporan yang menyebutkan bahwa beberapa tipe gawai buatannya rentan terhadap ‘pembayaran palsu’.
“Kami mengimbau pengguna untuk tetap berhati-hati dalam bertransaksi online,” kata Stephanie kepada Katadata.co.id, Selasa (30/8).
Selain itu, “tetap waspada dengan selalu melindungi data rahasia yang rentan dibagikan saat transaksi online berlangsung,” tambah dia.
Ia juga merespons arahan Kepolisian Indonesia yang meminta masyarakat Indonesia mewaspadai kerentanan terhadap HP Cina tersebut. “Kami menghormati kebijakan dan arahan yang diberikan oleh Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri,” ujarnya.
Sebelumnya, Dittipidsiber Bareskrim Polri mengunggah konten di Instagram terkait laporan CPR tersebut. “Kerentanan keamanan telah diidentifikasi dalam model N9T dan N11,” kata Dittipidsiber Bareskrim Polri melalui akun Instagram @ccicpolri, Sabtu (27/8).
Namun konten tersebut tidak lagi ada pada laman Instagram @ccicpolri sejak Senin (29/8).
Meski begitu, Katadata.co.id menelusuri langsung laman Research.Checkpoint yang memuat laporan tersebut. Disebutkan bahwa perusahaan yang dimaksud yakni Xiaomi.
Peneliti CPR mengklaim menjadi yang pertama kali menyelidiki masalah keamanan pada aplikasi tepercaya Xiaomi.
“Dalam penelitian, kami berfokus pada aplikasi tepercaya dari perangkat yang didukung MediaTek. Gawai yang diuji ialah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0,” demikian dikutip dari laporan, dua pekan lalu (12/8).
Mereka menemukan bahwa hacker dapat mengirim aplikasi versi lama ke HP Cina itu, dan menggunakannya untuk menimpa file aplikasi baru. Oleh karena itu, mereka bisa melewati perbaikan keamanan yang dibuat oleh Xiaomi atau Mediatek.
“Kami menemukan beberapa kerentanan dalam aplikasi tepercaya thhadmin, yang bertanggung jawab atas manajemen keamanan yang dapat dieksploitasi,” demikian dikutip.
Eksploitasi yang dimaksud yakni dapat membocorkan kunci yang disimpan atau mengeksekusi kode dalam konteks aplikasi. Kemudian, secara praktis melakukan pembayaran palsu yang berbahaya.
Ponsel Xiaomi memiliki kerangka pembayaran seluler tertanam bernama Tencent Soter yang menyediakan API untuk aplikasi Android pihak ketiga. Ini untuk mengintegrasikan kemampuan pembayaran.
Fungsi utamanya adalah menyediakan kemampuan memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh. Pada dasarnya ini berfungsi sebagai keamanan dan keselamatan dalam bertransaksi.
Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.
“Kerentanan yang kami temukan, yang ditetapkan Xiaomi CVE-2020-14125, sepenuhnya membahayakan platform soter Tencent. Ini memungkinkan pengguna yang tidak sah menandatangani paket pembayaran palsu,” kata dia.
Peneliti CPR melaporkan, Xiaomi telah memperbaiki beberapa bug yang diidentifikasi.