Polisi Minta Warga Indonesia Waspadai HP Cina dengan Cip Mediatek

Mereka menemukan bahwa hacker dapat mengirim aplikasi versi lama ke HP Cina itu, dan menggunakannya untuk menimpa file aplikasi baru. Oleh karena itu, mereka bisa melewati perbaikan keamanan yang dibuat oleh Xiaomi atau Mediatek.

“Kami menemukan beberapa kerentanan dalam aplikasi tepercaya thhadmin, yang bertanggung jawab atas manajemen keamanan yang dapat dieksploitasi,” demikian dikutip.

Eksploitas yang dimaksud yakni dapat membocorkan kunci yang disimpan atau mengeksekusi kode dalam konteks aplikasi. Kemudian, secara praktis melakukan pembayaran palsu yang berbahaya.

Ponsel Xiaomi memiliki kerangka pembayaran seluler tertanam bernama Tencent Soter yang menyediakan API untuk aplikasi Android pihak ketiga. Ini untuk mengintegrasikan kemampuan pembayaran.

Fungsi utamanya adalah menyediakan kemampuan memverifikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server backend jarak jauh. Pada dasarnya ini berfungsi sebagai keamanan dan keselamatan dalam bertransaksi.

Menurut Tencent, ratusan juta perangkat Android mendukung soter Tencent.

“Kerentanan yang kami temukan, yang ditetapkan Xiaomi CVE-2020-14125, sepenuhnya membahayakan platform soter Tencent. Ini memungkinkan pengguna yang tidak sah menandatangani paket pembayaran palsu,” kata dia.

Peneliti CPR melaporkan, Xiaomi telah memperbaiki beberapa bug yang diidentifikasi.