Kerentanan yang dimaksud adalah dapat dimanfaatkan untuk menonaktifkan mekanisme pembayaran seluler, bahkan memalsukan transaksi melalui Android yang diinstal pada perangkat.
JERNIH-Karena dianggap rentan terhadap palsu, Divisi Siber Polda Metro Jaya mengingatkan masyarakat untuk waspada jika menggunakan handphone (HP) produk Cina dengan chipset mediatek.
“Waspada! Ponsel Cina dengan Chip Mediatek Ditemukan Rentan Terhadap Pembayaran Palsu!” tulis akun Divisi Siber Polda Metro Jaya di akun Instagram @siberpoldametrojaya, beberapa waktu lalu.
Pihak Divisi Siber Polda Metro Jaya tidak menyebut dengan jelas merek ponsel yang dimaksud, namun hanya menyebutkan kode N9T dan N11.
Adapun kerentanan yang dimaksud adalah dapat dimanfaatkan untuk menonaktifkan mekanisme pembayaran seluler, bahkan memalsukan transaksi melalui Android yang diinstal pada perangkat.
Penyebab terjadinya kerentanan pada HP Cina dengan chip MediaTek tersebut disebabkan kurangnya kontrol pada versi lama. Dengan begitu, kelemahan tersebut muncul dan bisa dimanfaatkan para peretas untuk melancarkan aksinya.
Kerentanan tersebut ditemukan berawal dari penelusuran yang dilakukan oleh Check Point Research (CPR), sebuah perusahaan riset yang berbasis di Amerika Serikat (AS). Dalam laporannya CPR menyebut bahwa merek yang dimaksud adalah Xiaomi.
“Dalam laporan ini, peneliti CPR (Mobile) menganalisis sistem pembayaran yang terpasang pada smartphone Xiaomi yang ditenagai oleh chip MediaTek, yang sangat populer di China,” tulis riset CPR, dikutip dari laman resminya.
CPR juga menemukan kerentanan yang memungkinkan pemalsuan pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki hak istimewa.
“Dalam penelitian, fokus kami pada aplikasi terpercaya dari perangkat yang didukung MediaTek. Perangkat uji yang digunakan adalah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0.” kata mereka.
Hasil penelitian menunjukkan aplikasi Android yang tidak memiliki hak istimewa dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi terpercaya wechat dan memalsukan paket pembayaran.
Penelitian CPR juga menyebut kerentanan penurunan versi di lingkungan eksekusi terpercaya (trusted execution environment/TEE) Xiaomi yang dapat mengaktifkan versi lama aplikasi wechat untuk mencuri kunci pribadi.
Dengan adanya hasil penelitian oleh CPR, pihak Xiaomi segera memberesi kerentanan tersebut pada Juni 2022, lalu. (tvl)