Smartphone Xiaomi dengan Chipset MediaTek Rentan Terhadap Pembayaran Palsu?

Liputan6.com, Jakarta - Peneliti keamanan menemukan masalah keamanan pada sistem pembayaran di smartphone Xiaomi yang menggunakan chipset MediaTek. Chipset tersebut menyediakan lingkungan eksekusi (TEE) yang bertanggung jawab untuk menandatangani transaksi.

Menurut para peneliti, penyerang bisa memanfaatkan kelemahan yang ada untuk menandatangani paket pembayaran menggunakan aplikasi pihak ketiga yang tidak memiliki hak istimewa.

Mengutip Bleeping Computer, Selasa (16/8/2022), implikasi dari serangan ini adalah membuat tanda tangan palsu dari pengguna ke akun milik pelaku ancaman.

Karena pembayaran mobile dari smartphone Xiaomi banyak dipakai pasar Asia, nilai uang yang didapatkan peretas diperkirakan mencapai miliaran dolar AS.

Sekadar informasi, smartphone Xiaomi yang memakai chipset MediaTek menggunakan arsitektur TEE bernama "Kinibi". Kinibi ini membuat enklave virtual terpisah untuk menyimpan kunci keamanan yang diperlukan untuk menandatangani transaksi.

Ruang ini dirancang untuk menjalankan aplikasi terpercaya seperti "thhadmin" yang bertanggung jawab atas manajemen keamanan, termasuk kerangka pembayaran seluler tertanam "Tencent Soter" yang menyediakan aplikasi pihak ketiga guna mengintegrasi kemampuan pembayaran.

Aplikasi seperti WeChat Pay dan Alipay yang memiliki lebih dari satu miliar pengguna, mengandalkan API Tencent Soter untuk memverifikasi paket pembayaran online dengan aman dan memungkinkan transaksi keuangan.

* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

Peneliti keamanan di Check Point menemukan celah keamanan di format aplikasi terpercaya yang dipakai Xiaomi, yakni kurangnya kontrol versi.

Hal ini membuka pintu untuk serangan downgrade, yang berarti bahwa aktor ancaman dapat mengganti aplikasi yang lebih baru dan lebih aman dengan versi yang lebih lama dan rentan.

Para peneliti dapat menggunakan kerentanan lain (CVE-2020-14125) di aplikasi terpercaya Tencent Soter yang memungkinkan penyerang mengekstrak kunci pribadi dan menandatangani paket pembayaran palsu dalam konteks pengguna yang tidak memiliki hak.

Penjahat siber melewati patch keamanan Xiaomi dan MediaTek dengan menimpa aplikasi 'thhadmin' di MIUI 12.5.6.0 dengan MIUI 10.4.1.0, yang memungkinkannya membuka sejumlah kemungkinan eksploitasi.

* BACA BERITA TERKINI LAINNYA DI GOOGLE NEWS

Tautan komunikasi dibuat dengan menggunakan SoterService sebagai proxy, setelah menjalankan fungsi initSigh di aplikasi Soter menggunakan kode Java.

Nah, bagi pengguna Xiaomi yang menggunakan chipset MediaTek, penting untuk menerapkan update keamanan yang menyelesaikan kerentanan CVE-2020-14125.

Cacat kebocoran kunci Soter adalah masalah pihak ketiga dan Xiaomi hanya dapat mengonfirmasi bahwa vendor tengah memperbaikinya, sehingga nantinya patch baru akan ada di masa mendatang.

Jika pengguna tidak bisa menonaktifkan pembayaran seluler sama sekali, cobalah untuk meminimalisasi jumlah aplikasi yang diinstal pada perangkat, update OS, dan gunakan rangkaian keamanan seluler yang bisa mendeteksi dan menghentikan tindakan mencurigakan.

(Tin/Isk)