Bug di Smartphone Xiaomi Bikin Rentan Pembajakan Transaksi Palsu

Xiaomi, yang merupakan produsen smartphone nomor tiga dunia setelah Apple dan Samsung. Baru-baru ini mereka melaporkan bahwa produsen smartphone asal negeri Tiongkok tersebut telah mengatasi bug tingkat tinggi dalam sistem miliknya.

Bug tersebut adalah terkait dengan sistem yang digunakan untuk menyimpan data pembayaran dan bug tersebut membuka potensi untuk beberapa model handsetnya untuk bisa diserang.


Para peneliti di Check Point Research mengungkapkan bahwa bug dalam smartphone Xiaomi dapat memungkinkan peretas atau hacker untuk membajak sistem pembayaran seluler. Mereka dapat menonaktifkannya atau membuat dan menandatangani transaksi palsu yang peretas buat.

Check Point juga menemukan serangkaian kerentanan yang memungkinkan pemalsuan paket pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki hak istimewa.


 

Dalam simulasinya, Check Point bahkan bisa meretas WeChat Pay yang merupakan layanan pembayaran seluler dan dompet digital yang berbasis di China. Bug tersebut, dilacak sebagai CVE-2020-14125, telah diperbaiki oleh pihak Xiaomi pada bulan Juni 2022 lalu dan memiliki peringkat keparahan CVSS yang tinggi. 

Potensi korban dari bug ini sangat besar, mengingat 1/7 smartphone dunia diproduksi oleh Xiaomi, menurut data Q2/22 dari Canalys. Xiaomi adalah vendor smartphone terbesar ketiga secara global, menurut Canalys.

Sementara rincian dampak bug terbatas pada saat Xiaomi mengungkapkan kerentanan pada bulan Juni, para peneliti di Check Point telah menguraikan dalam postmortem bug yang diperbaiki dan potensi dampak penuh dari kecacatan tersebut. Dalam penelusurannya, peneliti Check Point mengaku menggunakan Xiaomi Redmi Note 9T 5G dengan MIUI Global 12.5.6.0 OS.

Masalah inti dengan ponsel Xiaomi adalah metode pembayaran ponsel dan komponen Trusted Execution Environment (TEE) ponsel. TEE adalah kantong virtual telepon Xiaomi, yang bertanggung jawab untuk memproses dan menyimpan informasi keamanan ultra-sensitif seperti sidik jari dan kunci kriptografi yang digunakan dalam transaksi penandatanganan.


Baca Juga:

• Xiaomi Pangkas 3% Pegawainya, Kena Masalah Apa? 
• Zenbook Classic Baru Kini dengan Intel Core 12th Gen EVO  
• iPhone 11, iPhone 12, iPhone 13 Turun Harga, Cek Harganya Disini
  

Mengontrol TEE, menurut Check Point, kelemahannya sebenarnya bukan ada di chip MediaTek. Namun bug tersebut hanya dapat dijalankan di ponsel yang dikonfigurasi dengan prosesor MediaTek.

Ponsel Xiaomi yang berjalan pada chip MediaTek menggunakan arsitektur TEE yang disebut "Kinibi," di mana Xiaomi dapat menyematkan dan menandatangani aplikasi tepercaya mereka sendiri. Biasanya, aplikasi tepercaya dari OS Kinibi memiliki format MCLF atau Mobicore Loadable Format, tetapi Xiaomi menggunakan pengaturan sendiri untuk format ini.


Intinya penyerang dapat memutar balik waktu, melewati perbaikan keamanan apa pun yang dilakukan oleh Xiaomi atau MediaTek di area smartphone yang paling sensitif. Untungnya bugs yang menyebabkan kerentanan keamanan di smartphone Xiaomi dengan chip MediaTek ini menurut claim Xiaomi sudah di perbaiki Juni 2022 lalu.