Xiaomi Dianggap Tak Aman untuk Transaksi, Ini Tanggapan Xiaomi Indonesia

Xiaomi Dianggap Tak Aman untuk Transaksi

Laporan terbaru dari Check Point Research (CPR) menyebutkan bahwa transaksi melalui ponsel Xiaomi berbasis MediaTek bisa berakibat fatal.

Dalam laporan yang diterbitkan oleh CPR, para peneliti di perusahaan riset mengklaim telah menemukan kerentanan di smartphone Xiaomi ketika digunakan untuk melakukan pembayaran atau melakukan transaksi.

Kerentanan memungkinkan pemalsuan transaksi atau menonaktifkan sistem pembayaran langsung dari aplikasi Android. Di mana Xiaomi dapat menyematkan dan mensertifikasi sendiri aplikasi mana yang resmi dan mana yang tidak.

“Kami menemukan bahwa penjahat dunia maya dapat mentransfer aplikasi versi lama ke perangkat Xiaomi dan kemudian menimpanya dengan file baru. Oleh karena itu, penjahat dunia maya dapat melewati perbaikan keamanan yang dilakukan oleh Xiaomi atau MediaTek, di dalam aplikasi. Triknya adalah dengan downgrade ke versi yang belum diperbarui secara diam-diam,” kata peneliti CPR dalam blog resminya, seperti dikutip Lampiranbaca (31/8/22).

Dalam penelitian ini, mereka fokus pada aplikasi terpercaya di smartphone dengan chipset MediaTek. Perangkat yang diuji adalah Redmi Note 9T 5G dengan MIUI Global 12.5.6.0 OS dari Xiaomi.

Menariknya, laporan tersebut bahkan diunggah di akun media sosial Polda Metro Jaya. “Waspadalah terhadap ponsel China dengan chip Mediatek yang ternyata rentan terhadap pembayaran palsu!” tulis akun Instagram @siberpoldametro.

Tanggapan Xiaomi Indonesia

Terkait kabar yang menyebutkan keberadaan ponsel China dengan chip MediaTek yang memiliki risiko keamanan tertentu, Xiaomi setidaknya membenarkan dua hal.

Pertama, penyebab kelemahan tersebut telah diidentifikasi. Saat ini tim teknis bekerja sama dengan mitra terkait untuk menghilangkan risiko dan perbaikan proses telah dilakukan.

Baca Juga  Gen Z Lebih Suka Googling di TikTok dan Instagram

Kedua, kerentanan hanya ada di sejumlah kecil perangkat dan membutuhkan teknologi ‘retak’ yang canggih agar tidak berdampak atau merugikan pengguna secara luas.

“Sebagai informasi tambahan, perangkat tersebut belum resmi tersedia untuk pasar Indonesia,” kata Stephanie Sicilia, Associate Marketing Director Xiaomi Indonesia melalui pesan tertulis kepada Lampiranbaca di Jakarta (31/8).

TEE untuk keamanan transaksi di ponsel

Redmi Note 9T 5G

Di setiap handphone, biasanya ada bagian penting yang digunakan untuk menyimpan informasi transaksi. Namanya adalah Trusted Execution Environment (TEE). Tujuan utamanya adalah untuk memproses dan menyimpan informasi keamanan sensitif seperti kunci kriptografi dan sidik jari.

“Kalau TEE aman, transaksi pembayaran di handphone juga aman. Belum banyak riset keamanan terkait TEE, terutama untuk smartphone berbasis MediaTek yang tersebar di Asia. Dalam penelitian ini, kami fokus pada aplikasi terpercaya pada perangkat berbasis MediaTek, yaitu Xiaomi Redmi Note 9T 5G dengan sistem operasi MIUI Global 12.5.6.0,” ujar peneliti CPR tersebut.

Masih berdasarkan penjelasan peneliti CPR, Xiaomi menyematkan perangkat transaksi mobile bernama Tencent Soter, yang menyediakan API untuk aplikasi android pihak ketiga untuk mengintegrasikan kemampuan pembayaran. Fungsi utamanya adalah menyediakan kemampuan untuk mengautentikasi paket pembayaran yang ditransfer antara aplikasi seluler dan server back-end jarak jauh yang pada dasarnya adalah keselamatan dan keamanan yang kita semua harapkan saat melakukan pembayaran seluler.

Menurut Tencent, ratusan juta perangkat Android mendukung Tencent Soter. “Kerentanan yang kami temukan, di CVE-2020-14125 di Xiaomi, telah sepenuhnya membahayakan platform Tencent Soter, memungkinkan orang lain untuk melakukan dan mengizinkan transaksi penipuan,” jelas laporan tersebut.

Peneliti CPR mengatakan bahwa rangkaian kerentanan ini sangat mempengaruhi keamanan perangkat, terutama dalam melakukan transaksi di ponsel. Apalagi, perangkat Xiaomi yang terkena dampak digunakan oleh jutaan orang di dunia, terutama pengguna di China.

Baca Juga  Xiaomi 13 : Smartphone Flagship Terbaru dengan Harga Terjangkau

“Aplikasi Android yang tidak sah dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi pembayaran resmi dan memalsukan paket transaksi. Selain itu, TEE di Xiaomi juga memungkinkan aplikasi pembayaran versi lama digunakan oleh penjahat dunia maya untuk mencuri kunci akun pribadi,” kata mereka.

Namun, di akhir laporan disebutkan bahwa peneliti CPR telah melaporkan kerentanan terhadap Xiaomi. Vendor China dilaporkan telah memperbaiki kelemahan yang dimaksud, meskipun tidak ada data pasti tentang berapa banyak pengguna Xiaomi yang tahu untuk memperbarui sistem keamanan pada smartphone mereka.