Xiaomi Komentari "Bug Transaksi Palsu" di Redmi Note 9T Berchip Mediatek

Temuan itu riset dari perusahaan keamanan Check Point. Dalam blog resminya, Check Point skeptis terkait keamanan sistem pembayaran online di ponsel, terutama ponsel yang dipasarkan di wilayah China.

Pasalnya, China dan kawasan Timur Jauh (istilah yang digunakan untuk menunjuk wilayah Asia Timur, Rusia Timur Jauh, dan Asia Tenggara) menyumbang dua pertiga dari seluruh pembayaran seluler dunia pada tahun 2021. Jumlah transaksinya diperkirakan mencapai sekitar 4 miliar dollar AS.

Menurut Check Point, keamanan sistem pembayaran terutama pada smartphone yang ditenagai chipset MediaTek di pasar Asia belum banyak dieksplorasi.

Untuk itu, Check Point mencoba meneliti sistem keamanan pada aplikasi pembayaran resmi di smartphone Xiaomi Redmi Note 9T 5G. Ponsel yang dirilis di China pada Januari 2021 itu ditenagai chipset MediaTek Dimensity 800U dan berbasis antarmuka MIUI 12.5.6.0.

Bug bisa digunakan untuk curi uang pengguna

Berdasarkan riset Check Point, smartphone Xiaomi yang ditenagai chipset MediaTek menggunakan arsiktektur lingkungan eksekusi tepercaya (TEE) bernama "Kinibi" untuk mengamankan transaksi.

Kinibi memiliki ruang virtual terpisah untuk menyimpan kunci keamanan yang diperlukan untuk menandatangani transaksi seluler pengguna.

Ruang tersebut dirancang untuk menjalankan aplikasi tepercaya seperti "thhadmin" Xiaomi, yang bertanggung jawab atas manajemen keamanan, termasuk kerangka pembayaran seluler tertanam 'Tencent Soter' yang menyediakan API untuk aplikasi pihak ketiga guna mengintegrasikan kemampuan pembayaran.

Aplikasi pembayaran populer di China, seperti WeChat Pay dan Alipay, yang memiliki lebih dari satu miliar pengguna, mengandalkan API 'Tencent Soter' untuk memverifikasi paket pembayaran dengan aman dan memungkinkan transaksi keuangan.

Masalahnya, Check Point menemukan adanya celah keamanan (bug) pada sistem tersebut. Bug ini dapat digunakan penjahat cyber untuk melakukan downgrade versi aplikasi pembayaran.

Artinya, penjahat bisa mengganti aplikasi versi baru yang seharusnya sudah lebih mutakhir, dengan aplikasi versi lawas yang kemungkinan masih ada bug dan lebih rentan terhadap serangan cyber.

Di samping itu, bug pada sistem keamanan pembayaran Xiaomi itu juga berpotensi dimanfaatkan penjahat untuk mencuri uang di dompet digital pengguna. Penjahat bisa melakukan transaksi palsu, dengan memindahkan uang di akun pengguna ke akun penjahat.

Xiaomi disebut telah mengetahui perihal bug ini dan menyebutnya sebagai CVE-2020-14125. Vendor ponsel asal China ini dilaporkan sudah menggulirkan tambalan keamanan untuk kerentanan tersebut, sebagaimana dihimpun KompasTekno dari blog Check Point.

Tanggapan Xiaomi Indonesia

KompasTekno pun menghubungi pihak Xiaomi Indonesia perihal masalah bug sistem pembayaran ini. Associate Marketing Director Xiaomi Indonesia Stephanie Sicilia mengonfirmasi adanya kerentanan tersebut.

Menurut Stephanie, Xiaomi sudah berhasil menemukan penyebab bug tersebut dan sedang berupaya untuk menambalnya.

"Penyebab kerentanan yang disebutkan telah teridentifikasi. Saat ini tim teknis sedang bekerja sama dengan mitra terkait untuk mengeliminasi risiko dan proses perbaikan telah dilakukan," kata Stephanie melalui pesan singkat kepada KompasTekno, Kamis (1/9/2022).

Stephanie menjelaskan bahwa bug tersebut hanya ditemukan di sejumlah kecil perangkat milik Xiaomi saja.

"Selain itu, bug hanya ditemukan di sejumlah kecil perangkat yang membutuhkan teknologi cracking tingkat tinggi sehingga tidak akan berdampak atau pun menimbulkan kerugian bagi pengguna," kata Stephanie.

Ia juga memastikan bahwa, perangkat yang disebutkan memiliki bug sistem pembayaran di atas (Redmi Note 9T 5G) tidak tersedia secara resmi untuk pasar Indonesia.