Xiaomi Komentari "Bug Transaksi Palsu" di Redmi Note 9T Berchip Mediatek

KOMPAS.com - Ponsel keluaran Xiaomi dilaporkan memiliki celah berbahaya (bug). Melalui kerentanan tersebut, seorang penjahat cyber disebut bisa melakukan transaksi palsu, dengan memindahkan dana dari akun pengguna ke akun penjahat.

Temuan itu riset dari perusahaan keamanan Check Point. Dalam blog resminya, Check Point skeptis terkait keamanan sistem pembayaran online di ponsel, terutama ponsel yang dipasarkan di wilayah China.

Pasalnya, China dan kawasan Timur Jauh (istilah yang digunakan untuk menunjuk wilayah Asia Timur, Rusia Timur Jauh, dan Asia Tenggara) menyumbang dua pertiga dari seluruh pembayaran seluler dunia pada tahun 2021. Jumlah transaksinya diperkirakan mencapai sekitar 4 miliar dollar AS.

Menurut Check Point, keamanan sistem pembayaran terutama pada smartphone yang ditenagai chipset MediaTek di pasar Asia belum banyak dieksplorasi.

Untuk itu, Check Point mencoba meneliti sistem keamanan pada aplikasi pembayaran resmi di smartphone Xiaomi Redmi Note 9T 5G. Ponsel yang dirilis di China pada Januari 2021 itu ditenagai chipset MediaTek Dimensity 800U dan berbasis antarmuka MIUI 12.5.6.0.

Baca juga: Spesifikasi Lengkap dan Harga Xiaomi Redmi 9T di Indonesia

Bug bisa digunakan untuk curi uang pengguna

Berdasarkan riset Check Point, smartphone Xiaomi yang ditenagai chipset MediaTek menggunakan arsiktektur lingkungan eksekusi tepercaya (TEE) bernama "Kinibi" untuk mengamankan transaksi.

Kinibi memiliki ruang virtual terpisah untuk menyimpan kunci keamanan yang diperlukan untuk menandatangani transaksi seluler pengguna.

Ruang tersebut dirancang untuk menjalankan aplikasi tepercaya seperti "thhadmin" Xiaomi, yang bertanggung jawab atas manajemen keamanan, termasuk kerangka pembayaran seluler tertanam 'Tencent Soter' yang menyediakan API untuk aplikasi pihak ketiga guna mengintegrasikan kemampuan pembayaran.

Aplikasi pembayaran populer di China, seperti WeChat Pay dan Alipay, yang memiliki lebih dari satu miliar pengguna, mengandalkan API 'Tencent Soter' untuk memverifikasi paket pembayaran dengan aman dan memungkinkan transaksi keuangan.

Masalahnya, Check Point menemukan adanya celah keamanan (bug) pada sistem tersebut. Bug ini dapat digunakan penjahat cyber untuk melakukan downgrade versi aplikasi pembayaran.