, Jakarta - Peneliti keamanan menemukan masalah keamanan pada sistem pembayaran di smartphone Xiaomi yang menggunakan chipset MediaTek. Chipset tersebut menyediakan lingkungan eksekusi (TEE) yang bertanggung jawab untuk menandatangani transaksi.
Menurut para peneliti, penyerang bisa memanfaatkan kelemahan yang ada untuk menandatangani paket pembayaran menggunakan aplikasi pihak ketiga yang tidak memiliki hak istimewa.
Baca Juga
Mengutip Bleeping Computer, Selasa (16/8/2022), implikasi dari serangan ini adalah membuat tanda tangan palsu dari pengguna ke akun milik pelaku ancaman.
Advertisement
Karena pembayaran mobile dari smartphone Xiaomi banyak dipakai pasar Asia, nilai uang yang didapatkan peretas diperkirakan mencapai miliaran dolar AS.
Sekadar informasi, smartphone Xiaomi yang memakai chipset MediaTek menggunakan arsitektur TEE bernama "Kinibi". Kinibi ini membuat enklave virtual terpisah untuk menyimpan kunci keamanan yang diperlukan untuk menandatangani transaksi.
Ruang ini dirancang untuk menjalankan aplikasi terpercaya seperti "thhadmin" yang bertanggung jawab atas manajemen keamanan, termasuk kerangka pembayaran seluler tertanam "Tencent Soter" yang menyediakan aplikasi pihak ketiga guna mengintegrasi kemampuan pembayaran.
Aplikasi seperti WeChat Pay dan Alipay yang memiliki lebih dari satu miliar pengguna, mengandalkan API Tencent Soter untuk memverifikasi paket pembayaran online dengan aman dan memungkinkan transaksi keuangan.
* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
Tim Tekno berkesempatan mengulas smartphone flagship pertama Xiaomi di Indonesia, Mi Note 10 Pro yang ditunggu-tunggu Mi Fans. Penasaran seperti apa ulasan singkat Agustin dan Yus, saksikan videonya.
* Follow Official WhatsApp Channel untuk mendapatkan berita-berita terkini dengan mengklik tautan ini.
Bobol Tencent Soter
![Ilustrasi Smartphone Xiaomi.](https://cdn1-production-images-kly.akamaized.net/pYwbwAmTww3b-pHx3Cuy9f1ES9Y=/0x0:0x0/640x853/filters:quality(75):strip_icc():format(webp):watermark(kly-media-production/assets/images/watermarks/liputan6/watermark-gray-portrait-new.png,540,20,0)/kly-media-production/medias/3147392/original/085844200_1591673530-PicsArt_06-09-10.17.56.jpg)
Peneliti keamanan di Check Point menemukan celah keamanan di format aplikasi terpercaya yang dipakai Xiaomi, yakni kurangnya kontrol versi.
Hal ini membuka pintu untuk serangan downgrade, yang berarti bahwa aktor ancaman dapat mengganti aplikasi yang lebih baru dan lebih aman dengan versi yang lebih lama dan rentan.
Para peneliti dapat menggunakan kerentanan lain (CVE-2020-14125) di aplikasi terpercaya Tencent Soter yang memungkinkan penyerang mengekstrak kunci pribadi dan menandatangani paket pembayaran palsu dalam konteks pengguna yang tidak memiliki hak.
Penjahat siber melewati patch keamanan Xiaomi dan MediaTek dengan menimpa aplikasi 'thhadmin' di MIUI 12.5.6.0 dengan MIUI 10.4.1.0, yang memungkinkannya membuka sejumlah kemungkinan eksploitasi.
* BACA BERITA TERKINI LAINNYA DI GOOGLE NEWS
Advertisement
Lakukan Update Keamanan
![Resmi Diluncurkan, Begini Penampakan Xiaomi Mi 9](https://cdn1-production-images-kly.akamaized.net/yMbN8u8opLBNfYW1Qvs7y3xyNUY=/640x360/smart/filters:quality(75):strip_icc():format(webp)/kly-media-production/medias/2734608/original/010614500_1550732843-20190221-Xiaomi-Mi-9-2.jpg)
Tautan komunikasi dibuat dengan menggunakan SoterService sebagai proxy, setelah menjalankan fungsi initSigh di aplikasi Soter menggunakan kode Java.
Nah, bagi pengguna Xiaomi yang menggunakan chipset MediaTek, penting untuk menerapkan update keamanan yang menyelesaikan kerentanan CVE-2020-14125.
Cacat kebocoran kunci Soter adalah masalah pihak ketiga dan Xiaomi hanya dapat mengonfirmasi bahwa vendor tengah memperbaikinya, sehingga nantinya patch baru akan ada di masa mendatang.
Jika pengguna tidak bisa menonaktifkan pembayaran seluler sama sekali, cobalah untuk meminimalisasi jumlah aplikasi yang diinstal pada perangkat, update OS, dan gunakan rangkaian keamanan seluler yang bisa mendeteksi dan menghentikan tindakan mencurigakan.
(Tin/Isk)
![Infografis Era Teknologi 5G di Indonesia](https://cdn0-production-images-kly.akamaized.net/5xXvnMivgSXCc0dQA14y2TxAtrw=/640x853/smart/filters:quality(75):strip_icc():format(webp)/kly-media-production/medias/3467627/original/096645200_1622204840-hl_5g.jpg)
Terkini Lainnya
Top 3 Tekno: HP Layar Lipat Xiaomi Mix Flip dan Jadwal MPL ID S13 Bikin Penasaran
Xiaomi 14 Civi Siap Meluncur dengan Kamera Leica dan Snapdragon 8s Gen 3, Sambangi Indonesia?
Redmi Note 13R Resmi Meluncur, Cek Spesifikasi dan Harganya
Bobol Tencent Soter
Lakukan Update Keamanan
Smartphone Xiaomi
mediatek
Pembayaran palsu
Pembayaran Online
Xiaomi
Sistem Pembayaran
sistem pembayaran online
Rekomendasi
Xiaomi 14 Civi Siap Meluncur dengan Kamera Leica dan Snapdragon 8s Gen 3, Sambangi Indonesia?
Redmi Note 13R Resmi Meluncur, Cek Spesifikasi dan Harganya
Euro 2024
Sudah 39 Tahun, Cristiano Ronaldo Beri Bocoran Terkait Masa Depannya di Portugal
Infografis Jadwal Semifinal dan Final Euro 2024 dan Copa America 2024
Tekel Keras Gelandang Jerman Akhiri Kiprahnya di Euro 2024, Pedri Kirim Pesan pada Toni Kroos
Jadwal Lengkap Euro 2024 dan Hasil Babak 16 Besar, 8 Besar, Semifinal, Final
Jadwal Lengkap Euro 2024, Hasil, Klasemen Grup A, B, C, D, E, F Cek di Sini
Copa America 2024
Infografis Jadwal Semifinal dan Final Euro 2024 dan Copa America 2024
Jadwal Lengkap Copa America 2024, Hasil, Klasemen Grup A, B, C, D Cek di Sini
Kesedihan Selimuti Fan Zone Copacabana Brasil
Mengejutkan, Uruguay Depak Brasil dari Copa America 2024
Hasil Copa America 2024 Uruguay vs Brasil: Selecao Kalah Dramatis Lewat Adu Penalti, La Celeste Tantang Kolombia di Semifinal
Hasil Copa America 2024 Kolombia vs Panama: Gulung Los Canaleros 5-0, Luis Diaz Cs Kunci Tiket Semifinal
Timnas Indonesia U-16
Timnas Indonesia Rebut Perunggu Piala AFF U-16 2024, Erick Thohir: Lebih Baik di Kualifikasi Piala Asia U-17 2025
Jadwal Lengkap, Hasil, dan Klasemen Piala AFF U-16 2024: Timnas Indonesia Bidik Gelar Ketiga
Timnas U-16 Kalahkan Vietnam 5-0, Nova Arianto Minta Skuad Garuda Muda Tak Euforia
Hasil Piala AFF U-16 Vietnam vs Indonesia: Cetak 5 Gol Tanpa Balas, Garuda Nusantara Amankan Peringkat 3
Hasil Piala AFF U-16 Vietnam vs Indonesia: Cetak Gol Telat, Garuda Nusantara Unggul 2-0 di Babak Pertama
Link Live Streaming Piala AFF U-16 2024 Vietnam vs Indonesia, Sebentar Lagi Mulai di Vidio
Pilkada 2024
Kaesang Pangarep Ungkap PSI-PKS Jalin Kerja Sama di Pilkada untuk 3 Wilayah Ini
Kapan Pilkada 2024? Simak Jadwal Persiapan dan Penyelenggaraannya
Jelang Pilkada 2024, Masyarakat Aceh Barat Diminta Tak Terprovokasi Hoaks
Proses Pendaftaran PPS Pilkada 2024, Simak Tanggung Jawab dan Masa Kerjanya
Tugas Pantarlih Pilkada 2024, Pahami Tanggung Jawab dan Besaran Gajinya
TOPIK POPULER
TIPS TEKNO
Suka Traveling atau Kerja di Kafe, Yuk Mulai Waspada Internetan Pakai WiFi Publik
3 Rekomendasi Gadget untuk yang Doyan Traveler, Apa Saja?
HP Xiaomi Lemot setelah Update ke HyperOS? Matikan Fitur ini Sekarang
Populer
Oppo Reno 12 Series Siap Meluncur di Indonesia, Hadirkan Pengalaman AI Generatif
Harga HP bakal Naik Gara-Gara Rupiah Anjlok, Analis Imbau Vendor Smartphone Lakukan Hal Ini
Ini 3 HP Samsung Galaxy yang Tak Lagi dapat Pembaruan Perangkat Lunak, Apa yang Harus Pengguna Lakukan?
Timnas Indonesia PUBG Mobile Siap Taklukkan IESF World Esports Championship 2024 Riyadh!
Saatnya Vote Talenta Industri Kreatif Favorit Kamu di Telkomsel Awards 2024!
Top 3 Tekno: Bocoran Harga Samsung Galaxy Ring hingga 3 iPad Baru
Apple Intelligence dan Siri Lebih Cerdas Akan Hadir di iOS 18.4 pada Musim Semi 2025
Genshin Impact 4.8 Hadir! Debut Emilie Sang Pembuat Parfum dan Jelajahi Keajaiban Simulanka!
Intip Spesifikasi Realme 13 Pro Plus yang Memukau dan Bikin Heboh, Seperti Apa?
DANA Ikut Lakukan Kontrol Sosial yang Jadi Langkah Nyata Berantas Judi Online
Pegi Setiawan
Profil Eman Sulaeman, Hakim PN Bandung yang Kabulkan Praperadilan Pegi Setiawan
5 Fakta Terkait Pegi Setiawan Bebas dari Tahanan, Kabulkan Gugatan Praperadilan
Pegi Setiawan Bakal Dibebaskan, Komnas HAM Pastikan Penyelidikan Kasus Vina Cirebon Berlanjut
Hotman Paris Ajak Pegi Setiawan Makan Ramen Setelah Status Tersangka Kasus Vina Cirebon Batal
Pegi Setiawan Bebas, Polri: Jadi Evaluasi Bersama
Berita Terkini
Pemberdayaan Perempuan dan Daur Ulang Sampah, Liberty Society Luncurkan Yayasan Berkelanjutan
Harga Gas Murah di Bawah USD 6 per MMBTU Dilanjutkan, Industri Keramik Semringah
Jokowi soal Keppes Pemindahan IKN Belum Diteken: Melihat Situasi Lapangan
6 Potret Raffi Ahmad Makan Bareng Gibran Rakabuming Raka, Singgung Silaturahmi Buka Pintu Rezeki
LG Ajak Orang Indonesia Sebarkan Optimisme lewat Media Sosial
Sudah 39 Tahun, Cristiano Ronaldo Beri Bocoran Terkait Masa Depannya di Portugal
Nasib Tragis Gadis Belia di Flotim, Dicekoki Miras Lantas Digilir 12 Pria Selama Dua Hari
PSI Jakarta Timur Usulkan 6 Nama Cagub DKI Jakarta, Ada Nama Ridwan Kamil dan Putra Nababan
Kaesang Pangarep Ungkap PSI-PKS Jalin Kerja Sama di Pilkada untuk 3 Wilayah Ini
SKK Migas dan Raksasa Minyak Italia Bangun Taman Buah di IKN
Sejumlah Kereta Subway di Boston Dipasangi Wajah Lucu, Tujuannya Supaya Bikin Orang Senyum
7 Potret Pernikahan Clarissa Putri, Tampil Memukau Mulai dari Siraman hingga Acara Resepsi
Aturan Impor Berubah-Ubah, Investor Bahan Baku Plastik Terancam Angkat Kaki
Jokowi Jawab Pernyataan Mahfud MD yang Komentari KPU Pasca Kasus Asusila Hasyim Asy'ari
Apple Intelligence dan Siri Lebih Cerdas Akan Hadir di iOS 18.4 pada Musim Semi 2025