Laporan dari Check Point Research
Kerentanan tersebut ditemukan setelah penelusuran yang dilakukan oleh Check Point Research (CPR), sebuah perusahaan riset yang berbasis di Amerika Serikat (AS).
CPR menyebut bahwa merek yang dimaksud adalah Xiaomi. Di mana serangkaian kerentanan dalam aplikasi Xiaomi yang bertanggung jawab untuk mengelola keamanan perangkat dan pembayaran seluler, yang digunakan oleh jutaan pengguna di seluruh dunia.
“Dalam laporan ini, peneliti CPR (Mobile) menganalisis sistem pembayaran yang terpasang pada smartphone Xiaomi yang ditenagai oleh chip MediaTek, yang sangat populer di China,” tulis riset CPR, dikutip dari laman resminya.
Selama peninjauan ini, CPR menemukan kerentanan yang memungkinkan pemalsuan pembayaran atau menonaktifkan sistem pembayaran secara langsung, dari aplikasi Android yang tidak memiliki hak istimewa.
“Dalam penelitian kami, kami fokus pada aplikasi tepercaya dari perangkat yang didukung MediaTek. Perangkat uji yang digunakan adalah Xiaomi Redmi Note 9T 5G dengan OS MIUI Global 12.5.6.0.” kata mereka.
Hasilnya, aplikasi Android yang tidak memiliki hak istimewa dapat mengeksploitasi kerentanan CVE-2020-14125 untuk mengeksekusi kode di aplikasi tepercaya wechat dan memalsukan paket pembayaran.
Setelah pengungkapan dari pihak CPR, kerentanan ini telah ditambal oleh Xiaomi pada Juni 2022.
Selain itu, CPR menunjukkan bagaimana kerentanan penurunan versi di lingkungan eksekusi terpercaya(trusted execution environment/TEE) Xiaomi dapat mengaktifkan versi lama aplikasi wechat untuk mencuri kunci pribadi. Kerentanan baca yang disajikan ini juga telah ditambal dan diperbaiki oleh Xiaomi setelah pengungkapan riset dari CPR kepada pihak perusahaan.