Sebuah kerentanan serius di chip MediaTek telah ditemukan oleh peneliti keamanan yang dapat membahayakan jutaan ponsel Android. Temuan ini mengungkap bagaimana perangkat dengan chipset tertentu berisiko mengalami pencurian data pribadi dalam hitungan detik meskipun ponsel dalam keadaan mati.
Penelitian yang dilakukan oleh divisi keamanan Ledger Donjon menunjukkan potensi ancaman besar bagi pengguna yang mengandalkan MediaTek, terutama model Dimensity dan Helio. Masalah ini berakar pada eksekusi kode Trustonic TEE, lingkungan eksekusi tepercaya yang seharusnya melindungi data sensitif di perangkat Android.
Risiko Kerentanan MediaTek pada Keamanan Data Android
Peneliti membuktikan serangan ini menggunakan CMF Phone 1 yang menggunakan MediaTek Dimensity 7300. Dengan memanfaatkan celah ini, mereka berhasil menembus keamanan perangkat hanya dalam waktu 45 detik setelah ponsel tersambung ke komputer. Hal yang paling mengkhawatirkan, tidak ada prosedur booting atau menyalakan ponsel yang diperlukan untuk mengakses data sensitif pengguna.
Kerentanan ini memungkinkan pihak tak berwenang membuka PIN keamanan perangkat, mengakses penyimpanan data yang sudah tidak terenkripsi, hingga mengekstrak "seed phrase" dari dompet digital populer. "Seed phrase" merupakan deretan 12 hingga 24 kata kunci yang sangat penting sebagai syarat pemulihan akun atau verifikasi dompet kripto.
Dampak Terhadap Pengguna Dompet Kripto
Bagi pengguna yang menyimpan aset kripto di ponsel Android dengan chipset MediaTek, risiko semakin besar. Peneliti mengingatkan bahwa pelaku kejahatan siber bisa mengambil alih dompet kripto tanpa sepengetahuan pemilik, sehingga aset digital pengguna di dompet perangkat yang rentan dapat diakses sepenuhnya oleh pihak ketiga.
Kelemahan utama pada ponsel berbasis MediaTek terletak pada absennya chip keamanan dedikasi seperti yang dimiliki Google, Apple, atau ponsel berbasis Snapdragon. Sebagian besar perangkat kelas premium dari merek-merek tersebut mengandalkan chip khusus untuk melindungi informasi sensitif dari usaha peretasan level rendah.
Penjelasan Teknis Mengenai Trustonic TEE
Trustonic TEE merupakan bagian penting dari arsitektur keamanan di banyak perangkat Android. Fungsi utamanya adalah menjalankan lingkungan yang aman agar data seperti kunci enkripsi atau PIN pengguna tetap terlindungi sekaligus terisolasi dari sistem utama. Namun, pada kasus kerentanan ini, eksekusi kode Trustonic TEE pada chip MediaTek justru menjadi celah yang berhasil dimanfaatkan peneliti untuk mengakses seluruh data krusial.
Respons dari MediaTek dan Produsen Smartphone
MediaTek mengonfirmasi telah mendistribusikan patch atas kerentanan ini ke para produsen perangkat sejak Januari. Namun hingga kini, belum ada kepastian dari para produsen smartphone mengenai status pembaruan keamanan pada semua ponsel yang terdampak. Artinya, jutaan perangkat pengguna masih mungkin rentan dan belum mendapatkan pembaruan secara menyeluruh.
Ciri-ciri dan Daftar Chipset MediaTek Berisiko
Berdasarkan temuan yang diumumkan, chipset berikut patut diwaspadai:
- MediaTek Dimensity series seperti Dimensity 7300.
- MediaTek Helio series pada berbagai model Android.
Pengguna disarankan untuk memeriksa jenis chipset yang digunakan ponsel mereka pada pengaturan perangkat atau situs resmi produsen. Jika perangkat menggunakan salah satu chipset di atas, potensi risiko menjadi lebih besar.
Langkah-Langkah Perlindungan bagi Pengguna
- Perbarui perangkat lunak ponsel secara berkala melalui menu pengaturan.
- Hindari menyimpan aset kripto penting di ponsel yang belum pasti mendapat patch keamanan terbaru.
- Gunakan aplikasi dompet kripto dengan keamanan berlapis atau perangkat keras khusus untuk penyimpanan seed phrase.
- Pantau pengumuman resmi dari produsen perangkat dan MediaTek terkait rilis pembaruan keamanan berikutnya.
Kejadian ini menyoroti pentingnya keamanan perangkat keras yang andal pada smartphone modern. Dengan meningkatkan kesadaran akan bahaya kerentanan pada chip, pengguna diharapkan semakin waspada terhadap setiap potensi risiko dan mengikuti anjuran keamanan dari produsen maupun otoritas yang berwenang.
