Peneliti Temukan Celah Kemanan di Pemindai Sidik Jari Ponsel

Peneliti dari Tencent Labs, Yu Chen dan rekannya dari Universitas Zhejiang, Yiling He. menemukan bahwa pemindai sidik jari di smartphone memiliki dua celah keamanan zero-day (zero-day vulnerability). Celah tersebut terdapat di sistem autentikasi sidik jari.

Adapun zero-day vulnerability adalah celah keamanan yang sebelumnya tidak diketahui oleh pengembang perangkat lunak. Celah ini ditemukan di banyak smartphone yang beredar di pasar.

Celah tersebut dapat dimanfaatkan oleh peretas (hackers) untuk membobol keamanan autentikasi sidik jari. Dalam kasus ini, serangan tersebut dinamai "BrutePrint".

Untuk melakukan serangan "BrutePrint", menurut riset, peretas hanya membutuhkan papan sirkuit seharga 15 dollar AS (Rp 224.325) beserta mikrokontroler, sakelar analog, kartu flash SD, konektor papan ke papan (board-to-board), dan basis data sidik jari.

Tidak hanya itu, peretas juga harus memegang ponsel korban setidaknya selama 45 menit untuk melakukan peretasan.

Yu Chen dan Yiling He mendemonstrasikan serangan ini dengan 8 smartphone Android dari berbagai merek. Penelitian ini juga memanfaatkan 2 ponsel iPhone, yaitu iPhone SE dan iPhone 7.

Cara kerjanya, peneliti melepas penutup belakang smartphone dan memasang papan sirkuit yang memuat basis data sidik jari.

"BrutePrint" nantinya bakal mengirim gambar sidik jari dalam jumlah tak terbatas ke perangkat yang ingin diretas.

Pengiriman gambar ini dilakukan terus-menerus hingga sidik jari yang menyerupai milik pengguna ditemukan.

Sistem tidak membutuhkan sidik jari yang persis karena mereka menggunakan ambang referensi (reference threshold) untuk menentukan kecocokan.

Hasil, serangan "BrutePrint" ini dapat melewati batas percobaan sidik jari untuk semua ponsel Android yang diuji coba, sehingga ponsel tidak akan terkunci ketika peneliti berulang kali memasukkan sidik jari yang salah.

Setelah membobol, "BrutePrint" digunakan lagi untuk melakukan pembayaran secara paksa. Kerentanan ini konon disebabkan oleh adanya celah kerusakan (bug) dalam autentikasi.

Akibatnya, peneliti bisa mencoba berbagai sidik jari tanpa batas karena sistem perlindungan ponsel tidak akan mencatat percobaan yang gagal.

Secara keseluruhan, proses peretasan ini membutuhkan waktu yang bervariasi, tergantung ponsel yang dibobol.

Salah satu ponsel yang diuji, diretas dalam waktu 40 menit, ada pula yang memakan waktu 73 menit, bahkan 13,89 jam.

Berbeda dengan Android, ponsel iPhone justru tidak bisa dibobol. Sebab, Apple mengenkripsi data pengguna iPhone, sedangkan Android tidak demikian.

Menanggapi masalah pembobolan ini, Yu Chen dan Yiling He mengimbau tim pengembang Android untuk membatasi jumlah percobaan login.

Selain itu, kedua peneliti ini juga meminta Google untuk mengenkripsi semua data yang dikirim antara pemindai sidik jari dan chipset.

Di sisi lain, situs berita keamanan siber Security Boulevard meyakinkan para pengguna smartphone Android untuk tidak khawatir.

Musababnya, percobaan serangan lebih banyak dilakukan kepada ponsel lawas, sehingga ada kemungkinan bahwa serangan tersebut tidak berdampak pada ponsel Android yang mengikuti standar terbaru Google.

Tidak hanya itu, smartphone Android teranyar biasanya lebih aman karena adanya izin aplikasi dan data keamanan aplikasi yang lebih ketat.

Jika masih khawatir, pengguna bisa menggunakan opsi keamanan tambahan seperti kata sandi (password) atau pengenalan wajah (face recognition), sebagaimana dirangkum KompasTekno dari GizChina, Senin (29/5/2023).