Sukses

Peneliti Keamanan: Pemindai Sidik Jari HP Android Bisa Diretas Pakai Alat Murah

Hasil penelitian ungkap ada alat baru seharga Rp 224 ribu yang dapat menembus perlindungan sidik jari di perangkat Android.

Liputan6.com, Jakarta - Saat ini, hampir semua smartphone memiliki pemindai sidik jari, baik di bawah layar, di cover belakang, atau bagian bodi samping ponsel. Karena setiap manusia memiliki sidik jari berbeda, fitur ini seharusnya menjadi salah satu cara paling aman untuk melindungi data.

Sayangnya, sebuah alat baru dapat menembus perlindungan sidik jari di HP Android. Alat ini tidak begitu mahal karena hanya dibanderol dengan harga 15 USD atau sekitar Rp 224.000.

Mengutip informasi dari Gizchina, Rabu (31/5/2023), penelitian yang dilakukan oleh Yu Chen dari Tencent dan Yiling He dari Universitas Zhejiang menunjukkan, ada dua kerentanan yang tidak diketahui di hampir semua smartphone.

Kerentanan ini terletak pada sistem otentikasi sidik jari dan disebut sebagai zero-day. Memanfaatkan celah ini, aktor jahat dapat melakukan serangan BrutePrint untuk membuka kunci sidik jari di hampir semua ponsel.

Untuk melancarkan aksinya, mereka menggunakan sebuah papan sirkuit mikrokontroler, saklar analog, kartu flash SD, dan konektor board-to-board. Proses ini hanya membutuhkan 45 menit untuk mendapatkan database sidik jari.

Berdasarkan delapan smartphone Android dan dua iPhone diuji, semua fitur sidik jari memiliki jumlah percobaan terbatas, namun batasan dapat dilewati BrutePrint. 

Mereka pun menggunakan batas percobaan untuk menemukan input data sidik jari di perangkat yang cocok. Penyerang hanya perlu melewati batas percobaan upaya pemindaian sidik jari yang ditentukan smartphone. 

2 dari 4 halaman

Kunci Sidik Jari Ponsel Android Berhasil Diretas

Adapun merek dan model yang digunakan dalam penelitian ini, yaitu Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G and Huawei P40. Sedangkan, iPhone yang digunakan adalah iPhone SE dan iPhone 7.

Untuk membuka kunci smartphone, peneliti melepas penutup belakang ponsel dan memasang papan sirkuit seharga $15 tersebut. Setelah dipasang, serangan pun dapat langsung bekerja.

Setelah serangan berhasil membuka kunci, mereka dapat menggunakannya untuk mengotorisasi pembayaran. 

Waktu yang dibutuhkan untuk membuka kunci setiap ponsel pun berbeda antara berbagai ponsel. Oppo membutuhkan waktu sekitar 40 menit, sementara Galaxy S10+ membutuhkan waktu sekitar 73 menit hingga 2,9 jam.

Menurut peneliti, Mi 11 Ultra merupakan Android yang paling sulit diretas kuncinya karena memerlukan waktu sekitar 2,78 hingga 13,89 jam.

3 dari 4 halaman

iPhone Tidak Berhasil Ditembus

Dalam pengujian ini, peneliti tidak berhasil membuka kunci sidik jari di perangkat iPhone. Hasil ini menunjukkan bahwa sistem sidik jari iPhone jauh lebih kuat dibandingkan Android.

Hal ini kemungkinan besar disebabkan oleh enkripsi data pengguna iPhone yang dijamin Apple. Karenanya, serangan BrutePrint tidak dapat mengakses basis data sidik jari pada perangkat dan tidak dapat membuka sidik jari.

Lantas, bagaimana pengguna smartphone Android bisa menjamin keamanan data pribadi mereka agar terhindar dari peretasan kunci sidik jari?

4 dari 4 halaman

Cara Menghindari Peretasan Kunci Sidik Jari

Sebagai pengguna, tidak banyak yang dapat dilakukan untuk melindungi peretasan smartphone Android. Namun, pengguna dapat memakai kata sandi sebagai bentuk perlindungan lainnya. 

Pihak pengembang Android pun dapat mengambil tindakan lain ekstra untuk memastikan keamanan data pengguna. 

Kendati demikian, ponsel yang digunakan peneliti dalam pengujian ini adalah model lama. 

Metode ini menunjukkan bahwa serangan Brute Print akan sulit menembus keamanan Android modern karena telah memiliki izin dan keamanan aplikasi yang lebih ketat. 

Meskipun begitu, para peneliti menyarankan agar pihak pengembang membatasi upaya bypass. Mereka pun meminta Google untuk mengenkripsi semua data yang dikirim antara pemindai sidik jari dan chipset pada perangkat. 

Akan tetapi, tim Security Boulevard meyakinkan pengguna Android modern untuk tidak khawatir karena serangan BrutePrint mungkin tidak berfungsi pada Android yang mengikuti standar terbaru Google.