Kerentanan Zero-Day Temukan Celah Keamanan Pada Sidik Jari Smartphone
Para peneliti dari Tencent dan Universitas Zhejiang telah menemukan sebuah kerentanan keamanan pada sistem otentikasi sidik jari pada sebagian besar smartphone. Kerentanan ini dikenal sebagai kerentanan zero-day dan memungkinkan penyerang untuk membuka hampir semua pemindai sidik jari pada smartphone.
Dalam penelitian mereka, para peneliti menggunakan sebuah papan sirkuit senilai $15 yang dilengkapi dengan mikrokontroler, saklar analog, kartu flash SD, dan konektor papan ke papan. Yang diperlukan oleh penyerang hanyalah waktu selama 45 menit bersama ponsel korban dan tentunya, basis data sidik jari.
Delapan smartphone Android berbeda dan dua iPhone diuji dalam penelitian ini. Smartphone Android yang diuji antara lain Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G, dan Huawei P40. Sedangkan iPhone yang diuji adalah iPhone SE dan iPhone 7.
Meskipun sebagian besar perlindungan sidik jari pada smartphone memiliki jumlah percobaan yang dibatasi, serangan BrutePrint dapat menghindari batas tersebut. Pemindai sidik jari tidak perlu kecocokan yang persis antara input dan data sidik jari yang tersimpan. Sebaliknya, pemindai sidik jari menggunakan ambang batas untuk menentukan apakah input cukup dekat untuk dianggap cocok.
Untuk membuka kunci smartphone, para peneliti hanya perlu melepas penutup belakang dan memasang papan sirkuit senilai $15 (200 ribu rupiah lebih). Setelah serangan dilakukan, proses membuka kunci setiap perangkat hanya membutuhkan waktu kurang dari satu jam. Setelah berhasil membuka perangkat, penyerang juga dapat menggunakan smartphone tersebut untuk mengotorisasi pembayaran.
Waktu yang dibutuhkan untuk membuka setiap ponsel bervariasi tergantung pada modelnya. Misalnya, Oppo membutuhkan sekitar 40 menit untuk dibuka, sedangkan Samsung Galaxy S10+ membutuhkan waktu antara 73 menit hingga 2,9 jam. Ponsel Android yang paling sulit untuk dibuka adalah Mi 11 Ultra, dengan waktu yang dibutuhkan sekitar 2,78 hingga 13,89 jam.
Namun, upaya membuka kunci iPhone tidak berhasil dilakukan oleh para peneliti. Hal ini tidak berarti bahwa sidik jari Android kurang aman dibandingkan dengan iPhone. Terutama karena Apple mengenkripsi data pengguna di iPhone. Dengan adanya enkripsi data, serangan BrutePrint tidak dapat mengakses basis data sidik jari pada iPhone. Apple juga menggunakan metode otentikasi biometrik seperti FaceID untuk melindungi data pengguna. Oleh karena itu, serangan semacam ini tidak akan mampu membuka kunci sidik jari pada iPhone.
Kerentanan zero-day ini menunjukkan betapa pentingnya perusahaan ponsel untuk terus meningkatkan sistem keamanan mereka. Jangan lupa untuk selalu melakukan update terhadap perangkat Anda dan jangan sembarangan menginstal aplikasi yang tidak jelas asal-usulnya.
