25.6 C
Jakarta
Kamis, Desember 1, 2022

Pengguna Ini Tak Sengaja Bobol Lock Screen Android Hanya Bermodal SIM Card

Seorang peneliti keamanan siber secara tidak sengaja berhasil membobol HP Android miliknya. Gadget miliknya itu dalam keadaan terkunci layar dengan kata sandi.
Perangkatnya, Pixel 5 dan Pixel 6 dapat dibobol hanya bermodalkan SIM Card dalam kurun waktu hanya beberapa menit.
Google sudah melakukan perbaikan 'darurat' terhadap bug ini. Meski begitu, masih ada kemungkinan HP pengguna kena bobol lagi dalam rentang waktu beberapa bulan ke depan.
David Schütz mengatakan temuan ini muncul secara tidak disengaja. Ketika ponsel Pixel 6 miliknya kehabisan baterai, ia salah memasukkan pinnya enam kali. Ia kemudian memasang SIM Card yang sudah dipasang PUK (personal unblocking key).
Setelah membuka kunci PIN SIM dan memasukkan PIN baru untuk SIM-nya, perangkat tidak meminta kata kunci layar, dan hanya meminta sidik jari. Biasanya, ponsel akan meminta memasukkan kata sandi setelah proses reboot.
Schütz kembali bereksperimen, penasaran apakah celah ini bisa dimanfaatkan lebih jauh.
Ternyata ponsel bisa dibobol, tanpa harus memasukkan kata sandi atau sidik jari. Namun kondisi ini harus memenuhi syarat: ponsel harus pernah dibuka oleh pemilik sekali setelah reboot.
Bug ini rentan muncul di smartphone dengan sistem operasi Android 11, 12 hingga 13 yang belum update terbaru.
Jika disalahgunakan, pelaku hanya butuh memegang perangkat (misal curian) dan sebuah SIM. Hanya tinggal memasukkan PIN salah tiga kali dan masukkan SIM dengan nomor PUK. Pelaku bisa membobol perangkat hanya dengan hitungan menit.
Schütz menjelaskan bug ini terjadi karena sistem keamanan ganda yang berjalan di belakang layar. Ketika SIM PUK dibuka, fungsi “terbuka” akan berjalan dua kali: satu oleh komponen yang memantau SUM, dan satu oleh komponen PUK.
Ketika kunci dibuka, singkat kata dua segel terbuka sekaligus, satu SIM, dan satu lagi lock screen.
Schütz telah melapor kepada Google pada Juni 2022. Google menerima laporannya dengan memberi CVE ID CVE-2022-20465, yang ternyata baru diperbarui 7 November 2022 kemarin.
Berkat temuan tak sengaja ini, Schütz menerima ganjaran 70 ribu dolar AS atau sekitar Rp 1 miliar (kurs Rp 15.500).

Related Articles

Stay Connected

0FansSuka
5PengikutMengikuti
0PelangganBerlangganan
- Advertisement -spot_img

Latest Articles