Bermodal Alat Murah, Peneliti Temukan Celah Keamanan Fingerprint HP Android

Hitekno.com - Temuan terbaru dalam penelitian oleh Yu Chen dari Tencent dan Yiling He dari Universitas Zhejiang mengungkapkan adanya kerentanan yang tidak diketahui pada sebagian besar smartphone. Kerentanan ini terletak pada sistem otentikasi sidik jari yang dikenal sebagai kerentanan zero-day.

Dengan memanfaatkan celah keamanan ini, penyerang dapat melancarkan serangan BrutePrint untuk membuka hampir semua pemindai sidik jari pada smartphone.

Dilansir dari Gizchina, dalam penelitian mereka, para peneliti menggunakan sebuah papan sirkuit senilai $15 yang dilengkapi dengan mikrokontroler, saklar analog, kartu flash SD, dan konektor papan ke papan.

Yang diperlukan oleh penyerang hanyalah waktu selama 45 menit bersama ponsel korban dan tentunya, basis data sidik jari.

Delapan smartphone Android berbeda dan dua iPhone diuji dalam penelitian ini.

Smartphone Android yang diuji antara lain Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G, dan Huawei P40.

Sedangkan iPhone yang diuji adalah iPhone SE dan iPhone 7.

Meskipun sebagian besar perlindungan sidik jari pada smartphone memiliki jumlah percobaan yang dibatasi, serangan BrutePrint dapat menghindari batas tersebut.

Pemindai sidik jari tidak perlu kecocokan yang persis antara input dan data sidik jari yang tersimpan. Sebaliknya, pemindai sidik jari menggunakan ambang batas untuk menentukan apakah input cukup dekat untuk dianggap cocok.

Hal ini memungkinkan sistem jahat untuk mencoba mencocokkan data sidik jari yang tersimpan dengan melampaui batasan percobaan sidik jari yang ditetapkan.

Untuk membuka kunci smartphone, para peneliti hanya perlu melepas penutup belakang dan memasang papan sirkuit senilai $15 (200 ribu rupiah lebih). Setelah serangan dilakukan, proses membuka kunci setiap perangkat hanya membutuhkan waktu kurang dari satu jam.

Setelah berhasil membuka perangkat, penyerang juga dapat menggunakan smartphone tersebut untuk mengotorisasi pembayaran.

Waktu yang dibutuhkan untuk membuka setiap ponsel bervariasi tergantung pada modelnya. Misalnya, Oppo membutuhkan sekitar 40 menit untuk dibuka, sedangkan Samsung Galaxy S10+ membutuhkan waktu antara 73 menit hingga 2,9 jam.

Ponsel Android yang paling sulit untuk dibuka adalah Mi 11 Ultra, dengan waktu yang dibutuhkan sekitar 2,78 hingga 13,89 jam.

Namun, upaya membuka kunci iPhone tidak berhasil dilakukan oleh para peneliti. Hal ini tidak berarti bahwa sidik jari Android kurang aman dibandingkan dengan iPhone. Terutama karena Apple mengenkripsi data pengguna di iPhone.

Dengan adanya enkripsi data, serangan BrutePrint tidak dapat mengakses basis data sidik jari pada iPhone. Apple juga menggunakan metode otentikasi biometrik seperti FaceID untuk melindungi data pengguna. Oleh karena itu, serangan semacam ini tidak akan mampu membuka kunci sidik jari pada iPhone.