Selasa 30 May 2023 13:45 WIB

Hati-hati, Ada Kerentanan dalam Sistem Autentikasi Sidik Jari Android

Ada alat yang dapat menembus perlindungan sidik jari perangkat Android.

Rep: Noer Qomariah Kusumawardhani / Red: Natalia Endah Hapsari
Ada dua kerentanan yang tidak diketahui di sebagian besar ponsel cerdas. Kerentanan ini terletak di sistem autentikasi sidik jari, dan disebut sebagai kerentanan zero-day.
Foto: Dok istimewa
Ada dua kerentanan yang tidak diketahui di sebagian besar ponsel cerdas. Kerentanan ini terletak di sistem autentikasi sidik jari, dan disebut sebagai kerentanan zero-day.

REPUBLIKA.CO.ID, JAKARTA---Setiap manusia di Bumi memiliki sidik jari yang berbeda. Oleh karena itu, tidak dapat disangkal bahwa pemindai sidik jari pada ponsel pintar harus menjadi salah satu cara paling aman untuk menjaga dari pihak ketiga.

Tetapi pada faktanya, sekarang ada alat yang dapat menembus perlindungan sidik jari perangkat Android. Harga alat tersebut 15 dolar Amerika Serikat (AS) atau sekitar Rp 224.392.

Baca Juga

Dilansir dari Gizchina, Selasa (30/5/2023), penelitian baru oleh Yu Chen dari Tencent dan Yiling He dari Zhejiang University, Cina telah menunjukkan bahwa ada dua kerentanan yang tidak diketahui di sebagian besar ponsel cerdas. Kerentanan ini terletak di sistem autentikasi sidik jari, dan disebut sebagai kerentanan zero-day.

Dengan menggunakan kerentanan ini, penyerang dapat melakukan serangan BrutePrint untuk membuka kunci hampir semua pemindai sidik jari ponsel pintar. Untuk melakukannya, mereka menggunakan papan sirkuit seharga Rp 224.392 yang dilengkapi dengan mikrokontroler, sakelar analog, kartu flash SD, dan konektor board-to-board. Yang dibutuhkan penyerang hanyalah menghabiskan 45 menit dengan ponsel korban dan tentu saja database sidik jari.

Peneliti menguji delapan smartphone Android yang berbeda dan dua iPhone. Ponsel Android termasuk Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 +, OnePlus 5T, Huawei Mate30 Pro 5G dan Huawei P40.

Ponsel iPhone juga termasuk iPhone SE dan iPhone 7. Sebagian besar perlindungan sidik jari ponsel cerdas memiliki jumlah percobaan yang terbatas, tetapi serangan BrutePrint dapat melewati batasan ini.

Autentikator sidik jari tidak memerlukan pencocokan persis antara input dan data sidik jari yang disimpan agar berfungsi. Alih-alih, ia menggunakan ambang batas untuk menentukan apakah input cukup dekat untuk menjadi kecocokan.

Artinya, sistem berbahaya apa pun dapat memanfaatkan dan mencoba mencocokkan data sidik jari yang tersimpan. Yang harus mereka lakukan adalah dapat melewati batas yang ditempatkan pada upaya sidik jari.

Untuk membuka kunci ponsel pintar, yang harus dilakukan para peneliti hanyalah melepas penutup belakang ponsel pintar dan memasang papan sirkuit seharga Rp 224.392. Segera setelah serangan dimulai, hanya dibutuhkan waktu kurang dari satu jam untuk membuka kunci setiap perangkat. Setelah perangkat dibuka kuncinya, mereka juga dapat menggunakannya untuk mengotorisasi pembayaran.

Waktu yang diperlukan untuk membuka kunci setiap ponsel bervariasi di antara model. Sementara Oppo misalnya membutuhkan waktu sekitar 40 menit untuk membuka kunci, Samsung Galaxy S10+ membutuhkan waktu sekitar 73 menit hingga 2,9 jam untuk membuka kunci.

Ponsel pintar Android yang paling sulit dibuka kuncinya adalah Mi 11 Ultra. Menurut para peneliti, butuh waktu sekitar 2,78 hingga 13,89 jam untuk membukanya.

Lalu, bagaimana dengan iPhone? Dalam upaya membuka kunci iPhone, para peneliti tidak dapat mencapai tujuan mereka.

Meski begitu, itu tidak berarti bahwa sidik jari Android kurang aman dibandingkan dengan iPhone. Hal ini terutama karena Apple mengenkripsi data pengguna di iPhone.

Dengan data terenkripsi, serangan BrutePrint tidak dapat mengakses basis data sidik jari di iPhone. Apple juga menggunakan metode biometrik yang diautentikasi seperti FaceID untuk melindungi data pengguna. Karena itu, tidak mungkin bentuk serangan ini dapat membuka kunci sidik jari iPhone.

Advertisement
Berita Lainnya
Advertisement
Advertisement
Advertisement