JawaPos.com - Saat ini fitur pemindai sidik jari atau fingerprint scanner sudah sangat lumrah ditemui di smartphone dari berbagai kelas. Dari yang kelas atas sampai kelas pelajar di harga Rp 1 jutaan, fitur keamanan biometrik ini sudah banyak dimanfaatkan masyarakat.
Sebagai fitur keamanan, jelas tujuan utama pemindai sidik jari di ponsel pintar adalah untuk mengamankan perangkat. Bisa dari kemungkinan dipakai sembarang orang tanpa kehendak yang bersangkutan, atau mungkin saat hilang dicuri. Fitur ini akan menambah repot pelaku kejahatan.
Baca Juga: Binder Ingin Mengulang Memori Manis
Karena setiap manusia di bumi memiliki sidik jari yang berbeda, tidak dapat disangkal bahwa pemindai sidik jari pada ponsel cerdas harus menjadi salah satu cara paling aman untuk menjaga data pribadi dari mata ketiga. Namun sayangnya, sebuah penelitian baru mengungkapkan bahwa sejatinya fitur keamanan ini tak benar-benar aman.
Penelitian baru oleh Yu Chen dari Tencent dan Yiling He dari Universitas Zhejiang, Tiongkok telah menunjukkan bahwa ada dua kerentanan yang tidak diketahui di hampir semua smartphone. Kerentanan ini terletak di sistem otentikasi sidik jari, dan disebut sebagai kerentanan zero-day.
Dengan memanfaatkan kerentanan ini, mereka, para peretas dapat meluncurkan serangan yang disebut serangan BrutePrint untuk membuka kunci hampir semua pemindai sidik jari smartphone.
Untuk mencapai hal ini, mereka menggunakan papan sirkuit seharga USD 15 atau berharga Rp 200 ribuan dengan mikrokontroler, sakelar analog, kartu flash SD, dan konektor board-to-board. Yang dibutuhkan penyerang hanyalah menghabiskan 45 menit dengan ponsel korban dan tentu saja database sidik jari.
Peneliti menguji delapan smartphone Android yang berbeda dan dua iPhone. Ponsel Android termasuk Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 +, OnePlus 5T, Huawei Mate30 Pro 5G dan Huawei P40. IPhone juga termasuk iPhone SE dan iPhone 7.
Semua perlindungan sidik jari ponsel cerdas memiliki jumlah percobaan yang terbatas, tetapi serangan BrutePrint dapat melewati batasan ini. Fakta yang ditemukan adalah autentikator sidik jari tidak memerlukan pencocokan persis antara input dan data sidik jari yang disimpan agar berfungsi.
Alih-alih, ia menggunakan ambang batas untuk menentukan apakah input cukup dekat untuk terjadi kecocokan. Artinya, sistem berbahaya apa pun dapat memanfaatkan dan mencoba mencocokkan data sidik jari yang tersimpan. Yang harus mereka lakukan adalah dapat melewati batas yang ditempatkan pada upaya sidik jari.
Untuk membuka kunci smartphone, yang harus dilakukan para peneliti hanyalah melepas penutup belakang smartphone dan memasang papan sirkuit seharga Rp 200 ribuan tadi. Segera setelah serangan dimulai, peneliti hanya membutuhkan waktu kurang dari satu jam untuk membuka kunci setiap perangkat.
Setelah perangkat dibuka kuncinya, mereka juga dapat menggunakannya untuk mengotorisasi pembayaran. Meski demikian, dilansir via PhoneArena, waktu yang diperlukan untuk membuka kunci setiap ponsel bervariasi dari satu ponsel ke ponsel lainnya.
Sementara Oppo misalnya membutuhkan waktu sekitar 40 menit untuk membuka kunci, Samsung Galaxy S10+ membutuhkan waktu sekitar 73 menit hingga 2,9 jam untuk membuka kunci. Smartphone Android yang paling sulit dibuka kuncinya adalah Mi 11 Ultra. Menurut para peneliti, butuh waktu sekitar 2,78 hingga 13,89 jam untuk membukanya.
iPhone Cukup Aman
Dalam upaya membuka kunci iPhone, para peneliti tidak dapat mencapai tujuan mereka. Ini tidak berarti bahwa sidik jari Android lebih lemah dari pada iPhone. Ini terutama karena Apple mengenkripsi data pengguna di iPhone.
Dengan data terenkripsi, serangan BrutePrint tidak dapat mengakses basis data sidik jari di iPhone. Karena itu, tidak mungkin bentuk serangan ini dapat membuka kunci sidik jari iPhone.
Sebagai pengguna akhir, hanya sedikit yang dapat Anda lakukan selain menggunakan kata sandi dan bentuk perlindungan lainnya. Namun, terserah pengembang Android untuk mengambil tindakan ekstra untuk memastikan keamanan data pengguna.
Mengingat hal ini, para peneliti, Yu Chen dan Yiling membuat beberapa rekomendasi. Mereka menyarankan agar tim pengembangan akan membatasi upaya bypass. Mereka juga mendesak Google untuk mengenkripsi semua data yang dikirim antara pemindai sidik jari dan chipset.
Anda dapat melihat bahwa para peneliti menggunakan smartphone lama untuk apa yang disebut serangan BrutePrint ini. Ini karena smartphone Android modern lebih aman dengan izin aplikasi dan data keamanan aplikasi yang lebih ketat. Kemudian, dilihat dari metode yang digunakan oleh para peneliti tersebut, serangan BrutePrint akan sangat sulit untuk dapat menembus keamanan Android modern.
Security Boulevard juga meyakinkan para pengguna smartphone Android terbaru untuk tidak khawatir.BIni karena serangan BrutePrint mungkin tidak berfungsi pada smartphone Android yang mengikuti standar terbaru Google.