Bisnis.com, SOLO - Peneliti Tencent Labs, Yu Chen, dan rekannya dari Universitas Zheijiang, Yiling He, menemukan celah keamanan dalam pemindai sidik jari (fingerprint) di Android.
Pemindai sidik jari alias fingerprint menjadi fitur keamanan yang digunakan dalam berbagai jenis smartphone keluaran terbaru.
Sistem pemindai sidik jari ini dinilai lebih terjamin keamanannya dibandingkan dengan menggunakan pola atau nomor PIN.
Akan tetapi, laporan terbaru dari peneliti China menunjukkan masih ada celah keamanan yang berisiko dibobol oleh peretas (hacker) melalui sistem fingerprint.
Peneliti menemukan bahwa pemindai sidik jari di smartphone memiliki dua celah keamanan zero-day (zero-day vulnerability) atau celah yang tidak diketahui oleh pengembang perangkat lunak. Celah tersebut terletak di sistem autentikasi sidik jari.
Celah ini ditemukan di banyak smartphone yang beredar di pasar. Celah tersebut dapat disalahgunakan oleh hacker untuk membobol keamanan autentikasi sidik jari.
Serangan hacker melalui pemindai sidik jari dinamai "BrutePrint". Menurut riset, hacker hanya membutuhkan circuitboard seharga US$15 (Rp224.325) beserta mikrokontroler, sakelar analog, kartu flash SD, konektor board-to-board, dan basis data sidik jari untuk melakukan serangan siber itu.
Peretas bisa membobol sistem keamanan sidik jari hanya dengan memegang smartphone korban selama 45 menit.
Kedua peneliti itu juga mendemonstrasikan cara kerja "Brute Print" yakni dengan melepas tutup belakang smartphone dan memasang circuit board yang memiliki data sidik jari.
Circuit board itu nantinya akan mengirim gambar sidik jari dalam jumlah sangat banyak, ke perangkat yang akan diretas.
Gambar sidik jari akan terus dikirim hingga cocok dengan milik korban untuk membuka perangkat tersebut.
Sistem pemindai sidik jari hanya menggunakan ambang referensi (reference threshold) tanpa harus memakai sidik jari yang asli.
Percobaan ini bisa dilakukan berkali-kali hingga smartphone melewati batas percobaan memasukkan sidik jari.
Setelah peretas bisa membuka gawai, kejahatan siber seperti scam atau fraud dapat mengintai para korbannya.
Dari laporan peneliti, satu ponsel bisa dibuka dalam waktu 40 menit, 73 menit, bahkan 13,89 jam. Penelitian ini dilakukan di 8 smartphone Android dari berbagai merek, iPhone SE, dan iPhone 7.
Sistem keamanan di iPhone tak bisa dibobol dengan cara ini karena Apple mengenkripsi data penggunanya. Sementara di ponsel Android hal itu tidak dilakukan.
Situs lain menyebutkan bahwa serangan siber ini hanya bisa dilakukan di perangkat Android model lawas.
Peneliti menyebut, jika ponsel keluaran anyar mengikuti sertifikat keamanan terbaru dari Google, aspek keamanannya lebih terjamin.
Android juga mengembangkan sistem keamanan lain dengan pengenalan wajah alias face recognition sebagai metode yang lebih aman.