_new.jpg){kind=small}
Bisnis.com, JAKARTA — Qualcomm, raksasa produsen chip ponsel, merilis pembaruan keamanan penting pada Senin (2/6/2025) untuk menutup serangkaian celah keamanan di puluhan chipset, termasuk tiga zero-day yang menurut perusahaan telah digunakan dalam serangan siber bertarget.
Ketiga celah ini, yang dilaporkan oleh tim keamanan Android Google pada Februari lalu, diberi kode CVE-2025-21479, CVE-2025-21480, dan CVE-2025-27038.
Techcrunch, Rabu (4/6/2025), melaporkan ketiga celah tersebut ditemukan oleh Google Threat Analysis Group (TAG), tim yang dikenal memburu serangan siber yang didukung negara.
Qualcomm menyebutkan, ketiganya “mungkin sedang dieksploitasi secara terbatas dan bertarget,” meski belum ada rincian publik soal siapa pelakunya atau siapa korbannya.
Namun, dalam kasus serupa sebelumnya, celah di chipset Qualcomm pernah dimanfaatkan dalam kampanye spyware komersial dan oleh aparat penegak hukum untuk membobol perangkat.
Rinciannya, dua celah (CVE-2025-21479 dan CVE-2025-21480) merupakan kelemahan otorisasi pada komponen grafis (GPU) Adreno yang dapat menyebabkan korupsi memori. Satu lagi (CVE-2025-27038) adalah bug use-after-free di driver grafis yang juga bisa menyebabkan kerusakan memori, khususnya saat rendering grafis di Chrome. Kedua celah pertama dinilai kritis dengan skor keparahan 8.6/10, sedangkan yang ketiga 7.5/10.
Qualcomm menegaskan patch untuk ketiga celah tersebut sudah dikirim ke para produsen perangkat (OEM) sejak Mei, dengan rekomendasi kuat agar segera diterapkan pada perangkat terdampak menurut laporan Security Week.
Namun, karena sifat ekosistem Android yang terbuka dan terdistribusi, implementasi patch sangat tergantung pada masing-masing produsen. Artinya, banyak perangkat masih akan rentan selama beberapa minggu ke depan hingga pembaruan benar-benar diterapkan.
Google sendiri memastikan bahwa perangkat Pixel tidak terdampak oleh celah ini. Sementara itu, para pengguna Android diimbau untuk selalu memperbarui perangkat mereka dan memantau pengumuman resmi dari produsen masing-masing.
Bleeping Computer menyebut Chipset di perangkat mobile, termasuk GPU Adreno milik Qualcomm, memang menjadi target favorit para peretas dan pengembang exploit zero-day. Alasannya, chip ini memiliki akses luas ke sistem operasi sehingga jika dieksploitasi, penyerang bisa mengakses data sensitif lain di perangkat.
Dalam beberapa bulan terakhir, telah ada sejumlah kasus eksploitasi terhadap chipset Qualcomm, termasuk penggunaan celah zero-day oleh aparat di Serbia untuk membobol perangkat aktivis dan jurnalis menggunakan alat forensik.
.jpg?w=300&h=221)
