Menakar Fungsi Keamanan Fingerprint di Ponsel Android

2023-05-30T06:27:10.000Z

Penulis:Yunike Purnama

Editor:Redaksi

Ilustrasi fingerprint
Ilustrasi fingerprint

BANDARLAMPUNG - Anda bisa menemukan scanner fingerprint di tiga lokasi berbeda dari setiap ponsel Android. Ada yang di belakang ponsel, di samping atau di bawah layar. Terlepas dari lokasinya, fingerprint memiliki satu tujuan utama, yaitu keamanan.

Seperti yang Anda ketahui, setiap manusia di bumi ini memiliki sidik jari yang berbeda. Oleh karena itu, tidak dapat dipungkiri bahwa scanner fingerprint pada smartphone harus menjadi salah satu fitur yang paling aman untuk menjaga data pribadi pengguna.

Lalu, benarkan scanner fingerprint pada smartphone memberikan layanan keamanan yang terbaik?

Seperti yang dilansir dari laman iTechPost dan Gizchina, ternyata baru-baru ini ada alat baru yang dapat menembus perlindungan sidik jari dari perangkat Android bahkan tidak membutuhkan biaya yang mahal. Alat tersebut hanya senilai US$15 atau sekitar Rp224.665 saja.

Hal ini diketahui setelah terdapat penelitian baru oleh Yu Chen dari Tencent dan Yiling He dari Universitas Zhejiang menunjukkan bahwa ada dua kerentanan yang tidak diketahui di hampir semua smartphone. Kerentanan ini terletak di sistem otentikasi sidik jari. Dengan memanfaatkan kerentanan ini, penjahat dapat meluncurkan serangan yang disebut serangan BrutePrint untuk membuka kunci hampir semua scanner fingerprint smartphone.

Peneliti menguji delapan smartphone Android yang berbeda (Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 +, OnePlus 5T, Huawei Mate30 Pro 5G dan Huawei P40) dan dua iPhone (iPhone SE dan iPhone 7).

Hasilnya, semua perlindungan sidik jari ponsel cerdas memiliki jumlah percobaan yang terbatas, tetapi serangan BrutePrint dapat melewati batasan ini. Pada kenyataannya, autentikator sidik jari tidak memerlukan pencocokan persis antara input dan data sidik jari yang disimpan agar berfungsi. Autentikator sidik jari menggunakan ambang batas untuk menentukan apakah input cukup dekat untuk menjadi kecocokan.

Artinya, sistem berbahaya apa pun dapat memanfaatkan dan mencoba mencocokkan data sidik jari yang tersimpan. Oleh karena itu yang harus dilakukan peretas adalah dapat melewati batas yang ditempatkan pada upaya sidik jari.

Untuk membuka kunci smartphone, yang harus dilakukan para peneliti hanyalah melepas penutup belakang smartphone dan memasang papan sirkuit seharga $15 tersebut. Segera setelah serangan dimulai, hanya dibutuhkan waktu kurang dari satu jam untuk membuka kunci setiap perangkat. Setelah perangkat dibuka kuncinya, mereka juga dapat menggunakannya untuk mengotorisasi pembayaran.

Waktu yang diperlukan untuk membuka kunci setiap ponsel bervariasi dari satu ponsel ke ponsel lainnya. Untuk ponsel Oppo misalnya membutuhkan waktu sekitar 40 menit untuk membuka kunci, Samsung Galaxy S10+ membutuhkan waktu sekitar 73 menit hingga 2,9 jam untuk membuka kunci. Smartphone Android yang paling sulit dibuka kuncinya adalah Mi 11 Ultra. Menurut para peneliti, butuh waktu sekitar 2,78 hingga 13,89 jam untuk membukanya.

Dalam upaya membuka kunci iPhone, para peneliti tidak dapat mencapai tujuan mereka atau tidak mampu membukanya. Namun hal ini tidak berarti bahwa sidik jari Android lebih lemah daripada iPhone. Hal tersebut terutama karena Apple mengenkripsi data pengguna di iPhone. Dengan data terenkripsi, serangan BrutePrint tidak dapat mengakses basis data sidik jari di iPhone. Karena itu, tidak mungkin bentuk serangan ini dapat membuka kunci sidik jari iPhone.

Meski begitu, Anda dapat melihat bahwa para peneliti menggunakan smartphone lama untuk apa yang disebut serangan BrutePrint ini. Ini karena smartphone Android modern lebih aman dengan izin aplikasi dan data keamanan aplikasi yang lebih ketat. Dilihat dari metode yang digunakan oleh para peneliti tersebut, serangan BrutePrint akan sangat sulit untuk dapat menembus keamanan Android modern.

Security Boulevard juga meyakinkan para pengguna smartphone Android terbaru untuk tidak khawatir. Ini karena serangan BrutePrint mungkin tidak berfungsi pada smartphone Android yang mengikuti standar terbaru Google. (*)