Ternyata Fingerprint Android Lebih Mudah Dibobol Ketimbang iPhone
FINGERPRINT atau sidik jari memang sangat umum digunakan sebagai sistem keamanan sebuah smartphone. Fingerprint pun lebih sering digunakan lantaran lebih praktis ketimbang harus memasukkan pin atau pola.
Meski dirancang dengan sistem keamanan yang cukup baik, nyatanya kunci sidik jari ini bisa dibobol hanya dalam waktu singkat. Baru-baru ini peneliti asal China telah menemukan cara untuk menerobosnya dengan menggunakan serangan brute force.
Para peneliti dari Tencent Labs dan Universitas Zhejiang membuktikan bahwa ponsel Android rentan untuk dibobol meskipun sudah menerapkan sistem sidik jari. Serangan brute force adalah ketika sejumlah besar upaya dilakukan untuk menemukan kata sandi, kode, atau bentuk perlindungan kemanan lain.
Setiap ponsel Android biasanya punya pengamanan khusus untuk menghindari serangan brute force. Misalnya dengan cara membatasi jumlah upaya yang dapat dilakukan serta deteksi apakah jika peran orang di baliknya.
Namun hal ini tampaknya belum cukup. Para peneliti mampu melewatinya dengan menggunakan dua kerentanan zero-day yang disebut Cancel After Match Fail (CAMF) dan Match After Lock (MAL).
Laporan Bleeping Computer juga menegaskan bahwa data biometrik pada Serial Peripheral Interface (SPI) sensor sidik jari tidak punya perlindungan komprehensif. Hal ini memungkinkan serangan man-in-the-middle (MITM) untuk mencuri sidik jari.
Mereka pun menguji 10 model ponsel populer dengan serangan yang disebut BrutePrint. Para peneliti bisa melakukan upaya masuk sidik jari dalam jumlah yang tak terbatas pada ponsel Android dan Huawei yang menjalankan HarmonyOS.
Sementara untuk perangkat iOS dengan model iPhone SE dan iPhone 7 upaya tambahan peneliti tidak mampu untuk melakukan serangan brute force. Dari hasil uji coba disimpulkan perangkat Android lebih rentan terhadap serangan SPI MITM, tapi tidak untuk perangkat iPhone.
Hasil analisis juga menunjukkan bahwa BrutePrint dapat membobol perangkat yang punya satu sidik jari hanya dalam 2,9 hingga 13,9 jam saja.
Sementara untuk ponsel yang punya dua sidik jari atau lebih akan lebih mudah karena peluang menemukan kecocokannya lebih tinggi. Waktunya hanya sekitar 0,66 jam hingga 2,78 jam.
Meski terkesan berbahaya, namun nyatanya serangan ini tidak mudah untuk dilakukan. Pelaku tidak hanya butuh akses fisik ke ponsel target, tapi juga perlu akses ke basis data sidik jari.
(Martin Bagya Kertiyasa)
