Bobol Android, Pakar Siber Malah Dapat Rp1 Miliar dari Google

Rabu, 16 November 2022 | 18:00:27 WIB

Metroterkini.com - Seorang pakar siber bernama David Schütz menemukan jalan untuk membobol kunci layar ponsel Android yang berujung hadiah Rp1 miliar dari raksasa teknologi Google.

Temuan tersebut tak sengaja Schütz dapatkan pada Google Pixel 6 dan Pixel 5. Dalam temuannya, Schütz menyebut semua orang yang memiliki akses fisik pada dua jenis ponsel tersebut bisa saja membobolnya, meski perangkat dalam keadaan terkunci.

Awalnya, ponsel kehabisan baterai dan dirinya perlu memasukkan PIN untuk membuka ponsel tersebut ketika sudah menyalakannya kembali. Namun, Schütz salah memasukkan PIN sebanyak tiga kali yang membuatnya perlu memulihkan SIM Card yang terkunci dengan kode Personal Unblocking Key atau kode PUK.

Setelah memasukkan kode PUK, ponsel meminta kode PIN baru. Setelahnya, Schütz terkejut melihat ponselnya terbuka tanpa kunci layar atau lock screen.

Lock screen sendiri biasanya otomatis muncul ketika ponsel Android baru dinyalakan, terkecuali penggunanya tidak mengaktifkan lock screen.

Tanpa lock screen, Schütz menemukan ponsel Pixelnya hanya meminta untuk memindai sidik jari.

Schütz lantas melakukan eksperimen lanjutan dan mencoba mengulangi 'kesalahan' tersebut dengan melakukan reboot beberapa kali.

Dilansir dari Bleeping Computer, eksperimen Schütz akhirnya menemukan bahwa pengguna dapat melewati permintaan akses pindai sidik jari juga, dan langsung menuju home screen setelah ponsel direboot.

Kerentanan keamanan ini disebut cukup luas, memengaruhi semua perangkat yang menjalankan Android versi 10, 11, 12, dan 13 yang belum diperbarui ke patch November 2022.

Dengan adanya kerentanan ini, ponsel Android yang dicuri atau hilang dan ditemukan orang lain bisa saja dibuka oleh orang tersebut, meskipun mereka tidak mengetahui password lock screen ponsel tersebut.

Mereka hanya perlu menyematkan kartu SIM baru, nonaktifkan otentikasi biometrik (dengan mencoba membuka kunci sidik jari sebanyak mungkin), masukkan PIN yang salah tiga kali, berikan nomor PUK, dan akhirnya ponsel Android bisa diakses.

Dalam blognya, Schütz menceritakan dirinya mendapat imbalan US$70 ribu atau sekitar Rp1 miliar atas temuan tersebut. Meski demikian, perjalanan Schütz tidak mudah untuk mendapatkan hadiah ini.

Schütz awalnya batal mendapatkan hadiah karena laporan serupa telah masuk ke Google dan laporan Schütz dianggap duplikasi.

Google sendiri mematok hadiah hingga US$100 ribu atau Rp1,5 miliar untuk laporan kerentanan lock screen.

Tiga bulan setelah dia mengirimkan laporan ke Google, Schütz mencoba kembali celah tersebut, dan ternyata Google masih belum menambal celah tersebut. Padahal Google menyebut pihaknya tengah memperbaiki celah tersebut dua bulan setelah Schütz mengirim laporan.

Singkat cerita, Schütz kemudian bertemu beberapa orang Google untuk menjelaskan kerentanan tersebut. Setelah menjelaskan masalah tersebut, Schütz dihubungi oleh tim program hadiah untuk kerentanan (VRP) Google yang memutuskan untuk memberi hadiah US$70 ribu atau Rp1 miliar pada Schütz atas temuannya. [**]

 

Terkini