Android versi 5.x (Lollipop 5.0 - 5.1.1) memiliki sebuah celah kelemahan yang membuat orang tak berhak bisa membobol kunci layar (lockscreen) dan mendapatkan akses penuh, meski pengguna sudah memasang password atau pattern lock.
Serangan tersebut memanfaatkan rangkaian angka atau simbol dalam jumlah besar, dan dimasukkan ke dalam wilayah input password saat ponsel dalam posisi untuk melakukan "emergency call". Proses input ini dilakukan berulang-ulang.
Kemudian, penyerang membuka kamera melalui menu dan menyalin karakter-karakter di atas dalam kolom input password. Hasilnya, kunci layar akan crash dan otomatis membuka home screen.
Jika hal ini sudah tercapai maka penyerang bisa menjalankan aplikasi apapun, bahkan menyalakan akses ke Android Debug Bridge serta mendapatkan seluruh data di ponsel.
Namun, ternyata tak semua ponsel bisa diserang dengan cara ini. Seperti KompasTeknolansir dari laman Texas University, Jumat (18/9/2015), serangan hanya efektif bila penyerang memiliki akses fisik/langsung ke ponsel yang ditarget.
Sebagi pembuktian, diunggah juga sebuah video yang menampilkan proses penjebolan kunci Android itu. Ponsel yang digunakan sebagai contoh adalah Google Nexus 4 dengan sistem operasi Android 5.1.1 build LMY48I.
Kerentanan ini memang sudah diperbaiki Goole pada update Android 5.1.1 build LMY48M untuk Nexus 4, 6, 7, 9, dan 10 pada minggu lalu. Namun seperti diketahui, update terbaru Android baru bisa tersebar luas dalam hitungan bulan bahkan tahun.
Demo pembobolan lockscreen Android 5.x tersebut dapat dilihat dari video di bawah ini:
0 komentar:
Post a Comment