JAKARTA—Setiap orang memiliki sidik jari yang berbeda. Oleh karena itu, penggunaan fitur pemindaian sidik jari untuk mengunci ponsel dinilai sebagai cara yang paling aman untuk mengamankan data pribadi. Akan tetapi, kenyataannya ternyata tidak selalu demikian untuk ponsel Android.
Dalam kondisi normal, fitur pemindaian sidik jari sebenarnya dapat memberikan perlindungan yang optimal. Sidik jari yang tidak terdaftar tak akan bisa membuka ponsel pintar Android yang terkunci dengan fitur pemindaian sidik jari.
Akan tetapi, fitur pemindaian sidik jari tak benar-benar membuat ponsel pintar Android aman dari serangan peretas. Menurut studi terbaru yang dilakukan oleh Yu Chen dari Tencent dan Yiling He dari Zhejiang University, seperti dilansir GizChina, Senin (5/3/2023), sebuah alat sederhana bisa menerobos masuk ke dalam ponsel pintar Android yang dikunci dengan fitur pemindaian sidik jari.
Percobaan ini dilakukan karena Chen dan He menyadari adanya celah keamanan pada fitur pemindaian sidik jari. Proses autentikasi sidik jari pada ponsel pintar tak benar-benar membutuhkan kecocokan 100 persen, antara sidik jari yang dipindai dengan data sidik jari yang tersimpan di dalam ponsel.
Fitur keamanan ini biasanya menggunakan suatu threshold untuk menentukan apakah sidik jari yang dipindai cukup mirip dengan data sidik jari yang tersimpan di dalam ponsel. Celah ini memungkinkan Chen dan He untuk membuka ponsel pintar yang terkunci dengan fitur sidik jari bila mereka mampu melampaui batasan percobaan memindai sidik jari yang ada pada ponsel pintar.
Untuk melakukan hal ini, Chen dan He hanya perlu menggunakan sebuah circuit board seharga 15 dolar AS atau sekitar Rp 223,2 ribu. Circuit board yang digunakan oleh Chen dan He dilengkapi dengan pengontrol mikro, analog switch, SD flash card, dan konektor board to board. Dengan perangkat ini, Chen dan He melakukan serangan BrutePrint untuk membuka ponsel yang terkunci dengan fitur pemindaian sidik jari.
Dalam percobaan yang mereka lakukan, Chen dan He menggunakan beberapa ponsel pintar Android dan iOS. Ponsel pintar Andorid yang digunakan adalah Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G, dan Huawei P40. Sedangkan ponsel pintar iOS yang digunakan adalah iPhone SE dan iPhone 7.
Hasil percobaan ini menunjukkan bahwa serangan BrutePrint memungkinkan Chen dan He untuk memindai sidik jari melebihi batasan percobaan yang diatur pada ponsel pintar. Total waktu yang dibutuhkan oleh Chen dan He untuk meretas ponsel pintar Android adalah sekitar 40 menit hingga 13 jam.
Ponsel pintar yang bisa diretas hanya dalam waktu 40 menit adalah Oppo Reno Ace. Sedangkan untuk Samsung Galaxy S10+, Chen dan Ho membutuhkan waktu sekitar 73 menit hingga 2,9 jam. Ponsel pintar Android yang paling sulit untuk dibuka adalah Mi 11 Ultra. Untuk membuka ponsel ini, Chen dan He membutuhkan waktu sekitar 2,78-13,89 jam.
Bila peretasan berhasil, bukan hanya data pribadi pemilik ponsel saja yang bisa dicuri oleh peretas. Peretas juga dapat melakukan beragam transaksi pembayaran dengan memanfaatkan fitur pemindaian sidik jari melalui ponsel tersebut.
Selama percobaan berlangsung, hanya ponsel iPhone saja yang tak berhasil diretas oleh Chen dan He. Namun, bukan berarti fitur sidik jari Android tidak seaman fitur sidik jari pada iPhone. Chen dan He sulit menerobos masuk ke ponsel iPhone karena Apple mengenkripsi data pengguna dalam ponsel iPhone. Dengan data yang terenkripsi, serangan BrutePrint tak bisa mengakses database sidik jari pada iPhone.
Apple juga menggunakan metode autentikasi biometrik seperti FaceID untuk melindungi data pengguna. Hal ini tak memberikan celah bagi Chen dan He untuk membuka ponsel iPhone yang terkunci dengan sidik jari.
Salah satu langkah paling sederhana yang bisa dilakukan oleh pengguna ponsel Android adalah dengan mengganti fitur sidik jari dengan bentuk perlindungan lain. Salah satunya adalah menggunakan password atau kata sandi.
Di sisi lain, Chen dan He menilai para produsen ponsel Android perlu melakukan upaya lebih untuk memastikan keamanan data pengguna. Sebagai contoh, Google dapat mengimplementasikan enkripsi untuk semua data pengguna.
