Celah keamanan yang bisa berdampak pada hampir setiap ponsel Android berhasil ditemukan tahun lalu. Celah ini memungkinkan penyadap Android mengontrol kamera dan mikrofon dari jarak jauh.
Perusahaan keamanan siber asal Israel melaporkan kerentanan ini berasal dari dekoder audio yang digunakan chip Qualcomm dan MediaTek. Celah keamanan tersebut memungkinkan aktor jahat mengakses kamera dan mikrofon pengguna dan menguping komunikasi mereka.
“Produsen chipset seluler terbesar menggunakan decoder audio rentan keamanan, risiko privasi pun dihadapi dua pertiga ponsel Android di seluruh dunia yang terjual per 2021,” demikian tulis Check Point Research.
Dampaknya luas karena chip buatan keduanya menjadi “otak” bagi hampir 95 persen ponsel Android di Amerika Serikat (AS). Sementara di pasar global Qualcomm dan MediaTek menguasai 63 persen pada kuartal-IV 2021.
Check Point Research baru mengungkapkan kerentanan pada 22 April, tetapi telah menghubungi MediaTek dan Qualcomm sejak tahun lalu. Kedua produsen chip itu pun mengklaim telah menambal kerentanan firmware mereka per Desember 2021.
Kasus seperti ini mengingatkan kembali petuah keamanan pengguna peranti lunak: Jangan lupa perbarui peranti lunak yang Anda gunakan, sebisa mungkin saat versi terbaru tersedia.
Aspek keamanan digital bagian penting dalam literasi digital. Ia menjadi satu kesatuan dalam melek media dan informasi (MIL), konseptualisasi tiga ranah: melek media, literasi informasi, dan literasi digital.
Apa itu dekoder audio?
Peranti yang berisiko adalah format berkas audio versi open source milik Apple (ALAC) yang sudah lama tak diperbarui. Apple pertama menggunakan ALAC untuk iTunes pada 2004.
Di dalamnya mengandung kode dekoder audio, peranti lunak untuk menerjemahkan sinyal elektronik menjadi bunyi. Kecanggihan dekoder membuat suara tetap utuh dengan besaran berkas minimal.
Terobosan ALAC saat itu dianggap revolusioner, karena format lainnya seperti MP3 yang sudah populer sebelumnya, digadang mendegradasi kualitas audio.
Ukuran berkas MP3 jauh lebih kecil untuk konten yang sama dibandingkan format lain seperti WAV. Berkas digital lagu yang dalam versi WAV mencapai 30-100 megabyte, bisa jadi 3-5 megabyte dalam format MP3.
Sayangnya MP3 “menghilangkan” suara-suara tertentu, sehingga disebut format yang lossy. Pendengar kehilangan kualitas utuh suara tetapi mendapat berkas yang lebih ramping.
ALAC hadir dengan ukuran ringkas tapi kompresinya tidak menghilangkan suara-suara tertentu, lazim disebut lossles. Dibandingkan WAV, ukuran berkas ALAC bisa 60 persen lebih ringkas.
Pada 2011 Apple merilisnya sebagai open source. Perusahaan lain pun mengadopsi kode tersebut.
Sementara Apple rutin memperbarui ALAC versi eksklusif miliknya— pembaruan ini tak berlaku pada versi gratisan seperti yang digunakan MediaTek dan Qualcomm.
Apa dampak celah keamanan ALAC?
Celah pada ALAC yang ditemukan oleh peneliti Check Point Research dapat digunakan untuk serangan jarak jauh pada perangkat seluler melalui file audio yang telah direkayasa.
Pelaku dapat mengeksekusi malware hingga mendapatkan kendali atas data multimedia pengguna termasuk pengaliran (streaming) lewat kamera pada ponsel yang disusupi—dari jarak jauh.
Selain itu, aplikasi Android yang tidak memiliki “hak khusus” dapat memanfaatkan celah ini untuk mengubah haknya, dan mendapat akses ke data media dan percakapan pengguna.
Seturut dengan temuan Check Point Research, MediaTek telah mengumumkan perbaikan dengan kode CVE-2021-0674 dan CVE-2021-0675 terhadap masalah ALAC ini pada Desember 2021.
Kerentanan di Qualcomm juga sudah diatasi dengan merilis perbaikan lewat CVE-2021-30351 di Buletin Keamanan Qualcomm per Desember 2021.
Meski begitu, artikel Ars Tehcnica mengingatkan pengguna Android memeriksa apakah perangkat mereka ditambal dengan benar.
Jika level tambalan (patch) menunjukkan “Desember 2021” atau lebih baru, perangkat dinilai aman. Bila tidak, kemungkinan perangkatnya masih mengandung risiko keamanan karena celah ini.
Kerentanan inipun mengundang pertanyaan atas keandalan kode sumber terbuka yang digunakan Qualcomm dan MediaTek, serta metode mereka dalam menjaga keamanannya.
Pertanyaan lain mengemuka tentang kode sumber terbuka lainnya, apa saja yang digunakan oleh pembuat chip yang kemungkinan sudah ketinggalan zaman dan mengandung risiko keamanan serupa.
Apa yang bisa dilakukan?
Blog The Sec Master yang juga mengulas celah ALAC ini merilis kiat bagi pengguna Android mengatasi kerentanan karena peranti lunak.
Tidak spesifik terkait dengan celah yang ditemukan terkait ALAC, tetapi bermanfaat untuk mengatasi celah keamanan yang bisa muncul setiap saat.
Berikut kiat-kiat yang disarankannya:
- Instal aplikasi keamanan terkemuka: Ada banyak aplikasi keamanan yang tersedia di Google Play Store yang dapat membantu Anda melindungi perangkat Anda dari malware dan ancaman lainnya. Cari aplikasi yang menawarkan fitur seperti pemindaian virus, perlindungan waktu nyata, dan penguncian atau penghapusan jarak jauh jika perangkat Anda hilang atau dicuri.
- Perbarui perangkat lunak Anda: Menjaga sistem operasi dan aplikasi Android Anda tetap mutakhir penting demi keamanan karena membantu memperbaiki kerentanan yang diketahui yang dapat dieksploitasi oleh peretas. Untuk memeriksa pembaruan, buka Pengaturan > Tentang Ponsel > Pembaruan Sistem.
- Berhati-hatilah saat mengunduh aplikasi: Hanya unduh aplikasi dari sumber tepercaya seperti Google Play Store. Pastikan untuk membaca ulasan dan memeriksa izin akses aplikasi sebelum menginstal aplikasi apa pun, terutama jika itu dari toko atau situs web pihak ketiga.
- Jangan klik tautan dalam email atau teks yang mencurigakan: Tautan berbahaya sering kali dapat ditemukan dalam email dan teks yang tidak diminta dari pengirim yang tidak dikenal. Jika Anda menerima pesan dengan tautan dari seseorang yang tidak Anda kenal, jangan klik itu.
- Hindari mengakses Wi-Fi publik: Jaringan Wi-Fi publik sering kali tidak aman, artinya siapa pun di jaringan yang sama berpotensi mencegat data yang Anda kirim atau terima. Jika Anda perlu menggunakan Wi-Fi publik, pastikan untuk terhubung ke VPN terlebih dahulu.
- Cadangkan data Anda: Jika perangkat Anda hilang atau dicuri, penting untuk memiliki cadangan data Anda. Anda dapat mencadangkan data Anda ke cloud atau ke hard drive eksternal.
- Gunakan browser yang aman: Saat menjelajahi web di perangkat Android Anda, pastikan untuk menggunakan browser aman yang menawarkan fitur seperti mode penyamaran dan perlindungan keamanan bawaan. Beberapa browser aman yang populer termasuk Firefox Focus, Chrome Incognito Mode, atau Brave.
*Photo by Torsten Dettlaff