Samsung Tambal Celah Kerentanan di Smartphone Keluaran 6 Tahun Terakhir

, Jakarta - Vendor teknologi Samsung merilis update untuk memperbaiki celah keamanan yang berdampak pada smartphone yang dijual sejak 2014.

Celah keamanan terletak pada perangkat Android Samsung, terutama bagian yang menangani format gambar Qmage khusus (.qmg). Format .qmg dipakai pada smartphone Samsung, terutama yang dirilis sejak akhir 2014.

Peneliti keamanan Google Project Zero, Mateusz Jurczyk, menemukan cara untuk mengetahui bagaimana Skia (graphic library di Android) menangani gambar Qmage yang dikirim ke perangkat.

Mengutip ZDnet, Jumat (15/5/2020), Jurczyk mengatakan, bug Qmage bisa mengekploitasi perangkat meski pengguna tak mengklik apa pun.

Hal ini terjadi karena Android mengarahkan seluruh gambar yang dikirim ke perangkat melalui Skia untuk diproses (misalnya membuat thumbnail preview), tanpa diketahui si pengguna.

Para peneliti pun mengembangkan demo bagaimana bug ini menyerang aplikasi pesan Samsung, terutama yang ada di perangkat Samsung.

2 dari 3 halaman

Demo via MMS

Bodi belakang Samsung Galaxy M31. Dok: Iskandar

Jurczyk mengatakan dirinya mengeksploitasi bug dengan mengirimkan MMS secara berulang ke perangkat Samsung.

Tiap pesan berusaha menebak posisi Skia library di memori perangkat Android guna mem-baypass ASLR pada Android.

Jika Skia library berada di memori, MMS bermuatan Qmage bisa mengeksekusi perangkat. Bahkan, serangan pun tak memberikan notifikasi pada pengguna.

3 dari 3 halaman

Bug Diperbaiki

Peneliti menemukan kerentanan ini pada Februari lalu dan telah meginformasikan pada Samsung. Kemudian, Samsung menambal celah ini melalui update keamanan per Mei 2020.

Bug ini dilacak sebagai SVE-2020-16747 di buletin keamanan Samsung dan CVE-2020-8899 dalam database Mitre CVE.

Smartphone lain tidak berpengaruh. Pasalnya hanya Samsung yang telah memodifikasi OS Android guna mendukung format Qmage yang dikembangkan perusahaan asal Korea, Quramsoft.

(Tin/Ysl)