[PR] Kenali Bug Berbahaya di Ponsel Android dari “Dirty USSD Code”

Beberapa waktu lalu  David Sancho, Senior Threat Researcher, dari Trend Micro, cloud security provider, telah mendeteksi adanya teknik penyerangan ke ponsel Android dengan memanfaatkan celah dari penggunaan USSD Code dengan kelebihan URL dan QR Code. Bug ini cukup berbahaya karena dapat menghapus seluruh data di ponsel anda tanpa disadari. Sebenarnya bug ini adalah menjalankan perintah factory reset tanpa otorisasi dan bahkan diketahui oleh penggunanya.

Hal inilah yang akhirnya membuat Samsung mengumumkan bahwa isu permasalahan yang terjadi pada Galaxy S III sudah diperbaiki dan menghimbau pelanggan mereka untuk segera melakuan update pada peranti masing-masing. Di lain pihak, kesigapan pihak Samsung dalam menanggapi permasalah ini, menuai pujian, karena memberikan pernyataan bawa terjadi permasalah dalam melakukan update pada Android sehingga mengakibatkan ketidaknyamanan  pada sistem keamanan untuk penggunanya.

Hal ini sebenarnya sepele, namun kenyataannya sangat sulit meningkatkan pembaharuan pada perangkat Android, karena melibatkan tiga pihak: Google, produsen telepon, dan pengguna. Android Update Alliance (penggagas dari Google dan Android Partner) pada teorinya harus memastikan bahwa ponsel dan tablet Android mendapatkan update setidaknya 18 bulan setelah perangkat tersebut diluncurkan.

Trend Micro melihat, bahwa pada kenyataannya kondisi yang terjadi sangatlah bervariasi misalnya, beberapa pengguna dan manufaktur terkenal lambat melakukan update. Sementara beberapa perangkat lainnya—perangkat untuk segmentasi kelas bawah, seringkali terabaikan dan jarang diperbaharui. Maka dari itu, “Fragmentasi” bukan saja persoalan bagi developer/pengembang aplikasi namun juga mengarahkan pada permasalahan risiko kemananan.

Berkaitan dengan permasalahan yang terjadi. Dua fitur berikut (calling a phone number via the tel:// protocol, and the ability to wipe a phone via a USSD code) yang menggambarkan cara yang  berlawanan dan tidak menguntungkan. Melihat sumber riwayat kode Android, permasalahan tersebut telah diperbaiki kurang lebih 3 bulan yang lalu oleh seseorang yang bekerja di Google. Lalu bagaimana dengan telepon yang menggunakan versi Android lama seperti Gingerbread (Android 2.3)?  Hal ini, terakhir diperbaharui pada September 2011, dan sampai saat ini belum terdaftar di lebih dari setengah perangkat Android yang digunakan hingga saat ini. Beberapa dari perangkat tersebut dinilai rentan untuk alasan tertentu (seperti dibuat sesuai pesanan oleh dealer) dan masih banyak pengguna lainnya yang berisiko.

Permasalahannya yang berbahaya ini tidak berdampak pada kerentanan. Ada cara lain untuk meminimalisasi hal yang menyimpang tersebut  dari patch Android. (Seperti: mengabaikan tel:// dan protokol lainnya yang akan menjadi alternatif untuk mengamankan pengguna dari ancaman ini dan fitur lainnya mencari cara yang sempurna untuk mengatasinya)

Bahaya yang sebenarnya saat Android terkena widespread zero-day, execute-arbitrary-code vulnerability – hampir sama dengan hit Internet Explorer dan Java di September. Pengguna akan dihadapkan pada dua pilihan alternatif yang sulit: seperti rentannya risiko penggunaan device (jika perah) atau mengeluarkan uang untuk perangkat baru yang lebih aman. Secara

Saat ini Google perlu menemukan cara untuk memastikan bahwa pembaharuan sistim keamanan dapat digunakan di banyak perangkat Android secara tepat. Hal ini terdengar mudah, namun kenyataannya sulit: hal ini melibatkan koordinasi antara produsen perangkat dan penyalur. Proses reka ulang pembuatan Android sendiri  mungkin sangat diperlukan, cepat atau lambat,  pengguna akan berharap bahwa memperbaiki perangkat Android adalah hal yang mudah. Sebaiknya permasalahan ini diselesaikan secepatnya sebelum terjadi threat yang signifikan hingga mengarah masalah yang serius bagi jutaan pengguna di seluruh dunia.