Apa yang perlu Anda ketahui
- Google menambal masalah keamanan serius untuk perangkat Pixel dengan merilis Pixel Feature Drop bulan Juni minggu lalu.
- Meskipun kelemahan ini memengaruhi lebih banyak perangkat Android, perangkat non-Pixel harus menunggu Android 15.
- Keputusan ini membuat perangkat Android rentan terhadap kelemahan yang telah dieksploitasi secara aktif selama berbulan-bulan.
Pekan lalu, Google akhirnya mengatasi kelemahan keamanan kritis yang telah diperingatkan oleh para peneliti dan pendukung keamanan sejak bulan April. Masalah? Google menyertakan perbaikan dalam Rollback Fitur Piksel bulan Juni, dan ponsel Android lainnya tidak dapat menerima pembaruan. BleepingComputer pertama kali melaporkan patch tersebut, dan tim di GrapheneOS – yang pertama kali melaporkan kerentanan tersebut – mengonfirmasi bahwa perangkat non-Pixel harus menunggu hingga Android 15 mendapatkan perbaikan.
Google menambal 50 kerentanan keamanan dalam pembaruan Android 14 QPR3 untuk Pixel. Namun, ada satu hal yang menonjol karena ini adalah kerentanan zero-day. Artinya, kelemahan tersebut telah dieksploitasi secara aktif sebelum Google menyadarinya. Kerentanan keamanan zero-day adalah yang paling parah, oleh karena itu, Google menyarankan agar semua pengguna Pixel menerapkan pembaruan bulan Juni sesegera mungkin.
IKLAN
GULIR UNTUK MELANJUTKAN KONTEN
Masalah ini telah diperbaiki pada Pixel dengan pembaruan bulan Juni (Android 14 QPR3) dan akan diperbaiki pada perangkat Android lainnya ketika mereka akhirnya memperbarui ke Android 15. Jika mereka tidak memperbarui ke Android 15, mereka mungkin tidak akan mendapatkan perbaikan, karena belum di-backport. Tidak semua patch di-backport.13 Juni 2024
Perusahaan membagikan informasi ini di Buletin Pembaruan Piksel, yang merupakan tempat Google memberikan pembaruan tentang masalah keamanan yang memengaruhi perangkat Pixel atau Android. “Ada indikasi CVE-2024-32896 dapat dieksploitasi secara terbatas dan tepat sasaran,” jelas perusahaan. Menurut GrapheneOS, CVE-2024-32896 yang dieksploitasi secara aktif mengacu pada eksploitasi yang sama yang sebelumnya dilaporkan sebagai CVE-2024-29748. Pengidentifikasi baru mewakili perbaikan eksklusif Pixel yang disertakan dalam pembaruan bulan Juni.
Masalahnya adalah masalah peningkatan hak istimewa (EoP) dengan firmware Android yang disebut Google sebagai “keparahan tinggi” untuk Piksel.
“Hal ini dieksploitasi oleh perusahaan forensik terhadap pengguna dengan aplikasi seperti Wasted dan Sentry yang mencoba menghapus perangkat ketika mendeteksi adanya serangan,” jelas tim GrapheneOS. “Kami mengatasi hal ini sebagai bagian dari pembuatan fitur PIN/kata sandi yang dipaksakan dan melaporkannya ke Google untuk memperbaikinya di Android, yang kini telah selesai.”
Pengembang menambahkan bahwa ada dua masalah inti yang memungkinkan eksploitasi. Yang pertama adalah memori sistem tidak terhapus saat memasuki mode fast boot, yang berarti eksploitasi dapat mengakses memori sistem lama. Masalah terpisah namun terkait yang berpusat pada API admin perangkat Proyek Sumber Terbuka Android yang memerlukan booting ulang untuk memulihkan agar dapat dihapus — meskipun masalah ini telah diperbaiki di Android 14 QPR3.
Masalah pertama sebelumnya telah diperbaiki di Pixels, dan masalah kedua telah diperbaiki di Pixel Feature Drop bulan Juni. Namun, seperti yang telah kami sebutkan, hanya ponsel dan tablet Pixel yang menerima perbaikan. Hal ini terjadi karena cara OEM Android merilis pembaruan dan perbaikan perangkat lunak, dan ini bukan sepenuhnya kesalahan Google.
Mengapa ponsel Android lain tidak dapat memperbaikinya
Mengingat masalah ini dieksploitasi secara aktif dan memiliki tingkat keparahan yang tinggi, Anda mungkin bertanya-tanya mengapa perangkat Android lain tidak mendapatkan perbaikan. Bagaimanapun, Google menyarankan pengguna Pixel untuk memperbarui perangkat mereka sesegera mungkin untuk melindungi diri mereka sendiri. Faktanya adalah Google telah melakukan bagiannya, dan OEM lain harus menerapkan perbaikannya. Perusahaan menyertakan patch tersebut di Android 14 QPR3, dan perangkat apa pun yang menerima pembaruan Android 14 QPR3 akan mendapatkannya.
Perbaikan seperti ini sering kali ditambahkan ke Proyek Sumber Terbuka Android, atau AOSP, yang berfungsi sebagai dasar untuk versi Android lainnya. Sistem operasi seperti One UI Samsung atau OxygenOS OnePlus menggunakan AOSP sebagai basisnya. Masalahnya adalah sistem operasi pihak ketiga biasanya menerapkan pembaruan AOSP setiap tahunnya. Jadi, Samsung kemungkinan akan menggunakan Android 15 versi AOSP sebagai basis untuk One UI 7. Namun, versi Android 15 QPR2 atau Android 15 QPR3 yang akan datang tidak akan memengaruhi perangkat Samsung Galaxy hingga One UI 8.
Dengan kata lain, alasan mengapa perangkat Google Pixel menjadi satu-satunya yang mendapatkan patch ini adalah karena hanya perangkat tersebut yang menerima pembaruan bulanan, triwulanan, dan tahunan. Secara teoritis, perusahaan dapat mengambil perbaikan yang disertakan dalam Android 14 QPR3 dan menerapkannya pada ponsel mereka. Namun, karena OEM lain tidak melakukan pembaruan triwulanan, patch keamanan yang disertakan dalam Android 14 QPR3 tidak akan tersedia di perangkat mereka hingga Android 15.
Beberapa patch keamanan diterapkan ke versi Android yang lebih lama melalui proses yang disebut backporting. Namun, hal ini tidak terjadi pada setiap patch. Google mungkin harus mendukung perbaikan kelemahan keamanan ini, mengingat tingkat keparahan dan status zero-daynya. Namun, hal ini belum tentu menjadi tanggung jawab Google. Selain itu, hanya setengah dari masalah keamanan yang terkait dengan AOSP. Tidak ada yang bisa menyelesaikan masalah pertama yang dijelaskan di atas kecuali masing-masing pabrikan itu sendiri.
Ini adalah contoh terbaru bagaimana memilih ponsel Android dari merek selain Google dapat menempatkan pengguna pada risiko keamanan. Merek lain terlalu lambat merespons kelemahan kritis zero-day dengan melakukan perbaikan, dan ini adalah masalah nyata. Terkadang, kesalahan terletak pada Google dan pihak lain yang merupakan mitra OEM, dan seringkali merupakan kombinasi keduanya. Apapun yang terjadi, penggunalah yang menderita.
window.reliableConsentGiven.then(fungsi(){
!fungsi(f,b,e,v,n,t,s){if(f.fbq)kembali;n=f.fbq=fungsi()
{n.Metode panggilan? n.callMethod.apply(n,argumen):n.queue.push(argumen)}
;jika(!f._fbq)f._fbq=n;
n.push=n;n.loaded=!0;n.version='2.0′;n.queue=();t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)(0);s.parentNode.insertBefore(t,s)}(jendela,
dokumen, 'skrip','
fbq('init', '1765793593738454');
fbq('track', 'Tampilan Halaman');
})
NewsRoom.id
