Chip Snapdragon disinyalir memiliki celah keamanan. Menurut hasil riset, satu miliar atau lebih perangkat Android rentan akan terjadinya peretasan yang dapat mengubahnya menjadi alat mata-mata dengan mengeksploitasi lebih dari 400 kerentanan dalam chip Qualcomm Snapdragon.
Celah kerentanan tersebut dapat dimanfaatkan saat target mengunduh video atau konten lain yang dirender oleh chip. Target juga dapat diserang lewat instalasi aplikasi berbahaya yang tidak memerlukan izin sama sekali.
Dari sanalah, penyerang dapat memantau lokasi dan mendengarkan audio terdekat secara real time dan mengekstrak foto dan video. Eksploit juga memungkinkan untuk membuat ponsel benar-benar tidak responsif. Infeksi dapat disembunyikan dari sistem operasi dengan cara yang menyulitkan proses disinfeksi.
Sebagai SoC, chip Snapdragon menyediakan sejumlah komponen, seperti CPU dan pengolah grafis. Salah satu fungsinya yang dikenal sebagai DSP (digital signal processing), menangani berbagai tugas, termasuk kemampuan pengisian daya serta video, audio, augmented reality, dan fungsi multimedia lainnya. Pembesut ponsel juga dapat menggunakan DSP untuk menjalankan aplikasi khusus yang mengantifkan fitur khusus.
“Meskipun chip DSP memberikan solusi yang relative ekonomis yang memungkinkan ponsel menyediakan fungsionalitas yang lebih banyak kepada end user dengan mengaktifkan fitur-fitur inovatif – (tetapi) mereka membutuhkan biaya,” kata seorang peneliti dari Check Point seperti dilansir ArsTechnica.
“Chip ini memperkenalkan permukaan serangan baru dan titik lemah pada perangkat seluler. Chip DSP jauh lebih rentan terhadap risiko karena dikelola sebagai ‘Black Boxes’ karena dapat menjadi sangat rumit bagi siapa pun selain pabrikan untuk meninjau desain, fungsionalitas, atau kode mereka,” lanjut peneliti tadi.
Qualcomm sendiri disebut telah merilis perbaikan untuk kekurangannya, tetapi sejauh ini belum dimasukkan ke dalam OS Android atau perangkat Andriod apa pun yang menggunakan Snapdragon.
“Ketika saya tanya kapan Google menambahkan patch Qualcomm, juru bicara perusahaan emngatakan untuk mengecek dengan Qualcomm. Pembuat chip tidak menanggapi email yang ditanyakan,” tulis ArsTechnica.
Check Point menahan detail teknis soal kerentanan dan bagaimana mereka dapat dieksploitasi hingga perbaikan masuk ke perangkat pengguna akhir. Check Point menjulukinya sebagai kerentanan Achilles. Lebih dari 400 bug berbeda dilacak sebagai CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208, dan CVE-2020-11209.
Dalam sebuah pernyataan resmi, Qualcomm mengatakan “Mengenai kerentanan Qualcomm Compute DSP yang diungkap Check Point, kami bekerja dengan giat untuk memvalidasi masalah dan menyediakan mitigasi yang sesuai untuk OEM. Kami tidak memiliki bukti bahwa ini sedang diekspoloitasi. Kami mendorong pengguna aktif untuk meperbarui perangkat mereka saat patch tersedia dan hanya menginstal aplikasi dari lokasi terpercaya seperti Google Play Store.”
Check Point mengatakan Snapdragon dibenamkan ke dalam sekitar 40 persen ponsel di seluruh dunia. Dengan estimasi jumlah perangkat Android sebanyak 3 miliar, itu berarti lebih dari satu miliar ponsel (menggunakan Snapdragon). Di pasar Amerika Serikat, chip Snapdragon bahkan tertanam di sekitar 90 persen perangkat. (Fauzi)
