Celah Keamanan di Browser Bawaan Android Ditemukan

Seorang peneliti keamanan cyber belum lama ini menemukan celah keamanan pada browser bawaan (stock app) perangkat Android yang memungkinkan hacker dapat memanipulasi alamat URL di address bar.

Celah keamanan ini ditemukan oleh Rafay Baloch. Ia menciptakan sebuah program eksploitasi peretasan uji coba untuk menyerang kelemahan browser bawaan Android tersebut. Hasilnya, Ia berhasil menampilkan sebuah halaman login akun palsu yang tidak disadari oleh korbannya. Itu lantaran korban melihat alamat URL-nya bertuliskan www.google.com, lengkap dengan embel-embel “https”, yang sebenarnya hanya manipulasi.

“Seorang penyerang (hacker) dapat menggunakan celah ini untuk meyakinkan korban pishing dari email, teks, atau link untuk memasukkan identitas pribadi ke halaman web yang dikendalikan oleh penyerang tersebut.” kata Tod Beardsley, seorang manajer riset keamanan di Rapid7, perusahaan yang membantu Baloch mengeksplorasi lebih lanjut atas celah tersebut.

Awalnya, Baloch menemukan cacat keamanan ini pada Android 5.0 Lollipop di mana Chrome telah menjadi browser bawaan perangkat Android sejak versi 4.4 KitKat. Namun kemudian, masalah ini juga ditemukan pada browser bawaan di versi Android yang lebih tua atau di bawah Lollipop.

Pihak Google sendiri sudah memberikan update patch keamanan untuk browser Chrome di perangkat Android Lollipop. Namun di sisi lain, Chrome untuk KitKat belum mendapatkan update patch. Ia menyarankan pengguna Android lawas untuk sementara waktu, tidak menggunakan Chrome. Atau setidaknya, hingga Google dan pihak vendor smartphone memberikan update OS ke versi 5.0.

“Pengguna disarankan untuk menghindari penggunaan browser Chrome saat melakukan otentifikasi, terutama saat mengunjungi link dari sumber tak terpercaya atau diverifikasi hingga patch tersedia (untuk masing-masing versi OS).” ujarnya yang menambahkan, masalah ini sudah dilaporkan ke pihak Google.