Ekosistem Android sangat rusak ketika datang ke keamanan, dan produsen perangkat (lebih dikenal sebagai OEM) membuatnya lebih buruk dengan tidak menyediakan patch kritis pada waktunya.
Menurut sebuah studi baru, sebagian besar vendor Android berbohong kepada pengguna tentang pembaruan keamanan dan memberi tahu pelanggan bahwa ponsel cerdas mereka menjalankan pembaruan terbaru.
Dengan kata lain, sebagian besar produsen ponsel pintar termasuk pemain besar seperti Samsung, Xiaomi, OnePlus, Sony, HTC, LG, dan Huawei tidak memberikan pelanggannya setiap patch keamanan penting yang seharusnya mereka lakukan, sebuah studi oleh Karsten Nohl dan Jakob Lell dari Security Research Labs (SRL) mengungkapkan.
Nohl dan Lell memeriksa firmware dari 1.200 smartphone dari selusin vendor, untuk setiap patch Android yang dirilis tahun lalu, dan menemukan bahwa banyak perangkat memiliki “celah,” meninggalkan bagian ekosistem Android yang bisa terkena peretasan.
“Kadang-kadang orang-orang ini hanya mengubah tanggal tanpa memasang patch. Mungkin karena alasan pemasaran, mereka hanya mengatur tingkat patch ke tanggal dengan seenaknya, apa pun yang terlihat terbaik,” kata Nohl dalam sebuah wawancara dengan Wired.
Google merilis patch keamanan setiap bulan untuk menjaga ekosistem Androidnya aman dan terlindung dari risiko yang mendasarinya, tetapi karena setiap produsen dan operator seluler memodifikasi sistem operasi untuk membuat ponsel cerdas mereka unik, mereka sering gagal menerapkan semua patch tersebut tepat waktu.
Periset SRL menyelidiki smartphone yang seharusnya menerima dan menginstal pembaruan Android terbaru dan merilis perincian berikut dari temuan mereka:
Secara khusus, hasil di atas berfokus pada patch keamanan untuk kerentanan keparahan Kritis dan Tinggi yang dirilis pada tahun 2017.
Seperti yang ditunjukkan di atas, Google, Samsung, Wiko Mobile, dan Sony masih bagus dalam memasang patch, tetapi yang lainnya, khususnya vendor Cina seperti Xiaomi dan OnePlus lebih buruk dalam melindungi pelanggan mereka dari celah keamanan terbaru.
Untuk mengatasi masalah kesenjangan patch, Google telah meluncurkan proyek, dijuluki Treble, di mana perusahaan membawa beberapa perubahan signifikan pada arsitektur sistem Android tahun lalu untuk mendapatkan kontrol lebih besar atas proses pembaruan.
Proyek Treble dimasukkan sebagai bagian dari Android 8.0 Oreo dan telah dirancang untuk memisahkan kode perangkat keras inti dari kode OS, menghilangkan ketergantungan OEM untuk memberikan pembaruan Android lebih cepat.
Namun, bahkan jika perangkat Android kamu menjalankan sistem operasi Oreo 8.0, tidak perlu mendukung proyek Treble, karena masih tergantung pada produsen perangkat untuk memasukkannya. Sebagai contoh, pembaruan firmware Oreo untuk perangkat OnePlus belum mendukung Treble.
Tetapi perangkat baru akan diperlukan untuk mendukung Treble.
Periksa ‘Tingkat Patch’ Perangkat
Sementara itu, SRL telah mengembangkan aplikasi bernama SnoopSnitch, yang dapat diunduh secara gratis, untuk mengukur tingkat patch dari smartphone Android sendiri, membantu pengguna memverifikasi klaim vendor tentang keamanan perangkat.
