Waspada! NFC Jadi Celah Keamanan di Ponsel Android

Suara.com - Belakangan ini, pamor Near Field Communication (NFC) kembali meroket setelah vendor-vendor teknologi menyematkan fitur ini ke dalam ponsel terbaru mereka.

Namun, peneliti keamanan ponsel justru menemukan sebuah bug di Android yang memungkinkan peretas menyebarkan malware ke ponsel lain menggunakan fitur Android bernama NFC Beaming.

NFC Beaming bekerja lewat layanan Android bernama Android Beam. Layanan ini sendiri mengizinkan perangkat untuk mengirim foto, file, video, bahkan aplikasi menggunakan gelombang radio NFC, yang merupakan alternatif dari WiFi dan Bluetooth.

Biasanya, aplikasi file APK yang dikirim lewat NFC Beaming tersimpan dalam memori internal dan pengguna pun diberi tahu lewat notifikasi yang tampak pada layar.

Notifikasi ini meminta pemilik perangkat untuk mengizinkan (atau tidak) layanan NFC untuk memasang aplikasi dari sumber tak dikenal.

Namun pada Januari lalu, peneliti keamanan Y. Shafranovic menemukan bahwa aplikasi yang dikirim via NFC Beaming pada perangkat berbasis Android 8 (Oreo) ke atas tidak menampilkan dialog notifikasi ini.

Sialnya, notifikasi tersebut tidak memberikan opsi "tidak mengizinkan" karena aplikasi tak dikenal tersebut langsung terpasang secara otomatis dan tanpa peringatan.

Ketiadaan dialog peringatan inilah yang sebenarnya menjadi masalah keamanan penting bagi Android. Pasalnya, Android selama ini tidak mengizinkan pemasangan aplikasi dari sumber tak dikenal, selain dari toko resmi mereka di Google Play Store.

Oleh karena itu, jika pengguna ingin memasang aplikasi dari luar Play Store, mereka harus masuk ke menu "pasang aplikasi dari sumber tak dikenal" dan mengaktifkannya.

Hingga Android 8, menu "pasang aplikasi dari sumber tak dikenal" merupakan pengaturan standar sistem yang berlaku untuk semua aplikasi. Namun dari Android 8 ke atas, Google merancang ulang mekanisme ini menjadi perizinan per aplikasi.

Terkait celah keamanan yang ada pada NFC Beaming, bug bernama CVE-2019-2114 bersarang di aplikasi Android Beaming yang tentunya secara otomatis akan mendapatkan izin untuk memasang aplikasi.

Sementara itu, sebagaimana lansiran laman ZDNet, Senin (18/11/2019), Google menyebut hal ini tidak seharusnya terjadi.

Pasalnya, Android Beam tidak diizinkan untuk memasang aplikasi lainnya. Mereka mengklaim, fungsi Android Beam seharushnya hanya mampu mengirim data dari satu ke perangkat lain.

Namun karena terus mendapatkan keluhan, Google pada Oktober lalu akhirnya menambal kebocoran celah keamanan ini dengan menghapus layanan Android Beaming dari daftar aplikasi yang bisa memasang aplikasi lainnya.

Meski begitu, jutaan pengguna masih terancam malware ini, terutama pada ponsel yang memiliki NFC dan mengaktifkan Android Beaming.