Bugs Remote Data Wipe di Samsung Android

Masih ingat masa-masa menggunakan phone that not so smart yet? :P
Ingat kode *#06# ini?
Kode di atas akan menampilkan IMEI ponsel kamu. Kalo *#0000# akan menampilkan software/firmware version.

Nah, kode sejenis ternyata kini menjadi petaka untuk beberapa smartphone. Seperti dilaporkan oleh CNET, pemilik Samsung Galaxy S2 dan S3 harus sangat berhati-hati karena data pribadi mereka dapat dihapus secara remote.

Wow…

Adalah Ravi Borgaonkar, seorang peneliti keamanan dari Technical University Berlin yang mengemukakan fakta ini. Menurut dia ada bugs di TouchWiz UI besutan Samsung saat melakukan panggilan USSD. Kalau di handset lain (both smart and not smart), tiap kali pengguna melakukan USSD call harus diikuti dengan menekan tombol SEND atau OK. Nah kalo di Samsung ternyata tidak. Jika pengguna tidak sadar mengetikkan ‘kode USSD’ yang sudah dimodifikasi, maka otomatis kode ini akan mentriger proses factory reset tanpa ada konfirmasi lagi.

Nah, kode-kode berbahaya tadi dapat disamarkan menjadi web link, QR Code, koneksi NFC atau bahkan SMS. Dengan satu klik saja, ga sadar kita melakukan factory reset handset kita sendiri. Nah lho….

Saat ini menurut Ravi hanya Samsung aja yang terancam karena behaviour TouchWiz UI nya itu. Solusi sementara buat pengguna Samsung adalah mematikan setingan ‘service loading’ serta mematikan aplikasi QR Code dan NFC.

Berikut ini adalah video saat Ravi mendemonstrasikan temuannya di Ekoparty security conference, Argentina

Jadi teringat 2 tahun lalu saya harus berdebat soal embedding USSD code ke weblink dengan rekan kerja. Sayangnya dia ngga pernah melakukan riset dulu mendalam soal pro cons hal ini. Apple saja dah ‘mengharamkan’ fitur ini di iOS. Beberapa pabrikan lain juga. Selain soal keamanan, naruh USSD di web link itu ga jalan buat semua ponsel.