Qualcomm telah mengonfirmasi bahwa peretas telah mengeksploitasi kerentanan zero-day dalam puluhan chipset mereka yang digunakan di perangkat Android populer. Kerentanan ini, yang secara resmi diberi kode CVE-2024-43047, ditemukan oleh Google’s Threat Analysis Group (TAG) dan Amnesty International’s Security Lab.
Kerentanan zero-day adalah celah keamanan yang tidak diketahui oleh pembuat perangkat keras saat pertama kali dieksploitasi. Qualcomm menyatakan bahwa kerentanan ini “mungkin sedang dieksploitasi secara terbatas dan terarah,” berdasarkan indikasi dari TAG. Amnesty International juga mengonfirmasi penilaian Google ini.
Badan Keamanan Siber AS, CISA, telah memasukkan kerentanan Qualcomm ini dalam daftar kerentanan yang diketahui telah dieksploitasi. Namun, hingga saat ini, belum banyak detail tentang siapa yang mengeksploitasi kerentanan ini di lapangan, atau siapa target spesifiknya.
Juru bicara Qualcomm, Catherine Baker, menyatakan bahwa perusahaan menghargai para peneliti dari Google Project Zero dan Amnesty International Security Lab karena menggunakan praktik pengungkapan terkoordinasi, yang memungkinkan perusahaan untuk merilis perbaikan untuk kerentanan ini. Qualcomm merujuk kepada Amnesty dan Google untuk detail lebih lanjut tentang aktivitas ancaman ini.
Hajira Maryam, juru bicara Amnesty, mengatakan bahwa penelitian tentang kerentanan ini akan segera dirilis. Sementara itu, juru bicara Google, Kimberly Samra, menyatakan bahwa TAG belum memiliki tambahan informasi saat ini.
Qualcomm menyatakan bahwa perbaikan telah tersedia untuk pelanggan mereka sejak September 2024 untuk CVE-2024-43047. Sekarang, tanggung jawab ada pada produsen perangkat Android yang menggunakan chipset rentan ini untuk merilis patch ke perangkat pelanggan mereka.
Dalam advisori mereka, Qualcomm mencantumkan 64 chipset berbeda yang terpengaruh oleh kerentanan ini, termasuk platform mobile andalan mereka, Snapdragon 8 (Gen 1), yang digunakan di banyak ponsel Android dari merek seperti Motorola, Samsung, OnePlus, Oppo, Xiaomi, dan ZTE. Ini berarti jutaan pengguna di seluruh dunia berpotensi rentan.
Namun, fakta bahwa Google dan Amnesty sedang menyelidiki penggunaan zero-day ini dalam “eksploitasi terbatas dan terarah” menunjukkan bahwa kampanye peretasan ini kemungkinan besar digunakan terhadap individu tertentu, bukan sejumlah besar target.
Sumber: Techcrunch