Keamanan perangkat Android kembali menjadi sorotan setelah ditemukan celah yang berpotensi dimanfaatkan untuk melancarkan serangan phishing melalui notifikasi aplikasi. Peneliti keamanan siber, Gabriele Digregorio, mengungkap adanya bug yang memungkinkan tautan (link) pada notifikasi dimanipulasi sehingga mengarahkan pengguna ke situs web yang berbeda dari yang ditampilkan.

Masalah ini berpusat pada cara Android menangani tautan yang muncul di notifikasi, terutama tautan yang berasal dari aplikasi populer seperti WhatsApp, Instagram, dan Slack. Bug ini melibatkan penyisipan karakter Unicode tersembunyi ke dalam pesan notifikasi. Karakter tersembunyi ini mampu mengelabui sistem operasi Android dalam mengenali bagian mana dari teks notifikasi yang seharusnya dianggap sebagai sebuah tautan utuh.

Sebagai contoh, sebuah notifikasi mungkin menampilkan alamat situs web amazon.com, namun ketika pengguna menekan tombol 'Open link', mereka justru dialihkan ke situs zon.com. Hal ini terjadi karena karakter Unicode yang tidak terlihat memisahkan alamat amazon.com menjadi dua bagian, dan Android hanya menganggap bagian kedua, yaitu zon.com, sebagai tautan yang valid. Demonstrasi visual mengenai cara kerja celah ini telah dipublikasikan dalam bentuk video oleh Digregorio.

Implikasi dari celah keamanan ini sangat serius. Penyerang dapat memanfaatkan kerentanan ini untuk mengarahkan pengguna ke situs web palsu yang dirancang untuk mencuri informasi pribadi, seperti kata sandi, nomor kartu kredit, atau data sensitif lainnya. Pengguna yang tidak curiga mungkin mengira mereka mengunjungi situs web yang sah, padahal sebenarnya mereka sedang menjadi korban serangan phishing.

Google telah menerima laporan mengenai bug ini sejak Maret lalu, namun hingga saat ini perbaikan resmi belum dirilis. Menanggapi temuan ini, Google mengeluarkan pernyataan yang mengimbau para pengguna Android untuk berhati-hati dan tidak sembarangan mengklik tautan yang muncul di notifikasi, terutama jika tautan tersebut berasal dari sumber yang tidak dikenal atau mencurigakan.

Seorang juru bicara Google menyatakan bahwa perusahaan sedang berupaya aktif untuk memperbaiki masalah ini dan akan merilis pembaruan keamanan yang diperlukan dalam waktu dekat. Google juga menekankan pentingnya praktik keamanan dasar, seperti menghindari mengklik tautan dari pengirim yang tidak dikenal atau mencurigakan.

Celah keamanan ini dilaporkan memengaruhi perangkat yang menjalankan sistem operasi Android 14, Android 15, dan bahkan Android 16, termasuk model ponsel Pixel 9 Pro. Sampai Google merilis perbaikan resmi, pengguna disarankan untuk meningkatkan kewaspadaan dan memeriksa secara cermat setiap tautan yang diterima melalui notifikasi sebelum mengkliknya.

Tindakan Pencegahan Sementara

Berikut adalah beberapa langkah yang dapat diambil pengguna Android untuk melindungi diri dari potensi serangan phishing melalui notifikasi:

• Verifikasi Sumber: Selalu periksa identitas pengirim pesan atau aplikasi yang mengirimkan notifikasi.
• Periksa Tautan: Sebelum mengklik tautan apa pun, periksa dengan cermat alamat situs web yang ditampilkan. Pastikan alamat tersebut sesuai dengan situs web yang Anda harapkan untuk kunjungi.
• Jangan Percaya Begitu Saja: Berhati-hatilah terhadap notifikasi yang meminta informasi pribadi atau keuangan Anda.
• Perbarui Perangkat Lunak: Pastikan perangkat Android Anda menjalankan versi sistem operasi dan aplikasi terbaru. Pembaruan perangkat lunak sering kali menyertakan perbaikan keamanan yang penting.

Dengan meningkatkan kesadaran dan menerapkan langkah-langkah pencegahan yang tepat, pengguna Android dapat mengurangi risiko menjadi korban serangan phishing melalui notifikasi.