Kerentanan pada Android 16 dilaporkan memungkinkan Gemini meneruskan pengiriman SMS dari layar terkunci tanpa memasukkan PIN. Temuan ini menjadi perhatian karena tindakan yang seharusnya berhenti di tahap autentikasi dapat berlanjut melalui kondisi tertentu pada antarmuka.
Dalam demonstrasi yang beredar, pengguna awalnya tetap diminta memasukkan PIN ketika meminta Gemini mengirim pesan dari layar kunci. Namun, verifikasi tersebut dilaporkan dapat dilewati saat tombol penambahan lampiran ditekan bersamaan dengan tombol Continue.
Kondisi ini termasuk kategori authentication bypass atau bypass layar kunci. Istilah tersebut merujuk pada kegagalan sistem dalam mempertahankan perlindungan autentikasi ketika pengguna berpindah di antara tahapan antarmuka.
Risikonya berkaitan dengan perangkat yang berada di tangan orang lain dalam keadaan masih terkunci. Akses fisik ke ponsel menjadi syarat penting dalam skenario yang diperlihatkan, sehingga celah ini tidak digambarkan sebagai serangan jarak jauh.
Alur Pengiriman yang Berubah
Gemini memiliki kemampuan untuk dipanggil dari layar kunci agar pengguna dapat menjalankan perintah tertentu secara cepat. Hak akses tersebut membuat setiap transisi menuju aplikasi pesan perlu tetap berada di bawah batas verifikasi yang sama.
| Bagian | Kondisi Normal | Kondisi yang Dilaporkan |
|---|---|---|
| Pengiriman SMS | Gemini meminta PIN | Pesan diteruskan tanpa verifikasi PIN |
| Akses WhatsApp | Telah dinonaktifkan di pengaturan Gemini | Dapat diaktifkan kembali dalam demonstrasi |
Masalah yang terlihat bukan sekadar tampilan permintaan PIN yang gagal muncul. Kombinasi tombol tersebut dilaporkan membuat proses pengiriman tetap berjalan meskipun perangkat belum dibuka melalui metode autentikasi yang semestinya.
Video demonstrasi juga memperlihatkan kemungkinan pengaktifan kembali akses WhatsApp di Gemini. Hal itu disebut terjadi meski akses aplikasi tersebut sebelumnya sudah dimatikan melalui pengaturan asisten.
Pembatasan Aplikasi Ikut Dipertanyakan
Kemampuan mengubah kembali akses WhatsApp memperluas dampak potensial dari kasus ini. Persoalannya tidak hanya menyangkut satu SMS, melainkan juga batas akses aplikasi yang mestinya tetap berlaku ketika layar ponsel terkunci.
Pengaturan untuk menonaktifkan akses aplikasi biasanya menjadi salah satu lapisan pembatasan bagi pengguna. Temuan ini menunjukkan lapisan tersebut dapat tidak cukup apabila ada celah pada alur autentikasi dan perpindahan antarmuka.
Menurut GSMArena, kerentanan itu telah dilaporkan sejak Mei pada Android 16. Google disebut telah mengetahui persoalan tersebut dan perbaikan dikabarkan sedang disiapkan.
Belum ada keterangan yang memastikan seluruh model perangkat atau antarmuka Android yang terkena dampak. Laporan yang tersedia juga menegaskan isu tersebut tidak hanya terkait dengan perangkat Pixel.
Keamanan Layar Kunci Tetap Menjadi Batas Utama
Kasus ini menyoroti tantangan ketika sistem operasi, asisten AI, layar kunci, dan izin aplikasi harus bekerja bersama dalam banyak skenario. Kesalahan pada satu jalur interaksi dapat memengaruhi batas keamanan yang dirancang oleh beberapa komponen sekaligus.
Bypass layar kunci sendiri bukan masalah yang hanya pernah muncul pada Android. Namun, keterlibatan Google Gemini membuat kasus ini berbeda karena asisten digital dapat menerima perintah langsung sebelum perangkat dibuka.
Akses cepat dari layar terkunci memang dirancang untuk memudahkan penggunaan sehari-hari. Dalam situasi ini, kemudahan tersebut harus tetap tunduk pada autentikasi yang tidak dapat dilewati oleh kombinasi tindakan di antarmuka.
Sampai cakupan perangkat terdampak dijelaskan lebih rinci, pengguna Android 16 perlu memperhatikan perkembangan perbaikan yang disiapkan Google. Penanganan celah ini penting untuk memastikan perintah Gemini tidak melampaui perlindungan keamanan layar kunci.
