Celah Keamanan di Android (April–Mei 2026): Zero-Click & Zero-Interaction

Koran Jakarta - Dua Ancaman Serius di Android (April–Mei 2026): Zero-Click & Zero-Interaction. Google baru saja merilis patch keamanan Android edisi Mei 2026 setelah ditemukan celah kategori kritis yang memungkinkan perangkat Android diretas tanpa klik, tanpa install aplikasi, bahkan tanpa interaksi pengguna sama sekali (zero-click attack).

Semua perangkat Android dengan Security Patch Level sebelum Mei 2026 berisiko terkena serangan Zero-Click tanpa perlu interaksi pengguna. Lokasi celah: Komponen internal Android Debug Bridge (ADB)

Dampak:

- Penyerang dalam jaringan Wi-Fi yang sama bisa menjalankan perintah langsung ke perangkat korban
- Tidak ada notifikasi
- Tidak ada pop-up mencurigakan
- Tidak ada APK aneh
- Tiba-tiba perangkat sudah bisa diakses dari jarak jauh
- Ini bukanlah malware akan tetapi celah di level OS Android.

Solusi sementara (sebelum patch Mei 2026):

- Matikan Wireless Debugging di Developer Options
- Nonaktifkan Developer Options sepenuhnya
- Hindari Wi-Fi publik tidak terpercaya

Celah Keamanan Android Lainnya: Zero-Interaction via Gambar (CVE-2026-0049)

Sebelum celah CVE-2026-0073 ditemukan, pada tanggal 6 April 2026 ada celah keamanan lain: CVE-2026-0049 (Zero Interaction) yang berdampak pada Android. Meskipun bug ini dikategorikan "Medium" oleh Google, dampaknya justru bisa membuat perangkat tidak bisa digunakan sama sekali (unusable total).

Lokasi celah: Komponen Android bernama LocalImageResolver – tepatnya saat proses decode header gambar

Alur dan Cara kerjanya:

- Tidak ada pembatasan resource yang proper. 

- Attacker bisa memanfaatkan file gambar yang sudah dimanipulasi untuk menguras memori atau CPU sampai perangkat freeze total.

Yang membuat CVE-2026-0049 sangat serius:

- Tidak butuh privilege (tidak perlu kita login dengan hak akses khusus seperti root atau admin)
- Tidak butuh interaksi pengguna
- Dalam beberapa kasus bisa menyebabkan persistent denial of service (DoS yang menetap)
- Pada kasus terparah, harus factory reset untuk recovery

Cukup dengan mengirimkan file gambar berbahaya melalui WhatsApp, Telegram, SMS, atau email – jika sistem mencoba memproses thumbnail atau preview gambar tersebut, perangkat bisa langsung freeze dan tidak merespons.



Saran untuk Pengguna Android

Dua celah ini muncul dalam waktu kurang dari satu bulan, keduanya berdampak serius meskipun dengan cara yang berbeda:

CVE-2026-0073 → Perangkat Anda bisa dikendalikan dari jarak jauh tanpa sepengetahuan Anda.
CVE-2026-0049 → Perangkat Anda bisa mati total hanya karena melihat gambar.

Yang perlu dilakukan pengguna Android agar gadget kita aman:

- Segera update ke Security Patch Level Mei 2026 jika sudah tersedia
- Jika belum bisa update, nonaktifkan Developer Options (untuk CVE-2026-0073)
- Waspada terhadap file gambar dari sumber tidak dikenal, meskipun tidak diklik (untuk CVE-2026-0049)

Cara Cek patch level di Android:

- Buka gadget anda
- Masuk ke Settings → Security & Privacy → Updates → Security Update

- Lihat tanggal update keamanannya, jika masih sebelum Mei 2026, perangkat Anda rentan terhadap kedua celah ini.


Hasil PoC (pembuktian langsung pada perangkat) yang sudah dikonfirmasi:

CVE-2026-0073 (Zero-Click via ADB):

"Perangkat target tidak perlu pairing (tanpa key/pin/QR code) dan tidak perlu pernah terhubung sebelumnya. Begitu exploit dijalankan, langsung dapat remote shell."
✅ Berhasil diuji pada Android 13 – Security Patch Januari 2026

CVE-2026-0049 (Zero-Interaction via Gambar):

"Cukup satu gambar yang dimanipulasi, device langsung freeze total. Pada beberapa kasus, tidak bisa hidup normal tanpa factory reset."
✅ Dampak: Persistent DoS

Terakhir, pesan dari Tim IT Koran Jakarta: Update OS di gadget anda sekarang juga, jangan tunda update Android karena takut "HP jadi lemot". 

Update OS sekarang bukan lagi fitur tambahan, melainkan tindakan keamanan wajib.