Factorytech.my.id, JAKARTA — Qualcomm , raksasa produsen chip ponsel Pada Senin (2/6/2025), rilis pembaruan keamanan kritis diluncurkan guna mengatasi sejumlah kerentanan dalam berbagai jenis chipset. Pembaruan ini mencakup penambalan tiga lubang hitam nol (zero-day) yang diketahui sudah dimanfaatkan oleh pihak tidak bertanggung jawab untuk melakukan serangan cyber terarah.
Tiga kerentanan tersebut, yang diungkapkan oleh tim keamanan Android milik Google bulan Februari silam, dinomori sebagai CVE-2025-21479, CVE-2025-21480, serta CVE-2025-27038.
Techcrunch, Rabu (4/6/2025), mengabarkan bahwa ketiganya adalah temuan dari Google Threat Analysis Group (TAG), kelompok spesialisasi dalam pengejaran ancaman cyber yang disponsori pemerintah.
Qualcomm mengatakan bahwa ketiga kerentanan tersebut "mungkin saat ini tengah dimanfaatkan secara terbatas dan bertujuan spesifik," walaupun tidak ada informasi publik tentang pihak yang melakuinya atau menjadi korban mereka.
Akan tetapi, pada insiden yang mirip sebelumnya, kerentanan dalam chipset Qualcomm telah dieksploitasi dalam operasi penyadapan berbayar serta digunakan oleh petugas law enforcement untuk meretas perangkat.
Berikut rincian lebih lanjut: Dua celah rentan yakni CVE-2025-21479 dan CVE-2025-21480 terkait dengan masalah otentikasi dalam komponen GPU Adreno yang berpotensi mengakibatkan kerusakan pada memori. Celah lain yaitu CVE-2025-27038 merujuk kepada kesalahan penggunaan memori setelah pembebasannya (use-after-free) pada sistem pengemudi grafis, hal ini pun dapat menimbulkan dampak negatif pada memori, secara khusus selagi proses render gambar di aplikasi Chrome. Keempat celah tersebut diberi penilaian tingkat seriusitas sebesar 8.6 dari 10 untuk kedua celah pertama, sementara itu nilai skornya menjadi turun menjadi 7.5 dari 10 bagi celah ketiga.
Qualcomm telah mengonfirmasi bahwa patch untuk ketiga kerentanan itu sudah dikirim kepada pabrikan perangkat (OEM) sejak bulan Mei, dan mereka sangat menganjurkan agar pembaruan ini segera diimplementasikan pada perangkat yang terpengaruh seperti dilansir oleh Security Week.
Meskipun demikian, mengingat karakteristik sistem ekosistem Android yang terbuka dan tersebar, penerapan patches ini sangat bergantung pada setiap pembuat perangkatnya. Ini berarti bahwa banyak alat masih dapat tetap rawan dalam beberapa pekan mendatang sampai update sepenuhnya dilaksanakan.
Google telah mengonfirmasi bahwa perangkat Pixel tidak terpengaruh oleh kerentanan tersebut. Di sisi lain, disarankan kepada pemilik ponsel Android agar tetap menjaga sistem operasinya dengan melakukan update secara rutin dan menyimak petunjuk resmi dari pembuatnya.
Bleeping Computer menunjukkan bahwa Chipset pada perangkat seluler, seperti GPU Adreno dari Qualcomm, sering kali menjadi incaran utama bagi para peretas dan pembuat eksploit zero-day. Hal ini disebabkan karena chipset tersebut memiliki hak akses yang sangat luas terhadap sistem operasi; apabila dimanfaatkan dengan cara yang tidak sah, pelaku jahat dapat mencapai informasi pribadi penting dalam perangkat tersebut.
Selama beberapa bulan belakangan ini, berbagai insiden penyebaran kerentanan pada chipset Qualcomm telah muncul, seperti halnya dengan pemanfaatan lubang hitam nol hari oleh otoritas di Serbia yang digunakan untuk meretas perangkataktivis serta jurnalis melalui software analisis digital.