Panji.id JAKARTA — Qualcomm, raksasa produsen chip ponsel terkemuka, telah merilis pembaruan keamanan krusial pada Senin (2/6/2025). Langkah ini diambil untuk menutup serangkaian celah keamanan serius di puluhan chipset buatannya, termasuk tiga zero-day yang menurut perusahaan telah aktif dieksploitasi dalam serangan siber bertarget.
Ketiga kerentanan kritis ini, yang pertama kali dilaporkan oleh tim keamanan Android Google pada Februari lalu, diidentifikasi dengan kode CVE-2025-21479, CVE-2025-21480, dan CVE-2025-27038. Penemuan ini merupakan hasil investigasi mendalam oleh Google Threat Analysis Group (TAG), sebuah tim yang dikenal berfokus memburu serangan siber yang didukung negara, sebagaimana diungkap Techcrunch pada Rabu (4/6/2025).
Qualcomm menyebutkan bahwa ketiga celah zero-day ini “mungkin sedang dieksploitasi secara terbatas dan bertarget,” meskipun belum ada rincian publik mengenai identitas pelaku atau korban yang terdampak. Namun, preseden sebelumnya menunjukkan bahwa celah pada chipset Qualcomm pernah dimanfaatkan dalam kampanye spyware komersial yang canggih dan bahkan oleh aparat penegak hukum untuk membobol perangkat, mengindikasikan potensi risiko yang signifikan.
Rincian teknis menunjukkan bahwa dua kerentanan (CVE-2025-21479 dan CVE-2025-21480) merupakan kelemahan otorisasi pada komponen grafis (GPU) Adreno yang dapat mengakibatkan korupsi memori. Kedua celah ini dinilai sangat kritis dengan skor keparahan 8.6/10. Sementara itu, CVE-2025-27038 adalah bug use-after-free pada driver grafis yang juga berpotensi menyebabkan kerusakan memori, khususnya saat melakukan rendering grafis di peramban Chrome, dengan skor keparahan 7.5/10.
Qualcomm menegaskan bahwa patch untuk ketiga celah keamanan ini telah dikirimkan kepada para produsen perangkat (OEM) sejak Mei, disertai rekomendasi kuat agar segera diterapkan pada perangkat yang terdampak, seperti dilaporkan Security Week. Namun, karena sifat ekosistem Android yang sangat terbuka dan terdistribusi, implementasi pembaruan keamanan ini sangat bergantung pada kecepatan dan prioritas masing-masing produsen.
Situasi ini berarti banyak perangkat berpotensi masih akan rentan selama beberapa minggu ke depan hingga pembaruan benar-benar diimplementasikan. Google sendiri telah memastikan bahwa perangkat Pixel tidak terdampak oleh kerentanan ini. Bagi pengguna Android lainnya, sangat diimbau untuk selalu memperbarui perangkat mereka dan memantau pengumuman resmi dari produsen masing-masing guna memastikan perlindungan optimal.
Menurut Bleeping Computer, chipset pada perangkat seluler, termasuk GPU Adreno milik Qualcomm, memang menjadi target favorit para peretas dan pengembang eksploitasi zero-day. Alasannya jelas: chip ini memiliki akses luas ke sistem operasi, sehingga eksploitasi yang berhasil dapat memberikan penyerang akses ke data sensitif lainnya di perangkat. Dalam beberapa bulan terakhir, telah ada sejumlah kasus eksploitasi terhadap chipset Qualcomm, termasuk penggunaan celah zero-day oleh aparat di Serbia untuk membobol perangkat aktivis dan jurnalis menggunakan alat forensik khusus.
