Kalau HP Android kamu belum update sejak bulan lalu, ada celah yang sebenarnya sudah dimanfaatkan orang lain untuk masuk ke sistem perangkat sebelum Google sempat menambalnya.
Sebuah Zero-Day.
Bukan teori. Bukan potensi risiko abstrak yang biasa muncul di buletin keamanan tahunan. Google sendiri yang mengonfirmasi dalam Android Security Bulletin edisi Juni 2026 bahwa satu dari 124 celah yang mereka tambal bulan ini sudah dieksploitasi di dunia nyata, secara terbatas dan terarah, sebelum patch-nya keluar.
Dan celah itu ada di Android 14, 15, 16, sampai 16 QPR2 yang artinya hampir semua HP Android yang masih dapat dukungan resmi terdampak.
CVE-2025-48595, Celah yang Tidak Butuh Klik Apapun
Ini bagian yang bikin celah ini lebih meresahkan dari zero-day kebanyakan.
Biasanya serangan butuh kamu melakukan sesuatu dulu klik link mencurigakan, install APK dari luar Play Store, buka file lampiran aneh. Celah CVE-2025-48595 ini berbeda. Ini bug integer overflow di komponen Framework Android, dan menurut penjelasan teknis dari Cyber Express, eksploitasinya bisa terjadi tanpa interaksi pengguna sama sekali dan tanpa butuh izin eksekusi tambahan apapun.
Integer overflow sendiri terjadi ketika operasi aritmatika dalam sistem menghasilkan angka yang melebihi kapasitas tipe data yang dipakai untuk menyimpannya, sehingga nilainya “berputar balik” dan memunculkan perilaku tidak terduga yang bisa dimanfaatkan penyerang untuk mendapat akses lebih tinggi di sistem.
Begitu berhasil dieksploitasi, jalur ini memberi penyerang kemampuan menjalankan kode di level privilese tinggi dalam praktiknya, ini bisa berarti kontrol atas perangkat tanpa kamu sadari sama sekali.
Google sendiri belum mengungkap siapa pelakunya, metode pengiriman exploit-nya, atau siapa target spesifiknya. Yang mereka konfirmasi cuma satu: eksploitasi terjadi secara terbatas dan terarah, kemungkinan menyasar target tertentu bukan serangan massal acak.
Bukan Cuma Satu Celah, Total 124 Kerentanan Ditambal Bulan Ini
Zero-day yang aktif dieksploitasi memang yang paling mendesak, tapi bukan satu-satunya masalah di buletin Juni 2026.
Update Android Juni 2026 ini tergolong besar, menambal 124 kerentanan di dua level patch berbeda. Level pertama, bertanggal 2026-06-01, menangani komponen inti Android termasuk Framework dan System dengan 18 di antaranya berstatus kritis. Level kedua, 2026-06-05, mencakup semua perbaikan dari level pertama plus tambahan untuk subkomponen kernel dan driver chipset dari Qualcomm dan MediaTek.
Yang justru dinilai paling parah secara teknis bukan zero-day yang sudah dieksploitasi itu, melainkan celah lain bernama CVE-2025-65018. Ini juga ada di Framework, dan menurut bulletin resmi Google, celah ini berpotensi memungkinkan eskalasi privilese jarak jauh tanpa membutuhkan privilese eksekusi tambahan apapun, dan tidak memerlukan interaksi pengguna untuk dieksploitasi.
Bedanya dengan CVE-2025-48595: yang satu ini belum terbukti dieksploitasi di dunia nyata, tapi tingkat keparahannya secara teknis dinilai lebih tinggi kalau sampai ada yang berhasil memanfaatkannya.
Selain dua itu, ada juga beberapa CVE kritis lain di komponen System (termasuk celah yang memungkinkan serangan denial-of-service), serta tiga kerentanan kritis terpisah di komponen closed-source milik Qualcomm.
Kenapa “Sudah Ada Patch” Tidak Sama dengan “HP Kamu Sudah Aman”
Ini yang sering jadi titik buta kebanyakan pengguna Android di Indonesia.
Google memang sudah merilis perbaikannya. Tapi jalur distribusinya panjang. Perangkat Pixel biasanya jadi yang pertama menerima update karena Google langsung memegang kendali atas software-nya. Untuk merek lain Samsung, Xiaomi, OPPO, Vivo, Infinix, dan sederet merek lain yang dominan di pasar Indonesia update harus melewati proses kustomisasi dulu sebelum dirilis ke publik, dan jadwalnya berbeda-beda untuk setiap model.
Artinya, ada jeda waktu antara saat Google merilis perbaikan dan saat HP kamu benar-benar menerimanya. Jeda inilah yang sering dimanfaatkan celah sudah diketahui publik, exploit-nya sudah beredar, tapi banyak perangkat masih dalam kondisi rentan karena belum kebagian giliran update.
Untuk HP yang sudah lewat masa dukungan resmi dari pabrikan, situasinya lebih runyam lagi: tidak akan ada tambalan yang datang sama sekali, titik.
Baca Juga
Cara Cek Status Keamanan HP Kamu Sekarang
Tidak perlu aplikasi tambahan, cukup buka pengaturan bawaan:
Masuk ke Pengaturan, gulir ke bagian bawah dan ketuk Tentang Ponsel (di sebagian merek tertulis “Tentang Telepon” atau “Software Information”). Di sana akan ada tiga info penting: Versi Android, Tingkat Patch Keamanan, dan Nomor Versi build.
Yang paling perlu kamu perhatikan adalah baris Tingkat Patch Keamanan. Kalau tanggalnya menunjukkan 2026-06-01 atau lebih baru, perangkatmu sudah mendapat perlindungan dari celah-celah yang dibahas di buletin ini. Kalau masih di bawah itu Mei, April, atau lebih lama, berarti HP kamu masih dalam status rentan sampai update berikutnya turun.
Letak menu ini sedikit berbeda tergantung antarmuka. Di Samsung dengan One UI biasanya ada di submenu Software Information. Di Xiaomi dengan HyperOS atau MIUI, posisinya serupa di bagian Tentang Ponsel. Intinya selalu cari kombinasi kata “Tentang Ponsel” atau “Software Information,” info yang dicari pasti ada di situ.
Yang Bisa Kamu Lakukan Selain Menunggu Update
Update adalah solusi utama, tapi ada beberapa langkah tambahan yang masuk akal selagi menunggu giliran patch turun ke perangkatmu:
Pastikan Google Play Protect dalam kondisi aktif. Fitur ini berjalan di latar belakang memindai aplikasi yang berpotensi berbahaya, dan jadi salah satu lapisan pertahanan tambahan saat sistem inti belum sepenuhnya tertambal.
Hindari install APK dari luar Play Store untuk sementara, terutama dari sumber yang tidak jelas asal-usulnya. Meski celah ini bisa dieksploitasi tanpa interaksi pengguna dalam skenario tertentu, kombinasi dengan aplikasi berbahaya tetap memperbesar permukaan serangan secara keseluruhan.
Aktifkan Pembaruan Sistem Otomatis lewat menu Pengaturan kalau belum aktif, supaya begitu update tersedia untuk perangkatmu, instalasinya berjalan tanpa kamu harus rutin cek manual setiap hari.
Pola yang Berulang, dan Kenapa Itu Patut Diperhatikan
Ini bukan zero-day pertama yang menimpa Android tahun ini, dan kemungkinan besar bukan yang terakhir.
Menurut catatan The Cyber Express, sudah ada empat zero-day Android yang ditemukan dalam kurun waktu kurang dari enam bulan terakhir sebuah pola yang mereka kaitkan dengan pasar eksploit Android yang makin aktif di kalangan pelaku kejahatan siber yang punya kemampuan teknis tinggi.
Bukan berarti Android tiba-tiba jadi sistem yang tidak aman. Tapi ini sinyal bahwa rutin update bulanan bukan lagi sekadar formalitas atau notifikasi yang bisa di-skip seenaknya. Untuk perangkat yang menyimpan data perbankan, akun media sosial, sampai dokumen pekerjaan, jeda beberapa minggu tanpa patch bisa jadi jendela yang cukup lebar bagi pihak yang memang menyasar target spesifik.
Buletin keamanan lengkap dari Google bisa kamu baca langsung di halaman resmi Android Security Bulletin kalau ingin detail teknis penuh soal seluruh 124 celah yang ditambal bulan ini.
Sudah cek tingkat patch keamanan HP kamu? Share di kolom komentar sudah update atau masih nunggu giliran dari vendor.
Baca juga tips keamanan HP lainnya di TeknosArena: 10 Cara Menghemat Baterai HP Android dan artikel terkait keamanan siber lainnya.
By
