Kerentanan Aplikasi Kamera Android Bikin Ratusan Juta Ponsel Rawan Dibajak
MOUNTAIN VIEW – Perusahaan keamanan Internet, Checkmarx, telah menemukan kerentanan yang terkait dengan masalah bypass izin. Setelah meneliti ini di Google Pixel 2 XL dan Pixel 3, mereka mengatakan bahwa kerentanan yang sama ditemukan pada aplikasi kamera yang digunakan pada ponsel Android lain, termasuk yang diproduksi oleh Samsung.
Dengan pemikiran ini, jumlah pengguna smartphone yang membawa masalah ini ke ponselnya diperkirakan mencapai ratusan juta unit. Erez Yalon, Direktur Penelitian Keamanan Checkmarx, mengatakan, timnya menemukan cara memanipulasi tindakan dan maksud tertentu yang memungkinkan aplikasi apa pun, tanpa izin khusus, untuk mengontrol aplikasi Kamera Google. “Teknik yang sama juga berlaku untuk aplikasi Kamera Samsung,” katanya seperti disitat dari laman Forbes oleh situs berita teknologi Phone Arena.
Dengan mengeksploitasi kerentanan, penyerang dapat menggunakan aplikasi jahat untuk memaksa kamera pada ponsel yang terpengaruh mengambil gambar dan merekam video. Bahkan ketika ponsel terkunci atau layar dimatikan.
Anda dapat memahami betapa berbahayanya kerentanan ini. Para peneliti Checkmarx bahkan dapat mengambil foto dari jarak jauh di telepon yang berada di tengah-tengah panggilan suara. Kerentanan itu sendiri memintas sistem izin, tapi aplikasi jahat yang mengambil foto dan video juga dapat memperoleh akses ke mereka dengan memperoleh izin penyimpanan.
Jika lokasi diaktifkan untuk aplikasi kamera, itu berarti penyerang dapat menemukan lokasi pengguna saat ini. Lokasi penyerang, di sisi lain, bisa di mana saja dan kapan saja. Seandainya kerentanan ini dieksploitasi, maka bisa membuat pemilik perangkat Android harus mengeluarkan biaya besar.
Untuk menunjukkan betapa berbahayanya kerentanan ini, Checkmarx mengembangkan aplikasi “bukti konsep” yang tidak memerlukan izin khusus di luar izin penyimpanan yang disebutkan di atas. Ada dua bagian untuk aplikasi ini; satu mewakili aplikasi jahat yang dipasang di ponsel Android, dan yang lain mewakili server perintah-dan-kontrol penyerang.
Aplikasi yang dikembangkan untuk PoC adalah aplikasi cuaca berbahaya yang terhubung ke server perintah-dan-kontrol, menunggu instruksi darinya. Koneksi ini tetap ada meskipun aplikasi jahat ditutup.
Menggunakan server perintah-dan-kontrol, penyerang dapat melihat perangkat yang rentan terhubung ke server dan dapat memaksa ponsel target mengambil foto atau video lalu mengunggahnya ke server. Penyerang juga mampu menandai foto menggunakan GPS dan menentukan lokasi perangkat pada peta.
Selain itu, ponsel target dapat dibungkam saat gambar dan video direkam. Dan selama panggilan telepon, video dari handset korban dan audio dari sisi lain percakapan dapat direkam oleh pihak tak bertanggung jawab.
Checkmarx menginformasikan temuannya ke Google dan mereka menjawab bahwa masalah tersebut melampaui garis Pixel dan mencakup “ekosistem Android yang lebih luas”. Samsung juga mengonfirmasi bahwa aplikasi kamera Androidnya juga terpengaruh. Keduanya langsung mengambil langkah untuk menambal kerentanan keamanan.
“Kami menghargai Checkmarx membawa ini menjadi perhatian kami, dan bekerja sama dengan Google dan mitra Android untuk mengoordinasikan pengungkapan. Masalah ini diatasi pada perangkat Google yang terkena dampak melalui pembaruan Play Store ke Aplikasi Kamera Google pada Juli 2019. Sebuah tambalan juga telah dibuat tersedia untuk semua mitra,” kata Google dalam pernyataan resminya.
Seandainya Checkmarx tidak menemukan kerentanan dan membawanya ke perhatian Google, temuan itu bisa saja dieksploitasi oleh pelaku kejahatan yang akan mencuri finansial para pengguna ponsel Android. “Untuk mitigasi yang tepat dan sebagai praktik terbaik umum, pastikan Anda memperbarui semua aplikasi pada perangkat Anda,” kata manajemen Checkmarx.