Awas Bahaya Cacat 0-Day Terbaru Ponsel Android!
Ilustrasi.
Cyberthreat.id - Berbeda harinya, maka lain pula kerentanan kritis zero-day yang belum ditambal, kali ini nongol pada sistem operasi seluler yang paling banyak digunakan di dunia, Android.
Apalagi? Laman The Hacker News menuliskan, kerentanan zero-day Android telah ditemukan dieksploitasi di alam liar oleh vendor pengawasan Israel NSO Group — terkenal karena menjual eksploitasi zero-day kepada pemerintah — atau salah satu pelanggannya, untuk mendapatkan kendali atas perangkat Android target mereka.
Ditemukan oleh peneliti Project Zero, Maddie Stone, perincian dan bukti konsep yang dikembangkan untuk kerentanan keamanan tingkat keparahan tinggi, yang dilacak sebagai CVE-2019-2215, telah diumumkan kepada publik hari ini Jumat (4 Oktober) — hanya tujuh hari setelah melaporkannya ke tim keamanan Android.
Zero-day adalah kerentanan use-after-free dalam pengikat kernel Android yang dapat memungkinkan penyerang meningkatkan hak istimewa mereka untuk mendapatkan akses root ke perangkat rentan dan berpotensi mengambil kendali jarak jauh penuh dari perangkat.
Perangkat Android yang Rentan
Kerentanan berada dalam versi kernel Android yang dirilis sebelum April tahun lalu, tambalan yang termasuk dalam kernel Linux 4.14 LTS dirilis pada Desember 2017 tetapi hanya dimasukkan dalam AOSP Android kernel versi 3.18, 4.4 dan 4.9.
Karena itu, sebagian besar perangkat Android yang diproduksi dan dijual oleh sebagian besar vendor dengan kernel yang belum ditambal masih rentan bahkan setelah memiliki pembaruan Android terbaru, termasuk model smartphone populer yang tercantum di bawah ini:
- Piksel 1
- Piksel 1 XL
- Piksel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oposisi A3
- Moto Z3
- Telepon LG Oreo
- Samsung S7
- Samsung S8
- Samsung S9
“Sebagai catatan, perangkat Pixel 3, 3 XL, dan 3a yang menjalankan kernel Android terbaru tidak rentan terhadap masalah tersebut,” tulis The Hacker News.
Eksploitasi Jarak Jauh
Menurut peneliti, karena masalah ini "dapat diakses dari dalam kotak pasir Chrome," kerentanan zero-day kernel Android juga dapat dieksploitasi dari jarak jauh dengan menggabungkannya dengan cacat render Chrome yang terpisah.
"Bug ini adalah kerentanan eskalasi hak istimewa lokal yang memungkinkan kompromi penuh perangkat yang rentan. Jika exploit dikirimkan melalui Web, ia hanya perlu dipasangkan dengan exploit renderer, karena kerentanan ini dapat diakses melalui kotak pasir," kata Stone di blog Chromium sebagaimana dikutip The Hacker News.
"Saya telah melampirkan bukti konsep eksploit lokal untuk menunjukkan bagaimana bug ini dapat digunakan untuk mendapatkan baca/tulis kernel sewenang-wenang ketika berjalan secara lokal. Hanya membutuhkan eksekusi kode aplikasi yang tidak terpercaya untuk mengeksploitasi CVE-2019-2215. Saya juga melampirkan tangkapan layar (success.png) dari POC yang berjalan pada Pixel 2, menjalankan Android 10 dengan tingkat patch keamanan September 2019."
Tambalan Segera Tersedia
Meskipun Google akan merilis tambalan untuk kerentanan ini dalam October's Android Security Bulletin di hari-hari mendatang dan juga memberi tahu OEM, sebagian besar perangkat yang terpengaruh kemungkinan tidak akan langsung menerima tambalan, tidak seperti Google Pixel 1 dan 2.
"Masalah ini dinilai sebagai tingkat keparahan tinggi pada Android dan dengan sendirinya memerlukan instalasi aplikasi berbahaya untuk potensi eksploitasi. Setiap vektor lain, seperti melalui browser web, memerlukan rantai dengan eksploit tambahan," kata tim keamanan Android dalam sebuah pernyataan.
"Kami telah memberi tahu mitra Android, dan tambalan tersedia di Android Common Kernel. Perangkat Pixel 3 dan 3a tidak rentan sementara perangkat Pixel 1 dan 2 akan menerima pembaruan untuk masalah ini sebagai bagian dari pembaruan Oktober."
Divisi Project Zero Google biasanya memberikan batas waktu 90 hari kepada pengembang perangkat lunak untuk memperbaiki masalah pada produk mereka yang terkena dampak sebelum mengumumkan ke publik dengan rincian dan eksploitasi PoC, tetapi dalam kasus eksploitasi aktif, tim go public setelah tujuh hari dilaporkan secara pribadi.
Meskipun kerentanan ini parah dan dapat digunakan untuk mendapatkan akses root ke perangkat Android, pengguna tidak perlu khawatir karena eksploitasi masalah tersebut sebagian besar terbatas pada skenario serangan yang ditargetkan.
Namun demikian, selalu merupakan ide yang baik untuk menghindari mengunduh dan menginstal aplikasi dari toko aplikasi pihak ketiga dan aplikasi yang tidak perlu, bahkan dari Google Play Store.[]
