Bug Ini Memungkinkan Aplikasi Curi Data Saat Ponsel Terkunci

Cyberthreat.id – Google dan Samsung telah mengonfirmasi adanya kerentanan (vulnerabilities) keamanan yang memungkinkan para peretas (hacker) membajak kamera ponsel pengguna. Lalu, secara diam-diam mengambil gambar atau merekam video, bahkan saat perangkat Anda terkunci.

Pada Selasa (19 November 2019), Erez Yalon, Direktur Penelitian Keamanan di Checkmarx—perusahaan teknologi keamanan siber asal Israel—mengungkapkan adanya bug (CVE-2019-2234) yang berasal dari masalah permintaan izin (bypass).

Dalam penyelidikannya, tim Checmarx menggunakan aplikasi Google Camera pada Google Pixel 2 XL dan Pixel 3. Namun, kerentanan itu juga terjadi pada produk ponsel Google di luar merek Pixel.

Selain itu, Checkmarx mengatakan, vendor ponsel pintar lain yang menggunakan sistem operasi Android, yaitu Samsung, juga rentan. Akibatnya, ada kemungkinan bahwa ratusan juta pengguna kedua ponsel itu bisa rentan untuk dieksploitasi.

Selama ini, Google sangat ketat soal aplikasi seluler yang memperoleh akses ke informasi sensitif dari kamera, mikrofon, atau layanan lokasi. Bahkan, untuk akses itu, harus ada izin dari pengguna.

Namun, dalam skenario serangan Checkmarx, izin permintaan dari pengguna itu diterobos.

Aplikasi kamera Android biasanya menyimpan gambar dan video pada kartu SD, dan agar aplikasi mengakses konten ini, mereka memerlukan izin penyimpanan.

"Sayangnya, izin penyimpanan sangat luas dan izin ini memberikan akses ke seluruh kartu SD," tulis para peneliti seperti diberitakan ZDNet, Selasa.

"Ada sejumlah besar aplikasi, dengan kasus penggunaan yang sah, yang meminta akses ke penyimpanan ini, tapi tidak memiliki minat khusus pada foto atau video."

Serangkaian izin itulah yang dianalisis tim peneliti sebagai saluran serangan. Jika aplikasi jahat diberikan akses ke kartu SD, itu tidak hanya mungkin untuk mengakses foto dan video, tetapi aplikasi foto dapat dipaksa untuk mengambil gambar dan konten video baru.

"Kami dapat dengan mudah merekam suara penerima selama panggilan dan kami juga dapat merekam suara pemanggil," kata para peneliti.

"Ini bukan sesuatu yang diharapkan karena aplikasi Google Camera seharusnya tidak boleh dikendalikan sepenuhnya oleh aplikasi eksternal dan menghindari izin kamera/mikrofon/GPS."

Lebih buruk lagi, karena metadata GPS sering direkam dan disematkan ke dalam gambar, kata peneliti, secara teoritis, penyerang dapat mengurai data itu dan mendapatkan pengetahuan tentang keberadaan pengguna.

Peneliti kemudian memakai aplikasi cuaca tiruan (kategori proof-of-concept/PoC) yang dirancang untuk menunjukkan bahwa selama ada izin penyimpanan dasar, serangan itu sangat dimungkinkan.

Saat dibuka, aplikasi tiruan terhubung ke server command-and-control (C2) dan menunggu operator mengirim perintah untuk mengambil dan mencuri rekaman.

Aplikasi PoC itu dapat melakukan fungsi-fungsi berikut:

• Ambil foto di ponsel korban dan unggah ke C2
• Rekam video di ponsel korban dan unggah ke C2
• Mengurai foto untuk tag GPS dan mencari telepon di peta global
• Membuat kondisi senyap ponsel saat mengambil foto dan merekam video
• Tunggu panggilan suara–dimungkinkan melalui sensor kedekatan telepon–dan secara otomatis merekam video dari korban dan audio dari kedua sisi

Google diberitahu tentang temuan para peneliti pada 4 Juli 2019, dan aplikasi PoC dan video yang menyertainya juga dikirimkan kepada Google.

Apa tanggapan Google? Perusahaan menyatakan, bahwa itu hanya masalah keamanan "moderat", tapi tetap menjadi perhatian. Perbaikan kemudian dirilis, yang mengarah ke pengungkapan publik.

"Kami menghargai Checkmarx yang memberitahu masalah ini menjadi perhatian kami dan bekerja dengan Google dan mitra Android untuk mengoordinasikan ini," kata Google dalam sebuah pernyataan.

"Masalah ini telah diatasi pada perangkat Google yang terkena dampak melalui pembaruan Play Store pada Google Camera pada Juli 2019. Sebuah tambalan juga telah dibuat tersedia untuk semua mitra."

Pada 29 Agustus, Samsung, salah satu vendor yang terkena dampak, juga mengonfirmasi kerentanan yang memengaruhi handset-nya.

"Sejak diberitahu tentang masalah ini oleh Google, kami kemudian merilis tambalan untuk mengatasi semua model perangkat Samsung yang mungkin terpengaruh. Kami menghargai kemitraan kami dengan tim Android yang memungkinkan kami mengidentifikasi dan mengatasi masalah ini secara langsung," tutur Samsung.