Cacat keamanan di smartphone Android dari perusahaan seperti Google dan Samsung memungkinkan aplikasi jahat untuk merekam video, mengambil foto, dan menangkap audio, mengunggah konten ke server jarak jauh tanpa izin pengguna.
Kerentanan ditemukan oleh perusahaan keamanan Checkmarx , dan disorot hari ini oleh Ars Technica . Cacat tersebut berpotensi membuat target bernilai tinggi terbuka untuk merekam lingkungan mereka secara ilegal oleh ponsel cerdas mereka.
Gambar melalui Checkmarx
Android dimaksudkan untuk mencegah aplikasi mengakses kamera dan mikrofon pada ponsel cerdas tanpa izin pengguna, tetapi dengan eksploitasi khusus ini, aplikasi dapat menggunakan kamera dan mikrofon untuk merekam video dan audio tanpa persetujuan pengguna secara tegas. Yang perlu dilakukan aplikasi hanyalah mendapatkan izin untuk mengakses penyimpanan perangkat, yang biasanya diberikan karena sebagian besar aplikasi memintanya.
Untuk mendemonstrasikan cara kerja cacat, Checkmarx membuat aplikasi proof-of-concept yang tampak seperti aplikasi cuaca di permukaan tetapi mengumpulkan banyak data di latar belakang.
Aplikasi ini dapat mengambil gambar dan merekam video bahkan saat layar ponsel mati atau aplikasi ditutup, serta mengakses data lokasi dari foto. Itu bisa beroperasi dalam mode siluman, menghilangkan suara rana kamera, dan juga bisa merekam percakapan telepon dua arah. Semua data dapat diunggah ke server jarak jauh.
Saat eksploitasi digunakan, layar ponsel cerdas yang diserang akan menampilkan kamera saat merekam video atau mengambil foto, yang akan memberi tahu pengguna yang terpengaruh apa yang sedang terjadi. Itu bisa digunakan secara diam-diam ketika tampilan smartphone tidak terlihat atau ketika perangkat diletakkan dengan layar ke bawah, dan ada fitur untuk menggunakan sensor jarak untuk menentukan kapan smartphone menghadap ke bawah.
Google mengatasi kerentanan di ponsel Pixel-nya melalui pembaruan kamera yang diluncurkan kembali pada bulan Juli, dan Samsung juga telah memperbaiki kerentanannya, meskipun tidak diketahui kapan. Dari Google:
'Kami menghargai Checkmarx yang menyampaikan hal ini kepada kami dan bekerja sama dengan Google dan mitra Android untuk mengoordinasikan pengungkapan. Masalah tersebut telah diatasi pada perangkat Google yang terpengaruh melalui pembaruan Play Store ke Aplikasi Kamera Google pada Juli 2019. Patch juga telah tersedia untuk semua mitra.'
Dari Samsung:
'Sejak diberitahu tentang masalah ini oleh Google, kami kemudian merilis patch untuk mengatasi semua model perangkat Samsung yang mungkin terpengaruh. Kami menghargai kemitraan kami dengan tim Android yang memungkinkan kami mengidentifikasi dan menangani masalah ini secara langsung.'
Menurut Checkmarx, Google telah mengatakan bahwa ponsel Android dari produsen lain juga bisa rentan, jadi mungkin masih ada beberapa perangkat di luar sana yang terbuka untuk diserang. Google belum mengungkapkan pembuat dan model tertentu.
Karena ini adalah bug Android, perangkat iOS Apple tidak terpengaruh oleh kelemahan keamanan.
Tidak diketahui mengapa aplikasi dapat mengakses kamera tanpa izin pengguna. Dalam email ke Ars Technica , Checkmarx berspekulasi bahwa itu berpotensi terkait dengan keputusan Google untuk membuat kamera berfungsi dengan Asisten Google, fitur yang mungkin juga diterapkan oleh produsen lain.
Tags: Samsung , Google , exploit , Android
Pesan Populer