Android Fake ID Menjangkiti Aplikasi Google Play

Advertisements

Sistem operasi milik Google, Android, memiliki celah keamanan yang dapat memungkinkan hacker untuk menyamar sebagai aplikasi terpercaya dan berpotensi membajak ponsel atau tablet, demikian menurut penelitian yang dirilis 29 Juli 2014.

Masalah dasarnya adalah bagaimana cara Android melakukan pengecekan atau tidak melakukan pengecekan terhadap sebuah aplikasi yang belum sudah sesuai dengan apa yang mereka deskripsikan, menurut Bluebox Security, perusahaan yang mengidentifikasi kerentanan tersebut. Oleh karena itu masalah ini memiliki contoh nama aplikasi yang menarik, “Fake ID” (android Fake ID).

Advertisements


Android Fake ID - Kantor Google

Verifikasi identitas adalah salah satu masalah online yang paling mendasar. Android Fake ID bekerja dalam 2 sistem. Apakah seseorang (hacker) telah menginfiltrasi rekening bank seorang pemilik akun?

Atau apakah aplikasi (palsu) tersebut mengklaim bahwa pemiliklah yang melakukan hal tersebut? Bluebox yang berbasis di San Francisco membantu perusahaan mengamankan data mereka pada perangkat mobile, dan anggota stafnya bekerja untuk melakukan penelitian dan memahami arsitektur OS mobile yang menjadi objek pengerjaan Bluebox, kata Jeff Forristal, CTO Bluebox.

Pada dasarnya, setiap aplikasi Android memiliki rekam jejak digital kartu indentitasnya sendiri-sendiri. Adobe Systems, misalnya, memiliki rekam jejak khusus pada Android, dan semua program dari Adobe memiliki ID yang didasarkan pada rekam jejak yang sama.

Aplikasi Palsu Menipu Sistem Keamanan Google

Bluebox menemukan bahwa ketika sebuah aplikasi menyertakan ID Adobe, misalnya, Android tidak melakukan pemeriksaan ulang dengan Adobe mengingat bahwa Adobe adalah salah satu aplikasi yang otentik. Hal tersebut berarti bahwa pelaku kejahatan dapat membuat malware berdasarkan rekam jejak Adobe dan kemudian menginfeksi sistem Anda. Masalahnya tidaklah hanya terkhusus untuk Adobe saja; hackerpun dapat menciptakan aplikasi berbahaya yang meniru Google Wallet dan kemudian melakukan pembayaran akses dan data keuangan.

Masalah yang sama berlaku pada kasus perangkat lunak administratif yang terdapat pada beberapa perangkat, dan memungkinkan hacker mengontrol penuh seluruh sistem.

“Kami pada dasarnya telah menemukan cara untuk membuat ID Card palsu,” kata Forristal. “Ada beberapa cara yang berbeda, namun semuanya berujung pada satu kesimpulan: saya dapat membuat ID Card palsu. Pertanyaannya adalah, ID Card palsu manakah yang saya buat? ”

Android Fake ID Telah Ada Selama Bertahun-tahun Lamanya

Kelemahan tersebut mempengaruhi sistem Android mulai dari versi 2.1 (yang dirilis pada bulan Januari 2010) ke atas, meskipun pada versi terbaru 4.4 atau KitKat, Google telah menutup celah yang berhubungan dengan Adobe, menurut Bluebox. Untuk memberikan gambaran yang lebih jelas mengenai skala ini, pada periode 2012-2013, sekitar 1,4 miliar perangkat baru hadir dengan OS Android, menurut Gartner. Gartner memperkirakan bahwa 1,17 miliar perangkat Android tambahan akan dijual tahun ini.

“Kami menghargai Bluebox yang secara bertanggung jawab melaporkan kerentanan ini kepada kami; penelitian pihak ketiga adalah salah satu cara Android menjadi lebih kuat, “kata Christopher Katsaros, juru bicara Google.

Terbukanya masalah kerentanan ini, menggambarkan bagaimana peneliti keamanan dan Google bisa bekerja sama menangani penemuan kerentanan dalam perangkat lunak atau program. Hal tersebut juga menunjukkan kompleksitas dalam penanganan kerentanan yang mempengaruhi Android karena perbaikan membutuhkan penyesuaian tidak hanya dari Google, tetapi juga dari berbagai pengembang aplikasi dan pembuat perangkat.

Bluebox menyimpulkan penelitiannya pada akhir Maret dan menyerahkannya ke Google pada 31 Maret, demikian menurut Forristal. Tim keamanan Android mengembangkan perbaikan pada bulan April dan menyediakan patch untuk vendor, yang memiliki waktu 90 hari untuk menerapkannya sebelum Bluebox mempublikasikan temuannya, katanya. Bluebox telah menguji sekitar 40 dari 6.300 lebih perangkat berbasis Android yang beredar di pasaran. Sejauh ini Bluebox tahu hanya satu vendor yang telah menghapus sebuah patch dari perangkat mereka, ia menambahkan.

Google Play dan Verify Apps telah ditingkatkan untuk melindungi pengguna dari masalah Android Fake ID, kata Katsaros, juru bicara Google.

“Saat ini, kami telah memindai semua aplikasi yang diajukan ke Google Play maupun yang telah kami tinjau dari luar Google Play dan kami telah melihat tidak ada bukti percobaan eksploitasi sistem dengan memanfaatkan kerentanan ini,” kata Katsaros.

Bluebox berencana untuk membahas temuan tersebut pada konvensi Black Hat di Las Vegas minggu depan. Bersiaplah menunggu lebih banyak berita yang lebih mengejutkan mengenai sistem keamanan, karena kaum ‘Black Hat’ cenderung akan mempublikasikannya secara terbuka kepada publik.

Advertisements

Dapatkan artikel terbaru melalui Email secara GRATIS!

Cek kotak masuk dan klik link untuk aktivasi