Muslimahdaily - Kembali ditemukan celah keamanan di ponsel berbasis Android, celah keamanan ini memungkinkan peretas untuk mengendalikan aplikasi kamera pada smartphone. Mulai dari mengambil foto, merekam video, mematai-matai lewat percakapan jarak jauh dengan merekam saat pengguna melakukan panggilan telepon.

Celah keamanan ini dilaporkan oleh Checkmarx beberapa waktu lalu. Erez Yalon, Direktur Penelitian Keamanan Checmarx mengungkapkan, ketika tim peneliti mulai meneliti aplikasi Google Camera pada smartphone pixel 2XL dan Pixel 3, mereka menemukan beberapa kelemahan.

“Tim kami menemukan cara memanipulasi tindakan dan maksud tertentu, memungkinkan aplikasi apa pun, tanpa izin khusus, untuk mengontrol aplikasi Google Camera. Teknik yang sama ini juga berlaku untuk aplikasi Kamera Samsung. Implikasi dari kerentanan ini, mengingat jejak kaki Google dan smartphone Samsung saja, menghadirkan ancaman signifikan bagi ratusan juta pengguna,” ujarnya.

Para peneliti Checkmarx membuat skenario penyerangan yang menyalahgunakan aplikasi Kamera Google sendiri untuk mem-bypass izin dari pengguna. Mereka melakukannya dengan membuat aplikasi jahat yang mengeksploitasi salah satu izin yang paling sering diminta, seperti aksi penyimpanan.

“Aplikasi jahat yang berjalan di smartphone Android yang dapat membaca kartu SD, tidak hanya memiliki akses ke foto dan video sebelumnya, tetapi dengan metodologi serangan baru ini, dapat diarahkan untuk mengambil foto dan video baru sesuka hati,”kata Yalon.

Ciptakan Proof of Concept (PoC)

Proof of Concept atau PoC diciptakan Checkmarx dengan mengembangkan aplikasi jahat, aplikasi cuaca yang ada di Google Play Store. Aplikasi ini tidak memerlukan izin khusus selain akses penyimpanan dasar. Aplikasi ini tidak berbahaya, di mana setelah terinstall akan membuat koneksi persisten perintah dan kontrol untuk menunggu instruksi lanjutan.

“Menutup aplikasi tidak menutup koneksi server itu. Instruksi apa yang bisa dikirim oleh penyerang, menghasilkan tindakan apa? Saya harap Anda duduk karena daftar yang panjang dan mengkhawatirkan,” tamban Yelon.

1.    Ambil foto menggunakan kamera ponsel pintar dan unggah ke server perintah.

2.    Rekam video menggunakan kamera ponsel cerdas dan unggah ke server perintah.

3.    Tunggu panggilan suara untuk memulai, dengan memantau sensor jarak ponsel cerdas untuk menentukan kapan ponsel dipegang di telinga dan merekam audio dari kedua sisi percakapan.

4.    Selama panggilan yang dipantau tersebut, penyerang juga dapat merekam video pengguna pada saat yang sama dengan menangkap audio.

5.    Ambil tag GPS dari semua foto yang diambil dan gunakan ini untuk menemukan pemiliknya di peta global.

6.    Akses dan salin informasi foto dan video yang tersimpan, serta gambar yang diambil selama serangan.

7.    Operasikan secara diam-diam dengan membungkam ponsel cerdas saat mengambil foto dan merekam video, jadi tidak ada rana kamera yang membunyikan peringatan kepada pengguna.

8.    Kegiatan perekaman foto dan video dapat dimulai terlepas dari apakah smartphone tidak terkunci.