Jubah dan belati mengeksploitasi android: mencuri penekanan tombol dan log

Para peneliti di Institut Teknologi Georgia dan Universitas California, Santa Barbara, telah merilis laporan yang menyatakan beberapa kerentanan ditemukan dengan sistem operasi Android Lollipop, Marshmallow dan Nougat.

Menurut para peneliti, aplikasi jahat memiliki kemampuan untuk mengeksploitasi dua izin di Play Store - 'undian di atas' dan 'layanan aksesibilitas'.

Pengguna mungkin diserang menggunakan salah satu dari kerentanan ini atau keduanya. Penyerang dapat mengklik tombol, merekam penekanan tombol, mencuri PIN keamanan perangkat, memasukkan adware ke dalam perangkat dan juga mengukuhkan token otentikasi dua faktor.

Baca Juga: 5 Tips untuk Mencegah Perangkat Android Anda dari Terkena Ransomware.

“Cloak & Dagger adalah kelas baru dari serangan potensial yang mempengaruhi perangkat Android. Serangan-serangan ini memungkinkan aplikasi jahat untuk sepenuhnya mengontrol loop umpan balik UI dan mengambil alih perangkat, tanpa memberi pengguna kesempatan untuk melihat aktivitas jahat, ”catat para peneliti.

Kerentanan Ini Telah Terkena Sebelumnya Juga

Awal bulan ini, kami telah melaporkan tentang kerentanan yang belum diperbaiki serupa dalam sistem operasi Android yang akan menggunakan izin 'System_Alert_Window' yang digunakan untuk 'menggambar di atas'.

Sebelumnya, izin ini - System_Alert_Window - harus diberikan secara manual oleh pengguna, tetapi dengan munculnya aplikasi seperti Facebook Messenger dan lainnya yang menggunakan pop-up di layar, Google memberikannya secara default.

Meskipun kerentanan, jika dieksploitasi, dapat menyebabkan serangan ransomware atau adware secara penuh, itu tidak akan mudah bagi seorang hacker untuk memulai.

Izin ini bertanggung jawab atas 74% ransomware, 57% adware, dan 14% dari serangan malware bankir pada perangkat Android.

Semua aplikasi yang Anda unduh dari Play Store dipindai untuk menemukan kode jahat dan makro. Jadi, penyerang harus menghindari sistem keamanan inbuilt Google untuk mendapatkan akses ke app store.

Google baru-baru ini juga memperbarui sistem operasi selulernya dengan lapisan keamanan tambahan yang memindai semua aplikasi yang sedang diunduh ke perangkat melalui Play Store.

Apakah Menggunakan Android Aman Saat Ini?

Aplikasi berbahaya yang diunduh dari Play Store mendapatkan dua izin yang disebutkan di atas secara otomatis, yang memungkinkan penyerang merusak perangkat Anda dengan cara berikut:

• Invisible Grid Attack: Penyerang menarik overlay yang tidak terlihat ke perangkat, memungkinkan mereka untuk login keystrokes.
• Mencuri PIN perangkat dan mengoperasikannya di latar belakang bahkan ketika layar dimatikan.
• Menyuntikkan adware ke dalam perangkat.
• Menjelajahi web dan phishing secara diam-diam.

Para peneliti menghubungi Google tentang kerentanan yang ditemukan dan telah mengkonfirmasi bahwa meskipun perusahaan telah menerapkan perbaikan, mereka tidak terbukti bodoh.

Pembaruan menonaktifkan overlay, yang mencegah serangan grid tak terlihat, tetapi Clickjacking masih memungkinkan karena izin ini dapat dibuka oleh aplikasi jahat menggunakan metode membuka kunci telepon bahkan ketika layar dimatikan.

Keyboard Google juga telah menerima pembaruan yang tidak mencegah keystroke logging tetapi memastikan bahwa kata sandi tidak bocor ketika setiap kali memasukkan nilai ke dalam bidang kata sandi, sekarang keyboard mencatat kata sandi sebagai 'titik' alih-alih karakter yang sebenarnya.

Namun ada cara lain yang bisa dimanfaatkan oleh para penyerang.

"Karena dimungkinkan untuk menghitung widget dan kode hash mereka yang dirancang untuk menjadi pseudo-unik, kode hash cukup untuk menentukan tombol keyboard mana yang benar-benar diklik oleh pengguna, " kata para peneliti.

Baca Juga: 13 Fitur Android Keren yang Akan Dikeluarkan oleh Google.

Semua kerentanan yang ditemukan oleh penelitian masih rentan terhadap serangan meskipun versi terbaru Android menerima patch keamanan pada 5 Mei.

Para peneliti mengajukan aplikasi ke Google Play Store yang membutuhkan dua izin tersebut dan jelas menunjukkan niat jahat, tetapi disetujui dan masih tersedia di Play Store. Ini menunjukkan bahwa keamanan Play Store tidak benar-benar berfungsi dengan baik.

Apa Taruhan Terbaik untuk Tetap Aman?

Memeriksa dan menonaktifkan kedua izin ini secara manual untuk aplikasi tidak tepercaya yang memiliki akses ke salah satu atau keduanya adalah yang terbaik

Ini adalah bagaimana Anda dapat memeriksa aplikasi mana yang memiliki akses ke dua izin 'khusus' ini di perangkat Anda.

• Android Nougat: " undian di atas" - Pengaturan -> Aplikasi -> 'Simbol persneling (kanan atas) -> Akses khusus -> Gambar di atas aplikasi lain

  'a11y': Pengaturan -> Aksesibilitas -> Layanan: periksa aplikasi mana yang membutuhkan a11y.

• Android Marshmallow: "menggambar di atas" - Pengaturan -> Aplikasi -> "Simbol roda gigi" (kanan atas) -> Gambar di atas aplikasi lain.

  a11y: Pengaturan → Aksesibilitas → Layanan: periksa aplikasi mana yang membutuhkan a11y.

• Android Lollipop: "menggambar di atas" - Pengaturan -> Aplikasi -> klik pada masing-masing aplikasi dan mencari "menarik dari aplikasi lain"

  a11y: Pengaturan -> Aksesibilitas -> Layanan: periksa aplikasi mana yang membutuhkan a11y.

Google akan memberikan pembaruan keamanan lebih lanjut untuk menyelesaikan masalah yang ditemukan oleh para peneliti.

Baca Juga: Inilah Cara Menghapus Ransomware Dari Ponsel Anda.

Sementara beberapa dari kerentanan ini akan diperbaiki oleh pembaruan berikut, masalah seputar izin 'draw on top' tetap ada sampai Android O dirilis.

Risiko keamanan di internet tumbuh dalam skala besar dan saat ini, satu-satunya cara untuk melindungi perangkat Anda adalah dengan menginstal perangkat lunak antivirus tepercaya dan menjadi main hakim sendiri.