Lebih dari 1.300 Aplikasi Android Mencuri Data Walaupun Izin Ditolak

Smartphone memainkan peran penting dalam kegiatan sehari-hari, memiliki akses ke sumber daya sensitif seperti sensor, kamera, mikrofon dan GPS. Untuk end-user, sangat penting untuk melindungi telepon dari akses yang tidak sah.

Ponsel Android adalah sistem operasi telepon yang paling populer dan paling banyak digunakan, mulai dari Android 6.0 pengguna memberikan dan mencabut izin aplikasi pada waktu berjalan untuk aplikasi pihak ketiga.

Peneliti keamanan dari IMDEA Network Institute UC Berkeley & ICSI AppCensus Inc menemukan bahwa aplikasi dapat menghindari model izin dan mendapatkan akses ke data sensitif tanpa persetujuan pengguna.

Aplikasi dapat memperoleh akses ke area sensitif melalui saluran rahasia dan sisi, dari 88.000 aplikasi dari Google Play AS, 1.325 aplikasi ditemukan melanggar sistem izin.

Menurut laporan ini, saluran sisi yang ada dalam implementasi sistem izin memungkinkan aplikasi mengakses data yang dilindungi dan sumber daya sistem tanpa izin, sedangkan saluran rahasia memungkinkan komunikasi antara dua aplikasi yang berkolusi sehingga satu aplikasi dapat berbagi data yang dilindungi izinnya dengan aplikasi lain yang tidak memiliki izin tersebut. Keduanya menimbulkan ancaman bagi privasi pengguna.

Serangan dikelompokkan ke dalam lima jenis serangan terselubung dan saluran sisi untuk mengekstrak data sensitif dari perangkat.

IMEI (Salmonads & Baidu)

Lima aplikasi yang dikembangkan di platform pengembang pihak ketiga platform Salmonads ditemukan mengandung IMEI, meskipun tidak memiliki izin untuk mengaksesnya.

Analisis lebih lanjut mengungkapkan bahwa aplikasi tersebut mengandung Salmonads SDK yang mengeksploitasi saluran rahasia untuk membaca informasi ini. Mesin pencari terbesar China Baidu menggunakan SDK yang sama.

Network MAC Address

Android secara default melindungi akses ke MAC address perangkat, peneliti mengamati bahwa aplikasi mentransmisikan MAC address perangkat tanpa izin untuk mengaksesnya.

Game engine lintas platform Unity yang digunakan dalam beberapa game ponsel Android terlihat mengirimkan hash MD5 dari MAC ke server Unity.

Router MAC Address

Akses ke MAC address router wifi (BSSID) dilindungi oleh izin ACCESS_WIFI_STATE. Analisis mengungkapkan dua saluran sisi untuk mengakses informasi router wifi yang terhubung, membaca cache ARP dan meminta router secara langsung.

Geolocation

Lebih dari 70 aplikasi mengirim data lokasi ke 45 domain berbeda tanpa memiliki izin lokasi apapun.

Misalnya, Shutterfy dan EXIF metadata mengirim geolokasi yang tepat termasuk garis lintang dan bujur ke servernya, meskipun izin ini tidak diberikan.

Meskipun aplikasi ini mungkin tidak bermaksud untuk menghindari sistem izin, teknik ini dapat dieksploitasi oleh orang jahat untuk mendapatkan akses ke lokasi pengguna.

Bug telah dilaporkan oleh peneliti ke Google pada bulan September lalu dan mendapat bug bounty untuk mengungkapkan masalah dan perbaikan akan tersedia dengan rilis Android Q.

(Visited 11 times, 1 visits today)

Leave a Reply

Your email address will not be published. Required fields are marked *