» » » » » Tercatat 1.200 Lebih Aplikasi Android Mencuri Data Pengguna Meskipun Izin Ditolak

Tercatat 1.200 Lebih Aplikasi Android Mencuri Data Pengguna Meskipun Izin Ditolak

, , , Edit
Gambar diambil dari Google


Smartphone memiliki peran penting dalam kegiatan sehari-hari, ia memiliki akses ke sensor, kamera, mikrofone, dan GPS. Sangatlah penting untuk melindungi ponsel dari akses yang ilegal atau tidak sah.
Android adalah sistem operasi yang paling populer dan paling banyak digunakan sampai saat ini.

Peneliti keamanan dari IMDEA Network Institute, UC Berkeley dan ICSI AppCensus, Inc menemukan bahwa aplikasi dapat menghindari dari perizinan dan mendapatkan akses ke data sensitif tanpa persetujuan pengguna.

Aplikasi dapat memperoleh akses ke area sensitif melalui side channel dan covert channel. Lebih dari 80,000 aplikasi dari Google Play, 1.325 aplikasi diantaranya ditemukan telah melanggar sistem perizinan.

Menurut laporan itu, side channel yang ada dalam implementasi sistem perizinan memungkinkan aplikasi mengakses data yang dilindungi dan resource sistem tanpa izin, sedangkan covert channel memungkinkan komunikasi antara dua aplikasi yang berkolusi sehingga satu aplikasi dapat berbagi data yang dilindungi izinnya dengan aplikasi lain yang tidak memiliki izin tersebut . Keduanya menimbulkan ancaman bagi privasi pengguna.

Serangan dikelompokan ke dalam 5 jenis yang mana ditujukan untuk mengambil data sensitif dari perangkat.


IMEI (Salmonads dan Baidu)

5 aplikasi yang dikembangkan oleh pihak ketiga Salmonads, ditemukan mengandung IMEI, meskipun mereka tidak memiliki izin untuk mengaksesnya.

Analisis lebih lanjut mengungkapkan bahwa aplikasi tersebut mengandung Salmonads SDK yang mengekploitasi covert channel untuk membaca informasi ini. Mesin pencari terbesar Cina 'Baidu' menggunakan SDK yang sama.

MAC Address Jaringan

Android secara default melindungi akses ke alamat MAC perangkat, peneliti mengamati bahwa aplikasi mentransmisikan alamat MAC perangkat tanpa izin untuk mengaksesnya.

Mesin game lintas platform Unity yang digunakan dalam beberapa game ponsel Android terlihat mengirimkan hash MD5 dari MAC ke server Unity.

MAC Address Router

Akses ke alamat MAC router Wifi (BSSID) dilindungi oleh izin ACCESS_WIFI_STATE. Analisis kami mengungkapkan ada 2 side channel untuk mengakses informasi router WiFi  yang terhubung: membaca cache ARP dan meminta ke router secara langsung.

Geolokasi

Lebih dari 70 aplikasi mengirim data lokasi ke 45 domain berbeda tanpa memiliki izin lokasi apapun.

Misalnya, Shutterfy dan EXIF Metadata mengirim geolokasi yang tepat termasuk garis lintang dan bujur ke servernya, meskipun izin itu tidak diberikan.

"Meskipun aplikasi ini mungkin tidak bermaksud untuk menghindari sistem perizinan, teknik ini dapat dieksploitasi oleh pihak yang tidak bertanggung jawab untuk mendapatkan akses ke lokasi pengguna."

Bug telah dilaporkan oleh peneliti Google pada bulan September lalu dan perbaikan akan tersedia dengan dirilisnya Android Q.

Subscribe to receive free email updates:

0 Response to "Tercatat 1.200 Lebih Aplikasi Android Mencuri Data Pengguna Meskipun Izin Ditolak"

Post a Comment

Subscribe to: Post Comments (Atom)