Perusahaan penelitian keamanan BlueBox telah menemukan "Master Key" yang bisa memberikan akses kepada pencuri cyber di hampir semua ponsel Android.
Bug dapat dimanfaatkan untuk membiarkan penyerang melakukan apa yang mereka inginkan. termasuk mencuri data, menguping atau menggunakannya untuk mengirim spam.
Bug ini telah ada pada semua versi sistem operasi Android sejak di rilis 2009.
Google belum memberikan komentar pada penemuan bluebox itu saat ini.
Menulis di blog bluebox, Jeff Forristal, mengatakan implikasi dari penemuan yang "besar".
Bug muncul karena cara Android menangani verifikasi kriptografi program yang diinstal di telepon.
Android menggunakan tanda kriptografi sebagai cara untuk memeriksa bahwa sebuah aplikasi atau program adalah sah dan untuk memastikan itu belum dirusak. Forristal dan rekan-rekannya telah menemukan metode untuk menipu Android memeriksa tanda tangan ini sehingga perubahan berbahaya untuk aplikasi luput dari perhatian.
Setiap aplikasi atau program yang ditulis untuk mengeksploitasi bug akan menikmati akses yang sama ke telepon versi yang sah dari aplikasi yang dinikmati.
"Hal ini pada dasarnya dapat mengambil alih fungsi normal dari telepon dan mengontrol fungsinya," tulis Forristal. Bluebox melaporkan menemukan bug ke Google pada bulan Februari. Forristal berencana untuk mengungkapkan informasi lebih lanjut tentang masalah di konferensi Black Hat hacker yang diadakan pada bulan Agustus tahun ini.
Bahaya dari celah masih tetap sebatas teori karena belum ada bukti eksploitasi dari pencuri cyber. Satu rintangan lainnya adalah bahwa dalam rangka untuk memancing pengguna Android, hacker harus mendapatkan versi jebakan dari aplikasi yang sah di toko Google Play, kata ahli keamanan Dan Wallach dalam sebuah wawancara dengan Ars Technica.
{ 0 komentar... Views All / Send Comment! }
Posting Komentar