Bagaimana jika peretas dapat mengambil aplikasi yang sah atau memperbarui dengan tanda tangan digital yang valid, dan memodifikasinya untuk menggunakannya sebagai Trojan jahat untuk mengakses semua yang ada di ponsel Android Anda atau tablet? Saat peneliti dari startup keamanan seluler menelepon Keamanan Bluebox terungkap bahwa mereka telah mengidentifikasi kerentanan yang memengaruhi "99 persen" perangkat Android, itu menjadi berita utama teknologi di seluruh Web. Tetapi haruskah Anda khawatir?
Apa masalahnya?
“Kerentanan ini, setidaknya sejak rilis Android 1.6 (nama kode: “Donut”), dapat memengaruhi ponsel Android apa pun yang dirilis dalam 4 tahun terakhir,” jelas Jeff Forristal, CTO Bluebox, dalam sebuah posting di blog perusahaan. Dia melanjutkan dengan menunjukkan bahwa "...seorang peretas dapat mengeksploitasi kerentanan untuk apa pun mulai dari pencurian data hingga pembuatan botnet seluler."
Video yang Direkomendasikan
File APK, atau paket aplikasi Android, berisiko karena cacat ini memungkinkan peretas untuk mengubah aplikasi atau pembaruan yang sah, tetapi mempertahankan tanda tangan digital yang memverifikasi keamanannya. Mereka dapat membuat aplikasi palsu untuk mencuri kata sandi Anda dan menggunakan tanda tangan digital yang sah, sehingga ponsel Android Anda mengira itu dibuat oleh perusahaan seperti Samsung, HTC, atau bahkan Google sendiri. Karena produsen perangkat dan mitra tepercaya membuat aplikasi dengan akses istimewa ke sistem Android Anda, risiko sesuatu yang berbahaya masuk ke ponsel Anda menjadi sangat serius.
Terkait
- 5 hal yang ingin kami lihat di Google I/O 2023 (tetapi mungkin tidak)
- Tenang, aturan USB-C UE yang menakutkan tidak akan merampok manfaat pengisian cepat Anda
- Aplikasi pemblokiran iklan terbaik untuk Android pada tahun 2022
Apa yang dilakukan tentang ini?
Bluebox mengungkapkan bug keamanan Android 8219321 ke Google pada Februari 2013. Google telah memperbarui Play Store sehingga ada pemeriksaan untuk memblokir aplikasi jahat apa pun yang menggunakan eksploit ini. Google membagikan bug tersebut dengan mitra perangkat kerasnya di Open Handset Alliance dan beberapa pabrikan telah merilis tambalan untuk memperbaiki masalah keamanan ini.
Bagaimana cara menghindari malware?
Jika Anda berhati-hati untuk tidak meninggalkan ponsel tanpa pengawasan dan Anda hanya menginstal aplikasi dan pembaruan dari Google Play maka tidak ada alasan untuk khawatir karena Anda tidak benar-benar berisiko dari ini mengeksploitasi. Jika Anda ingin memastikan Anda tidak terpengaruh, buka Setelan > Keamanan dan pastikan bahwa izinkan instalasi dari kotak "sumber tidak dikenal" tidak dicentang.
Kami telah membahas Dasar-dasar keamanan aplikasi Android sebelumnya dan mereka masih berlaku. Penjahat sekarang tidak dapat menggunakan Google Play Store untuk mengedarkan malware menggunakan eksploit ini sehingga sekarang aman untuk mengunduh aplikasi di sana. Yang harus Anda hindari adalah menginstal aplikasi atau pembaruan dari sumber lain – bahkan toko aplikasi Samsung atau Amazon – setidaknya untuk saat ini. Toko aplikasi Android pihak ketiga dan tautan langsung di situs web adalah metode pengiriman yang paling mungkin, tetapi malware dapat tiba melalui email, atau bahkan mentransfer ke perangkat Anda melalui kabel USB (jika Anda menyambungkan ponsel ke perangkat Anda komputer).
“Masalah utama penyebaran malware di Android adalah membuat pengguna mengunduh dan menginstal sesuatu dari sumber yang tidak aman (pasar pihak ketiga tertentu atau langsung dari web),” Maik Morgenstern, dari institut keamanan independen, AV-Test, menjelaskan kepada kami. “Kerentanan yang dilaporkan tidak 'membantu' pembuat malware di sini dengan cara apa pun. Masih akan kesulitan mendapatkan kreasi mereka di Google Play Store dan bahkan jika mereka berhasil, aplikasi mereka tidak akan terdaftar di bawah akun penulis asli, tentu saja. [Misalnya,] jika mereka membuat versi trojanized dari Burung-burung pemarah, itu akan terdaftar di bawah Nama Pembuat Malware dan bukan di bawah Rovio. Jadi pengguna tidak akan menemukan aplikasi trojan ini. Jika pengguna hanya mengunduh aplikasi dari Google Play Store, mereka seharusnya aman.”
Jadi, saya bisa santai?
Masalah dengan Android adalah Google dapat mengambil tindakan untuk memperbaiki kelemahan dan eksploitasi peretasan, tetapi tidak dapat meluncurkan pembaruan sistem secara luas.
“Masalah utamanya adalah kebijakan pembaruan dari banyak pabrikan,” kata Morgenstern kepada kami. “Perangkat lama tidak menerima pembaruan lagi (sehingga perangkat ini akan tetap rentan) dan bahkan pembaruan untuk perangkat baru bisa memakan waktu berbulan-bulan.”
Terserah masing-masing produsen dan operator seluler (AT&T, Verizon, T-Mobile, Sprint, dll) untuk mendorong pembaruan ke perangkat. Sudah umum perangkat Android lama tertinggal. Jika Anda memiliki perangkat lama yang berisiko dan Anda tidak senang menggunakan Google Play, maka Anda dapat terpapar untuk beberapa waktu mendatang.
Perbarui 9-7-2013: Saran dari Bluebox
Setelah artikel ini diterbitkan, Bluebox menghubungi kami. Mereka mendesak pengguna bahwa cara terbaik untuk mengurangi risiko kerentanan ini adalah dengan “Hubungi produsen perangkat Anda atau operator seluler Anda tentang model perangkat Android spesifik Anda. dan versi OS untuk melihat apakah pembaruan/perbaikan terbaru telah tersedia.” Mereka juga menunjukkan bahwa Anda mungkin perlu memeriksa catatan rilis untuk konfirmasi bahwa perbaikan disertakan dalam memperbarui. Jika Anda tidak dapat menemukannya untuk perangkat Anda, mereka menyarankan agar Anda menghindari memasang apa pun dari luar Google Play untuk saat ini.
CTO Bluebox, Jeff Forristal, berencana untuk merilis detail teknis dari masalah tersebut pada pembicaraannya di Topi Hitam Amerika Serikat 2013 di akhir bulan. Masih harus dilihat bagaimana vendor perangkat Android besar akan bereaksi. Kami akan mengabari Anda.
Artikel awalnya diterbitkan 8-7-2013.
Rekomendasi Editor
- Jangan lewatkan kesempatan Anda untuk mendapatkan tablet Android Lenovo ini seharga $120
- Anda tidak akan percaya betapa murahnya iPad ini, berkat Cyber Monday
- Google ingin Anda tahu bahwa aplikasi Android tidak lagi hanya untuk ponsel
- Hal terbaik tentang Android 13 bukanlah fitur atau pengaturan baru — ini adalah sesuatu yang lain
- Pengisian daya nirkabel tidak berfungsi pada Pixel Anda dengan Android 13? Anda tidak sendirian
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.
