JAKARTA, iNews.id - Perusahaan keamanan internet Checkmarx menemukan kerentanan yang terkait dengan masalah permission bypass. Kerentanan ditemukan di aplikasi kamera ponsel Android.
Usai meneliti isu permission bypass di Google Pixel 2 XL dan Pixel 3, Checkmarx menemukan masalah serupa di aplikasi kamera yang digunakan ponsel Android lainnya, termasuk Samsung. Artinya, jumlah pengguna smartphone yang membawa masalah ini diperkirakan mencapai ratusan juta.
“Tim kami menemukan cara memanipulasi tindakan dan maksud tertentu yang memungkinkan aplikasi apa pun, tanpa izin khusus, mengontrol aplikasi Google Camera. Teknis yang sama juga berlaku untuk aplikasi Samsung Camera,” kata Director of Security Research di Checkmarx yang dikutip dari Phone Arena, Kamis (21/11/2019).
Dengan mengeksploitasi kerentanan, penyerang dapat menggunakan aplikasi jahat untuk memaksa kamera pada ponsel yang terpengaruh mengambil gambar dan merekam video, bahkan saat ponsel terkunci atau layar dimatikan. Para peneliti di Checkmarx bahkan dapat mengambil foto dari jarak jauh di ponsel yang sedang melakukan panggilan suara.
Kerentanan aplikasi kamera sendiri mem-bypass sistem permission, tapi aplikasi jahat yang mengambil foto dan video juga dapat memperoleh akses lewat storage permission. Jika lokasi kamera diaktifkan, penyerang dapat mengetahui posisi Anda.
Guna menunjukkan betapa berbahayanya kerentanan kamera ini, Checkmarx mengembangkan aplikasi bukti konsep (PoC) yang tidak memerlukan izin khusus di luar storage permission. Ada dua bagian di aplikasi ini. Satu mewakili aplikasi jahat yang dipasang di ponsel Android dan sisanya mewakili server command-and-control.
Aplikasi yang dikembangkan untuk PoC adalah aplikasi cuaca berbahaya yang terhubung ke server command-and-control, menunggu instruksi darinya. Koneksi ini tetap ada meskipun aplikasi jahat ditutup.