Para periset ini menginformasikan tentang celah keamanan ini pada acara konferensi Black Hat, dan repotnya celah ini membuat jutaan perangkat Android isa diserang oleh para Hacker dan diambil alih. Mereka menamakan celah ini Certifi-gate yang terletak pada implementasi mobile Remote Support Tool (mRST) oleh para OEM (produsen/pabrik dari perangkat Android seperti Sony, LG maupun Samsung) di mana fitur ini memungkinkan plugin pihak ketiga untuk menduplikasi layar perangkat dan melakukan tindakan ke perangkat menggunakan certificate dari OEM.
Certifi-gate pun menampilkan video demo kasus eksploitasi tersebut di website mereka, seperti yang tampak pada screenshot berikut.
Bila berhasil dieskploitasi, Certifi-gate memungkinkan aplikasi nakal mendapatkan akses tak terbatas pada perangkat tanpa terdeteksi, bahkan bisa memungkinkan untuk mengakses data pengguna dan melakukan tindakan yang harusnya hanya bisa dilakukan oleh pemilik perangkat.
Pihak Samsung maupun Google langsung memberikan respon terhadap hal ini dan menganjurkan para pengguna untuk mendownload aplikasi terpercaya saja dan tidak sembarangan menginstall aplikasi, terutama yang bukan terdapat di Google Play Store maupun di luar toko Aplikasi Samsung. Namun sayangnya tidak semua aplikasi di Play Store pun bisa dikatakan aman seratus persen.
Para periset Check Point berhasil mendapati celah ini dengan cara memeriksa metode verifikasi komponen dari sistem mRST dalam memvalidasi aplikasi remote support dan mereka mendapati ada logika implementasi yang bisa dimanfaatkan oleh para hacker.
Komponen dari sistem mRST pihak ketiga seringkali sudah terinstal pada perangkat atau disertakan sebagai software bawaan di perangkat, sehingga banyak sekali perangkat yang diduga memiliki celah keamanan ini yang juga menambah kesulitan dalam proses patching dan kadangkala tidak bisa menghilangkan komponen karena merupakan software bawaan dari produsen.
Untuk mengatasi hal ini, Check Point sudah menyediakan aplikasi scanner untuk memastikan apakah perangkat Anda terekspos oleh celah Certifi-gate, Anda dapat mendownloadnya di link: Aplikasi scanner Certifi-gate dari Check Point dan mereka pun menyediakan laporan detail seputar Certifi-gate ini link
0 komentar:
Post a Comment
silahkan berikan komentar sobat dengan baik tanpa meninggalkan spam ya sobat..
Click to see the code!
To insert emoticon you must added at least one space before the code.