Pencuri bisa mendapatkan akses ke ponsel Android melalui koneksi Near Field Communication (NFC), para peneliti telah menunjukkan.
Menurut peretas telepon serial Charlie Miller, peretasan akan bekerja dengan banyak handset berkemampuan NFC, dan membayangi sistem pembayaran yang menggunakan teknologi tersebut. "Aku bisa mengambil alih teleponmu," kata Miller.
Peretasan – dan berbagai kerentanan malware – ditunjukkan pada konferensi peretasan Black Hat di Las Vegas, tempat 6.500 profesional keamanan perusahaan dan pemerintah berkumpul untuk mempelajari tentang ancaman yang muncul jaringan.
NFC memungkinkan pengguna untuk berbagi foto dengan teman, melakukan pembayaran atau bertukar data lainnya dengan membawa Android ponsel dalam jarak beberapa sentimeter dari perangkat yang dilengkapi serupa, seperti smartphone lain atau pembayaran terminal.
Google telah menambahkan beberapa fitur keamanan yang hebat, tetapi tidak ada yang memilikinya
Miller mengatakan dia telah menciptakan perangkat seukuran prangko yang dapat ditempelkan di tempat yang tidak mencolok, seperti di dekat mesin kasir di sebuah restoran. Ketika handset Android cukup dekat, dia bisa mendapatkan akses ke sistem. Miller juga memamerkan peretasan Bluetooth untuk mengakses data yang disimpan di handset.
Miller dan sesama pakar peretasan, Georg Wicherski dari CrowdStrike, juga menginfeksi ponsel Android dengan kode berbahaya yang diluncurkan Wicherski pada bulan Februari. Sepotong perangkat lunak itu mengeksploitasi kelemahan keamanan di browser Android yang diungkapkan secara publik oleh tim pengembangan browser Google Chrome.
Ada perdebatan yang sedang berlangsung tentang tingkat ancaman malware terhadap pengguna Android, dengan beberapa pakar mempertanyakan taktik menakut-nakuti dari perusahaan antivirus. Demonstrasi menunjukkan masalah setidaknya ada, meskipun Google berusaha memperbaiki situasi dengan sistem deteksi Bouncer-nya. "Google sedang membuat kemajuan, tetapi pembuat perangkat lunak berbahaya sedang bergerak maju," kata Sean Schulte dari SpiderLabs Trustwave.
Perbarui sistem kelemahan
Google telah memperbaiki kelemahan di Chrome, yang sering diperbarui, sehingga sebagian besar pengguna terlindungi, kata Wicherski Pengguna Android masih rentan karena operator dan produsen perangkat belum mendorong perbaikan atau tambalan tersebut pengguna.
Marc Maiffret, chief technology officer dari perusahaan keamanan BeyondTrust, berkata: "Google telah menambahkan beberapa fitur keamanan yang hebat, tetapi tidak ada yang memilikinya."
Para ahli mengatakan iPhone dan iPad tidak menghadapi masalah yang sama karena Apple mengeluarkan pembaruan keamanan dengan cukup cepat setelah dirilis.
Eksploitasi Play Store
Dua peneliti Trustwave juga memberi tahu peserta tentang teknik yang mereka temukan untuk menghindari teknologi "Bouncer" Google untuk mengidentifikasi program berbahaya di Google Play Store.
Mereka membuat aplikasi pemblokiran pesan teks yang menggunakan alat pemrograman resmi yang dikenal sebagai JavaScript Bridge. Jembatan JavaScript memungkinkan pengembang menambahkan fitur baru ke program dari jarak jauh tanpa melalui proses pembaruan Android normal.
Perusahaan termasuk Facebook dan LinkedIn menggunakan Jembatan JavaScript untuk tujuan yang sah, menurut Trustwave, tetapi juga dapat dieksploitasi secara jahat.
Untuk membuktikan maksud mereka, para peneliti memuat kode berbahaya ke salah satu ponsel mereka dan dari jarak jauh menguasai browser. Begitu mereka melakukannya, mereka dapat memaksanya untuk mengunduh lebih banyak kode dan memberi mereka kendali penuh.
“Semoga Google dapat menyelesaikan masalah ini dengan cepat,” ujar Nicholas Percoco, senior vice president dari Trustwave’s SpiderLabs. “Untuk saat ini, Android adalah Wild West.”
