Bluebox Temukan Celah Keamanan di Smartphone Android

Peneliti keamanan digital BlueBox berhasil menemukan celah keamanan (bug) bernama “Master Key” di hampir seluruh smartphone berOS Android saat ini. Bug tersebut memungkinkan hacker dapat melakukan apa yang mereka inginkan di perangkat Android yang diretasnya, termasuk mencuri data informasi pribadi, menguping pembicaraan telepon, dan bahkan mengirim pesan SMS dan email.

Menurut Chief Technology Officer BlueBox, Jeff Forristal dalam blognya, Bug itu sudah ada sejak 2009 silam atau sewaktu Android masih dalam versi 1.6 dengan codename “Donut”. Artinya, bug ini terus hidup selama empat tahun terakhir di setiap ponsel Android, walau telah berganti versi baru. Diperkirakan, terdapat 900 juta perangkat Android yang beredar saat ini.

Ia mengatakan, bug tersebut muncul ketika Android melakukan kesalahan verifikasi kriptografi terhadap perangkat lunak yang akan diinstal pada smartphone.

Semua aplikasi Android mengandung tanda tangan kriptografi. Android menggunakan tanda kriptografi itu sebagai cara untuk memeriksa apakah sebuah aplikasi atau program yang akan diinstal adalah sah dan belum dirusak atau dimodifikasi.

Bug ini memberi celah bagi peretas untuk dapat memalsukan pengesahan aplikasi tanpa mengubah tanda tangan kriptografi aplikasi itu sendiri. Dengan kata lain, memungkinkan hacker dapat menipu sistem Android ketika melakukan verifikasi penginstalan program aplikasi. Pengguna Android pun tidak akan menyadarinya. Sebab yang Ia tahu, aplikasi instalannya itu terlihat baik-baik saja, padahal belum tentu aman.

Cara kerjanya, Hacker memasukan sebuah trojan berbahaya ke dalam sebuah APK atau paket aplikasi Android tanpa perlu melanggar tanda kriptografinya. Lalu hacker menyebarkan aplikasi modifikasinya ke situs online berbagi file.

Forristal menyarankan, pemilik perangkat Android harus ekstra hati-hati dalam mengidentifikasi developer dari aplikasi yang akan didownload.

“Dalam kasus ini, kami telah memodifikasi sistem informasi perangkat lunak dengan memasukkan nama “bluebox”,” katanya.

Bluebox telah melaporkan penemuan bug ini ke pihak Google pada Februari lalu. Namun sayangnya, Google belum memberikan komentar pada penemuan bluebox itu saat ini. Forristal pun berencana, mengungkapkan temuan ini lebih lanjut di konferensi peretas internasional, Black Hat Hacker yang diadakan pada Agustus tahun ini.

Dikutip dari BBC, March Rogers, seorang peneliti di perusahaan kemanan ponsel Lookout mengatakan, Google telah diberitahu tentang adanya bug ini. Google pun telah menambahkan sistem pemeriksaan di Google Play Store-nya untuk melihat dan menghentikan aplikasi yang telah dimodifikasi dengan cara ini.

Menurut dugaan, bahaya dari bug ini dipandang masih sebatas teori belaka. Sebab, belum ada bukti eksploitasi kejahatan cyber dari peretas.