Lebih dari 99 persen ponsel Android berpotensi membocorkan data dan jika data itu dicuri bisa digunakan untuk mendapatkan informasi yang disimpan di jaringan online.
Data yang bocor itu umumnya digunakan untuk mendapat layanan berbasis internet seperti Google Calendar.
Tim peneliti keamanan informasi Jerman menemukan potensi ini ketika mengkaji cara telepon Android menangani informasi identifikasi seperti ketika pengguna melakukan login.
Google masih mengomentari celah yang ditemukan tim peneliti dari Universitas Ulm yang beranggotakan Bastian Konings, Jens Nickels, dan Florian Schaub.
Banyak aplikasi yang diinstal di ponsel Android berinteraksi dengan layanan Google meminta pengguna memberikan token otentikasi, yang tidak lain adalah kartu identitas digital untuk aplikasi yang bersangkutan.
Dengan token, pengguna tidak perlu lagi melakukan login ke layanan dalam jangka waktu tertentu.
Tim peneliti Jerman mendapati, token itu sering dikirim dalam teks yang tidak dienkripsi melalui jaringan nirkabel.
"Inilah yang membuat token mudah diketahui, sehingga orang jahat yang menyadap arus lalulintas jaringan nirkabel bisa menemukan dan mencuri data token,' kata tim peneliti yang dikutip BBC, Selasa (17/5).
Tim peneliti keamanan informasi Jerman menemukan potensi ini ketika mengkaji cara telepon Android menangani informasi identifikasi seperti ketika pengguna melakukan login.
Google masih mengomentari celah yang ditemukan tim peneliti dari Universitas Ulm yang beranggotakan Bastian Konings, Jens Nickels, dan Florian Schaub.
Banyak aplikasi yang diinstal di ponsel Android berinteraksi dengan layanan Google meminta pengguna memberikan token otentikasi, yang tidak lain adalah kartu identitas digital untuk aplikasi yang bersangkutan.
Dengan token, pengguna tidak perlu lagi melakukan login ke layanan dalam jangka waktu tertentu.
Tim peneliti Jerman mendapati, token itu sering dikirim dalam teks yang tidak dienkripsi melalui jaringan nirkabel.
"Inilah yang membuat token mudah diketahui, sehingga orang jahat yang menyadap arus lalulintas jaringan nirkabel bisa menemukan dan mencuri data token,' kata tim peneliti yang dikutip BBC, Selasa (17/5).
Berbekal token, orang jahat akan bisa berpura-pura menjadi pengguna tertentu dan mendapatkan informasi pribadi mereka.
Menurut peneliti, token juga tidak terikat dengan ponsel tertentu atau dengan waktu penggunaan, sehingga token bisa digunakan untuk membuat suatu ponsel memiliki identitas yang sama dengan ponsel lain.
"Pihak lawan bisa mendapatkan akses penuh ke kalender, informasi kontak, atau album pribadi di internet si pengguna Google," kata tim peneliti dalam suatu posting blog ketika menjelaskan temuan mereka.
Penyalahgunaan celah tersebut mungkin menyebabkan orang kehilangan data, tapi perubahan-perubahan lain mungkin sulit diketahui.
"Pihak lawan bisa mengubah alamat e-mail bos si korban, atau mitra bisnisnya yang tersimpan dengan harapan bisa mendapatkan bahan sensitif atau rahasia terkait dengan bisnis mereka," kata tim peneliti.
Belum ada petunjuk bahwa serangan pada saat ini memanfaatkan celah Android ini.
Hampir semua versi sistem operasi Android meneruskan token otentikasi yang tidak dienkripsi ke layanan lain, demikian temuan lain yang dilaporkan tim Jerman.
Masalah ini telah diatasi pada versi 2.3.4, tapi statistik Google mengindikasikan baru 0,3 persen ponsel Android menggunakan piranti lunak tersebut.
Beberapa layanan lain Google, seperti situs berbagi foto Picasa, masih menggunakan token otentikasi tanpa enkripsi yang bisa dicuri.
Tim peneliti mengimbau pemilik telepon Android mengupdate ponsel milik mereka demi agar tidak menjadi korban serangan yang memanfaatkan celah Android.
Google dilaporkan tengah bekerja sama dengan kalangan operator telekomunikasi dan produsen ponsel untuk menyalurkan update Android lebih cepat dari yang berlangsung selama ini.
Menurut peneliti, token juga tidak terikat dengan ponsel tertentu atau dengan waktu penggunaan, sehingga token bisa digunakan untuk membuat suatu ponsel memiliki identitas yang sama dengan ponsel lain.
"Pihak lawan bisa mendapatkan akses penuh ke kalender, informasi kontak, atau album pribadi di internet si pengguna Google," kata tim peneliti dalam suatu posting blog ketika menjelaskan temuan mereka.
Penyalahgunaan celah tersebut mungkin menyebabkan orang kehilangan data, tapi perubahan-perubahan lain mungkin sulit diketahui.
"Pihak lawan bisa mengubah alamat e-mail bos si korban, atau mitra bisnisnya yang tersimpan dengan harapan bisa mendapatkan bahan sensitif atau rahasia terkait dengan bisnis mereka," kata tim peneliti.
Belum ada petunjuk bahwa serangan pada saat ini memanfaatkan celah Android ini.
Hampir semua versi sistem operasi Android meneruskan token otentikasi yang tidak dienkripsi ke layanan lain, demikian temuan lain yang dilaporkan tim Jerman.
Masalah ini telah diatasi pada versi 2.3.4, tapi statistik Google mengindikasikan baru 0,3 persen ponsel Android menggunakan piranti lunak tersebut.
Beberapa layanan lain Google, seperti situs berbagi foto Picasa, masih menggunakan token otentikasi tanpa enkripsi yang bisa dicuri.
Tim peneliti mengimbau pemilik telepon Android mengupdate ponsel milik mereka demi agar tidak menjadi korban serangan yang memanfaatkan celah Android.
Google dilaporkan tengah bekerja sama dengan kalangan operator telekomunikasi dan produsen ponsel untuk menyalurkan update Android lebih cepat dari yang berlangsung selama ini.
sumber : http://d-photograph.blogspot.com/2011/05/ponsel-android-berpotensi-bocorkan-data.html
Tidak ada komentar:
Posting Komentar