Aplikasi Kamera yang Mengerikan, Meninggalkan Jutaan Orang di Ponsel Android yang Rentan Terhadap Pengintaian

Aplikasi Kamera yang Mengerikan, Meninggalkan Jutaan Orang di Ponsel Android yang Rentan terhadap Pengintaian – Bahkan jika Anda rajin tentang izin aplikasi, kadang-kadang Anda tidak dapat memprediksi bagaimana atau kapan aktor yang buruk akan menyalahgunakannya. Kali ini, tim peneliti keamanan menemukan kelemahan yang mengerikan dengan aplikasi kamera Android yang dapat membiarkan aplikasi jahat sepenuhnya mengendalikan kamera ponsel untuk memata-matai pengguna tanpa sepengetahuan mereka.

Tidak perlu seorang jenius untuk mengetahui bahwa foto dan video dapat berisi informasi yang sangat sensitif, dan karena itu, Anda harus berpikir dua kali tentang memberikan izin aplikasi untuk menggunakan kamera. Itu sebabnya Google memiliki seperangkat izin khusus yang dibutuhkan aplikasi dari pengguna untuk mendapatkan akses ke kamera ponsel. Namun, para peneliti di Checkmarx menemukan bahwa aplikasi jahat dapat melewati jaring pengaman itu sepenuhnya dengan meminta izin penyimpanan.

Izin penyimpanan umum di aplikasi Android, digunakan secara luas untuk banyak kasus penggunaan yang sah. Pada dasarnya, karena aplikasi kamera Android sering menyimpan foto dan video ke kartu SD, memberikan izin aplikasi ke penyimpanan memberinya akses ke seluruh konten kartu itu, menurut para peneliti. Dan hal yang benar-benar menakutkan adalah bahwa penyerang bahkan tidak perlu meminta akses ke kamera. Sebaliknya, Checkmarx menulis, “seorang penyerang dapat mengontrol aplikasi untuk mengambil foto dan / atau merekam video melalui aplikasi jahat yang tidak memiliki izin untuk melakukannya” begitu ia memiliki izin penyimpanan. Lebih buruk lagi, begitu izin diberikan, tidak masalah jika pengguna menutup aplikasi karena koneksi telah dibuat, para peneliti menemukan.

Untuk menunjukkan kerentanan, tim di Checkmarx merekam video proof-of-concept. Menggunakan aplikasi Cuaca mockup, tim tidak hanya dapat mengambil foto dan video dari Pixel 2 XL dan Pixel 3, tetapi juga dapat mengumpulkan data GPS dari foto-foto itu. Tim tersebut dapat mendeteksi kapan ponsel menghadap ke bawah dan kemudian dapat mengarahkan kamera belakang dari jarak jauh untuk mengambil foto dan video. Bagian lain yang menyeramkan adalah bahwa penyerang berpotensi memberlakukan “mode siluman”, di mana suara rana kamera dibungkam dan setelah mengambil foto, kembalikan telepon ke layar kunci seperti tidak terjadi apa-apa. Tapi mungkin yang paling mengganggu, video tersebut menunjukkan skenario di mana penyerang dapat mulai merekam video ketika seseorang berada di tengah-tengah panggilan, merekam audio dua arah, dan mengambil foto atau video di sekitar korban – semuanya tanpa diketahui oleh target.

Kerentanan juga tidak terbatas pada aplikasi kamera Google. Para peneliti menemukan mereka juga memengaruhi aplikasi kamera Samsung, serta aplikasi kamera dari banyak vendor ponsel pintar lainnya. Itu berarti kerentanan berpotensi berdampak pada ratusan juta ponsel.