Google Sebut Ada Eksploitasi Pihak Ketiga di Smartphone Samsung
Google mengatakan memiliki bukti bahwa vendor pengawasan komersial mengeksploitasi tiga kerentanan keamanan zero-day yang ditemukan di smartphone Samsung.
IDXChannel - Google mengatakan memiliki bukti bahwa vendor pengawasan komersial mengeksploitasi tiga kerentanan keamanan zero-day yang ditemukan di smartphone Samsung terbaru.
Kerentanan ditemukan dalam perangkat lunak yang dibuat khusus Samsung, digunakan bersama sebagai bagian dari rantai eksploitasi untuk menargetkan smartphone Samsung yang menjalankan Android.
Seperti dihimpun Techcrunch, Jumat (11/10/2022), kerentanan yang dirantai memungkinkan penyerang untuk mendapatkan hak baca dan tulis kernel sebagai pengguna root, dan pada akhirnya mengekspos data perangkat.
Peneliti keamanan Google Project Zero, Maddie Stone mengatakan dalam sebuah posting blog bahwa rantai eksploitasi menargetkan smartphone sel Samsung dengan chip Exynos yang menjalankan versi kernel tertentu.
Smartphone Samsung dijual dengan chip Exynos terutama di Eropa, Timur Tengah, dan Afrika, yang kemungkinan merupakan lokasi target pengawasan. Stone mengatakan smartphone Samsung yang menjalankan kernel yang terpengaruh pada saat itu termasuk S10, A50, dan A51.
Kerentanannya, sejak ditambal, dieksploitasi oleh aplikasi Android berbahaya, yang mungkin telah ditipu oleh pengguna untuk dipasang dari luar app store. Aplikasi berbahaya memungkinkan penyerang untuk keluar dari kotak pasir aplikasi yang dirancang untuk menampung aktivitasnya, dan mengakses sistem operasi perangkat lainnya.
Hanya komponen dari aplikasi exploit yang diperoleh, kata Stone, jadi tidak diketahui apa muatan terakhirnya, bahkan jika tiga kerentanan membuka jalan untuk pengiriman akhirnya.
"Kerentanan pertama dalam rantai ini, file arbitrer membaca dan menulis, adalah dasar dari rantai ini, digunakan empat kali berbeda dan digunakan setidaknya sekali dalam setiap langkah," tulis Stone.
"Komponen Java di perangkat Android cenderung tidak menjadi target paling populer bagi peneliti keamanan meskipun berjalan pada tingkat yang sangat istimewa,” lanjutnya.
Google menolak menyebutkan nama vendor pengawasan komersial, tetapi mengatakan eksploitasi mengikuti pola yang mirip dengan infeksi perangkat baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk mengirimkan spyware negara-bangsa yang kuat.
Awal tahun ini peneliti keamanan menemukan Hermit, spyware Android dan iOS yang dikembangkan oleh RCS Lab dan digunakan dalam serangan yang ditargetkan oleh pemerintah, dengan korban yang diketahui di Italia dan Kazakhstan.
Hermit mengandalkan menipu target untuk mengunduh dan menginstal aplikasi berbahaya, seperti aplikasi bantuan operator seluler yang disamarkan, dari luar toko aplikasi, tetapi kemudian diam-diam mencuri kontak korban, rekaman audio, foto, video, dan data lokasi granular.
Google mulai memberi tahu pengguna Android yang perangkatnya telah disusupi oleh Hermit. Vendor pengawasan Connexa juga menggunakan aplikasi sampingan berbahaya untuk menargetkan pemilik Android dan iPhone.
Google melaporkan tiga kerentanan ke Samsung pada akhir 2020, dan Samsung meluncurkan tambalan ke ponsel yang terpengaruh pada Maret 2021, tetapi tidak mengungkapkan pada saat itu bahwa kerentanan sedang dieksploitasi secara aktif.
Stone mengatakan bahwa Samsung sejak itu berkomitmen untuk mulai mengungkapkan ketika kerentanan dieksploitasi secara aktif, mengikuti Apple dan Google, yang juga mengungkapkan dalam pembaruan keamanan mereka ketika kerentanan sedang diserang.
"Analisis rantai eksploitasi ini telah memberi kami wawasan baru dan penting tentang bagaimana penyerang menargetkan perangkat Android,” tambah Stone, mengisyaratkan bahwa penelitian lebih lanjut dapat mengungkap kerentanan baru dalam perangkat lunak khusus yang dibuat oleh pembuat perangkat Android, seperti Samsung.
“Ini menyoroti kebutuhan untuk penelitian lebih lanjut tentang komponen khusus pabrikan. Ini menunjukkan di mana kita harus melakukan analisis varian lebih lanjut, ”kata Stone.
(NDA)