Para pengembang dapat menyelipkan iklan pop-up yang mengganggu atau serangan phishing ke dalam aplikasi seluler melalui kelemahan desain di Android, menurut para peneliti.
LAS VEGAS – Para peneliti telah menemukan apa yang mereka katakan sebagai kelemahan desain di Android yang dapat digunakan oleh penjahat untuk mencuri data melalui phishing atau oleh pengiklan untuk menampilkan iklan pop-up yang mengganggu di ponsel.
Para pengembang dapat membuat aplikasi yang tampaknya tidak berbahaya tetapi dapat menampilkan halaman log-in aplikasi bank palsu, misalnya, ketika pengguna menggunakan aplikasi bank yang sah, kata Nicholas Percoco, wakil presiden senior dan kepala SpiderLabs di Trustwave, menjelang presentasinya tentang penelitian di konferensi peretas DefCon hari ini.
Saat ini, aplikasi yang ingin berkomunikasi dengan pengguna ketika aplikasi lain sedang dilihat cukup dengan menekan peringatan ke bilah notifikasi di bagian atas layar. Tetapi ada antarmuka pemrograman aplikasi dalam Kit Pengembangan Perangkat Lunak Android yang dapat digunakan untuk mendorong aplikasi tertentu ke latar depan, katanya.
“Android memungkinkan Anda untuk mengesampingkan standar untuk (menekan) tombol kembali,” kata Sean Schulte, pengembang SSL (Secure Sockets Layer) di Trustwave.
“Karena itu, aplikasi ini dapat mencuri fokus dan Anda tidak dapat menekan tombol kembali untuk keluar,” kata Percoco, menambahkan bahwa mereka menamai masalah ini sebagai Kerentanan Pencurian Fokus.
Para peneliti telah menciptakan sebuah alat pembuktian konsep yang merupakan sebuah permainan namun juga memicu tampilan palsu untuk Facebook, Amazon, Google Voice, dan klien email Google. Alat ini menginstal sendiri sebagai bagian dari muatan di dalam aplikasi yang sah dan mendaftar sebagai layanan sehingga alat ini akan muncul kembali setelah ponsel dinyalakan kembali, kata Percoco.
Dalam demo yang menunjukkan pengguna membuka aplikasi dan melihat layar log-in untuk Facebook, satu-satunya indikasi bahwa ada sesuatu yang aneh telah terjadi adalah kedipan layar yang begitu cepat sehingga banyak pengguna yang tidak menyadarinya. Layar palsu sepenuhnya menggantikan layar yang asli, sehingga pengguna tidak akan dapat mengetahui bahwa ada sesuatu yang tidak beres.
Dengan kelemahan desain ini, pengembang game atau aplikasi dapat membuat iklan pop-up yang ditargetkan, kata Percoco. Iklan tersebut bisa saja hanya mengganggu, seperti kebanyakan pop-up, tetapi bisa juga ditargetkan untuk memunculkan iklan ketika aplikasi pesaing sedang digunakan, tambahnya.
“Jadi, seluruh dunia iklan yang bertarung satu sama lain di layar adalah mungkin sekarang,” kata Percoco, yang bersama Christian Papathanasiou, mendemonstrasikan sebuah rootkit Android di DefCon tahun lalu.
Fungsionalitas ini tidak akan memunculkan tanda bahaya dalam izin yang ditampilkan saat pengguna mengunduh aplikasi karena ini adalah fungsi yang sah bagi aplikasi untuk memeriksa status ponsel dalam apa yang disebut dengan Layanan Aktivitas, menurut Schulte.
Percoco mengatakan bahwa para peneliti berbicara dengan seseorang di Google tentang temuan mereka beberapa minggu yang lalu dan orang tersebut mengakui bahwa ada masalah dan mengatakan bahwa perusahaan sedang mencoba mencari cara untuk mengatasinya tanpa merusak fungsionalitas aplikasi sah yang mungkin menggunakannya.
Ketika dihubungi untuk dimintai komentar, perwakilan Google mengatakan bahwa ia akan menyelidiki masalah ini.
Update 8 Agustus 2011 pukul 15:50 PT Juru bicara Google memberikan pernyataan ini: “Berpindah antar aplikasi adalah kemampuan yang diinginkan oleh banyak aplikasi untuk mendorong interaksi yang kaya antar aplikasi. Kami belum melihat ada aplikasi yang menggunakan teknik ini secara jahat di Android Market dan kami akan menghapus aplikasi yang melakukannya.”
Juru bicara Google juga mengarahkan CNET ke AppLock milik Visidon sebagai contoh penggunaan fungsi tersebut. Aplikasi ini menggunakan teknologi pengenalan wajah untuk mencegah akses yang tidak sah ke bagian ponsel Anda, seperti aplikasi Gmail. Penggunaan fungsionalitas yang sah yang dijelaskan dalam kerentanan dalam contoh ini akan menggeser antarmuka permintaan kata sandi AppLock di atas Gmail ketika Anda mengetuknya. Karena AppLock menggunakan wajah Anda sebagai kata sandinya, ia akan meluncur, memungkinkan wajah Anda dikenali sebagai kata sandi yang disetujui, dan kemudian meluncur pergi.
Update 8 Agustus 2011 pukul 19:40 PT Tanggapan Percoco terhadap pernyataan Google: “Perpindahan aplikasi bukanlah masalahnya. Masalah yang sebenarnya adalah kemampuan aplikasi lain untuk mengidentifikasi aplikasi mana yang berada di latar depan dan kemudian memutuskan untuk melompat ke depan aplikasi yang sedang berjalan tanpa izin dari pengguna. Kami juga tidak melihat bagaimana mereka dapat menentukan perbedaan antara aplikasi berbahaya atau aplikasi yang sah karena keduanya akan terlihat hampir sama sampai pengguna melaporkannya sebagai aplikasi berbahaya. Sikap ‘tunggu sampai aplikasi dilaporkan buruk sebelum dihapus’ berbahaya dan kemungkinan besar akan menjadi upaya yang sia-sia karena penyerang dapat memposting aplikasi jauh lebih cepat daripada yang dapat dilakukan Google untuk mengidentifikasi dan menghapusnya dari Market.”
Seth Rosenblatt dari CNET berkontribusi dalam laporan ini.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/