Aplikasi Perpesanan Memiliki Masalah Penyadapan


Di awal tahun 2019, bug dalam panggilan FaceTime grup akan memungkinkan penyerang mengaktifkan mikrofon, dan bahkan kamera, dari iPhone yang mereka panggil dan menguping sebelum penerima melakukan apa pun. Implikasinya sangat parah sehingga Apple menggunakan opsi nuklir, memotong akses ke fitur panggilan grup sepenuhnya sampai perusahaan dapat mengeluarkan perbaikan. Kerentanan—dan fakta bahwa itu tidak memerlukan ketukan atau klik sama sekali dari pihak korban—membuat Natalie Silvanovich terpikat.

“Gagasan bahwa Anda dapat menemukan bug di mana dampaknya, Anda dapat menyebabkan panggilan dijawab tanpa interaksi apa pun—itu mengejutkan,” kata Silvanovich, peneliti di tim pemburu bug Project Zero Google. “Saya sedikit menangis dan mencoba menemukan kerentanan ini di aplikasi lain. Dan akhirnya saya menemukan beberapa.”

Silvanovich telah menghabiskan waktu bertahun-tahun mempelajari kerentanan “tanpa interaksi”, peretasan yang tidak mengharuskan target mereka untuk mengklik tautan berbahaya, mengunduh lampiran, memasukkan kata sandi di tempat yang salah, atau berpartisipasi dengan cara apa pun. Serangan-serangan itu menjadi semakin penting karena pengawasan seluler yang ditargetkan meledak di seluruh dunia.

Pada konferensi keamanan Black Hat di Las Vegas pada hari Kamis, Silvanovich mempresentasikan temuannya tentang bug penyadapan jarak jauh di aplikasi komunikasi di mana-mana seperti Signal, Google Duo, dan Facebook Messenger, serta platform internasional populer JioChat dan Viettel Mocha. Semua bug telah ditambal, dan Silvanovich mengatakan bahwa pengembang sangat responsif dalam memperbaiki kerentanan dalam beberapa hari atau beberapa minggu setelah pengungkapannya. Tetapi banyaknya penemuan dalam layanan arus utama menggarisbawahi betapa umum kekurangan ini dan perlunya pengembang untuk menganggapnya serius.

“Ketika saya mendengar tentang bug FaceTime grup itu, saya pikir itu adalah bug unik yang tidak akan pernah terjadi lagi, tetapi ternyata itu tidak benar,” kata Silvanovich. “Ini adalah sesuatu yang tidak kami ketahui sebelumnya, tetapi sekarang penting bagi orang-orang yang membuat aplikasi komunikasi untuk menyadarinya. Anda berjanji kepada pengguna Anda bahwa Anda tidak akan tiba-tiba mulai mentransmisikan audio atau video mereka kapan saja, dan itu adalah beban Anda untuk memastikan bahwa aplikasi Anda sesuai dengan itu.”

Kerentanan yang ditemukan Silvanovich menawarkan berbagai macam opsi penyadapan. Bug Facebook Messenger bisa memungkinkan penyerang untuk mendengarkan audio dari perangkat target. Bug Viettel Mocha dan JioChat keduanya berpotensi memberikan akses lanjutan ke audio dan video. Cacat Sinyal hanya mengekspos audio. Dan kerentanan Google Duo memberikan akses video, tetapi hanya untuk beberapa detik. Selama waktu ini penyerang masih dapat merekam beberapa bingkai atau mengambil tangkapan layar.

Aplikasi yang dilihat Silvanovich semuanya membangun sebagian besar infrastruktur panggilan audio dan video mereka pada alat komunikasi waktu nyata dari proyek sumber terbuka WebRTC. Beberapa kerentanan panggilan tanpa interaksi berasal dari pengembang yang tampaknya salah memahami fitur WebRTC, atau menerapkannya dengan buruk. Tetapi Silvanovich mengatakan bahwa kekurangan lain datang dari keputusan desain khusus untuk setiap layanan yang terkait dengan kapan dan bagaimana ia mengatur panggilan.

Ketika seseorang menelepon Anda di aplikasi komunikasi berbasis internet, sistem dapat mulai mengatur koneksi antara perangkat Anda segera, sebuah proses yang dikenal sebagai “pembuatan”, sehingga panggilan dapat dimulai secara instan ketika Anda menekan terima. Pilihan lain adalah aplikasi untuk sedikit mundur, menunggu untuk melihat apakah Anda menerima panggilan, dan kemudian mengambil beberapa detik untuk membuat saluran komunikasi setelah mengetahui preferensi Anda.

Diposting oleh : SGP Prize