Para peneliti keamanan data dari Jerman baru-baru ini mengungkapkan bahwa lebih dari 99% ponsel berbasis OS Android berpotensi untuk membocorkan data yang jika tercuri bisa digunakan untuk memperoleh informasi yang disimpan pengguna handset tersebut di internet. Data yang berpotensi bocor ini di antaranya berasal dari layanan berbasis web seperti Google Calendar.
Riset ini dilakukan oleh peneliti University of Ulm yaitu Bastian Konings, Jens Nickels, dan Florian Schaub. Mereka menemukan kebocoran ini ketika mengamati bagaimana handset Android menangani informasi login untuk layanan berbasis web. Banyak aplikasi yang dipasang di smartphone Android ini yang berinteraksi dengan layanan Google untuk meminta token otentifikasi sebagai kartu identifikasi untuk aplikasi ini. Setelah dikeluarkan maka token tersebut akan menghilangkan kebutuhan untuk melakukan login berulang selama beberapa waktu.
Menurut peneliti tersebut ternyata informasi ini dikirimkan ke jaringan nirkable tanpa penyandian dan hanya berupa teks biasa yang bisa dibaca. Hal ini membuat token tersebut mudah ditemukan dan bisa dibaca oleh orang yang tidak berhak dengan cara melakukan penyadapan ('sniffing') lewat jaringan wifi tersebut. Jika token tersebut diketahui oleh penjahat maka akan mudah bagi mereka untuk melakukan pengambilan data pribadi pengguna selanjutnya. Yang lebih berbahaya lagi adalah kenyataan bahwa token tersebut tidak terikat pada satu buah handset namun bersifat universal sehingga setiap orang bisa menggunakannya di mana saja.
Dalam blog-nya dikemukakan bahwa dengan token ini penjahat bisa mengakses secara penuh informasi kalender, kontak, hingga album pribadi atas pengguna Google tersebut. Mereka bisa juga mengubah alamat email yang ada sehingga mereka bisa saja melakukan penyadapan atas informasi rahasia perusahaan atau bisnis, misalnya.
Hampir semua versi Android melakukan transfer token ini tanpa penyandian (enkripsi). Hal ini telah diperbaiki di versi 2.3.4 namun hingga saat ini baru 0,3% pengguna Android yang telah menggunakan OS Android terbaru ini. Beberapa layanan Google seperti Picasa diketahui saat ini masih memakai otentifikasi token tanpa enkripsi yang mudah untuk dicuri.
Para peneliti ini menyarankan agar para pemilik handset Android untuk melakukan update perangkat mereka agar tidak menjadi korban pencurian data pribadi ini. Google sendiri saat ini dikaetahui juga sedang bekerja sama dengan para operator dan pembuat handset Android untuk mempercepat proses pengiriman update kepada para penggunanya.
Untuk saat ini belum diketahui adanya penjahat yang telah menggunakan kelemahan pada OS Android ini. Sementara itu Google sendiri belum memberikan tanggapan atas adanya laporan ini.
No comments:
Post a Comment