Berikut alasan lain mengapa Android memiliki masalah konstan dengan keamanan: OEM menambahkan kode mereka sendiri ke perangkat yang mungkin memiliki lubang besar sendiri. Dengan lebih dari 1,4 miliar perangkat Android yang digunakan, tim keamanan mungkin dapat menemukan cara untuk mengeksploitasi OEM kode kustom menambah rilis Android akhir Google. Bahkan, tim Project Zero Google sendiri mengambil perangkat lunak kustom Galaxy S6 Edge untuk spin dan menemukan beberapa kelemahan signifikan dalam kode.
Seperti yang dijelaskan dalam posting yang panjang pada perusahaan blog Project Zero, tim keamanan berlari kontes internal yang selama seminggu, dengan dua tim peneliti bertugas untuk menemukan bug dalam kode Samsung yang dapat digunakan oleh penyerang untuk tujuan jahat.
"Setiap tim bekerja pada tiga tantangan, yang kita merasa mewakili batas-batas keamanan Android yang biasanya menyerang," tulis Google. "Mereka juga bisa dianggap komponen rantai mengeksploitasi yang meningkat kernel hak dari titik awal jarak jauh atau lokal." Ini adalah tiga tantangan, bersama dengan tim keamanan.
Mendapatkan akses remote ke kontak, foto dan pesan. Poin lebih diberikan untuk serangan yang tidak memerlukan interaksi pengguna dan diperlukan pengidentifikasi perangkat lebih sedikit.
Mendapatkan akses ke kontak, foto, geolocation, dll dari aplikasi diinstal dari Play tanpa izin
Bertahan eksekusi kode di perangkat menghapus, menggunakan akses diperoleh dalam bagian 1 atau 2
Dalam seminggu, Google menemukan masalah 11 keamanan yang berpotensi mempengaruhi perangkat Samsung.
"Secara keseluruhan, kami menemukan sejumlah besar masalah tinggi keparahan, meskipun ada beberapa langkah-langkah keamanan yang efektif pada perangkat yang melambat kami," Google menyimpulkan. "Daerah-daerah yang lemah tampaknya driver perangkat dan media pengolahan. Kami menemukan masalah yang sangat cepat di daerah-daerah melalui fuzzing dan kode ulasan. Itu juga mengejutkan bahwa kami menemukan tiga isu logika yang sepele untuk mengeksploitasi. Jenis masalah yang terutama menyangkut, sebagai waktu untuk menemukan, memanfaatkan dan menggunakan isu ini sangat singkat. "
Beberapa masalah yang lebih parah daripada yang lain, seperti membiarkan hacker menulis file sebagai file sistem, forwarding email ke rekening lain atau mengeksekusi kode JavaScript dalam email client. Samsung diberitahu tentang masalah ini dan mengatakan bahwa delapan dari 11 bug sudah tergencet dan didorong ke pengguna dalam Pemeliharaan Rilis Oktober. Masalah-masalah yang tersisa akan tetap di update keamanan November.
No comments:
Post a Comment