Apa sing sampeyan lakoni ing smartphone sampeyan? Penyerang bakal nemokake kabeh rahasia sampeyan kanthi bantuan serangan anyar lan bug lawas ing Android! Spesialis keamanan ing MWR Labs nglaporake serangan ing smartphone Android sing nganggo versi Lolipop, Marshmallow lan Nougat OS.
Serangan kasebut ditindakake kanthi nggunakake bug lawas ing layanan MediaProjection, digawe kanggo njupuk layar pangguna lan ngrekam swara. MediaProjection wis ana ing Android wiwit wiwitan, nanging mbutuhake akses root utawa mlebu kunci aktivasi piranti kanggo nggunakake. Kanthi release saka Android Lolipop 5.0, kahanan wis diganti. Google nggawe layanan kasebut mbukak kanggo kabeh wong, lan aplikasi kasebut wiwit mung njaluk akses menyang sistem nggunakake "telpon intel" - kabar pop-up bebaya saka SystemUI. Spesialis MWR Labs nemokake manawa nalika njaluk ijin kanggo ngakses layar lan video, para panyerang nampilake jendhela kanthi teks kabar sing beda. Skema iki ndadekake bisa nangkep layar pangguna yen dheweke ndemek jendela pop-up SystemUI, sing nampilake pesen sing ora sengaja. Teknik iki diarani tapjacking, lan para penjahat wis nggunakake pirang-pirang taun. "Kerentanan iki disebabake dening versi Android sing kena pengaruh sing ora ngerteni kabar SystemUI palsu," ujare peneliti. "Iki ngidini panyerang nggawe aplikasi sing bakal overlay kabar SystemUI, nyebabake eskalasi hak istimewa aplikasi lan ngidini pangguna njupuk gambar desktop pangguna." Nganti saiki, masalah kasebut mung diatasi ing piranti adhedhasar Android Oreo (8.0), nanging para ahli wis nggarap keamanan gadget kanthi versi sistem operasi sing luwih dhisik.
GO TO FULL VERSION