Para peneliti menemukan bahwa banyak aplikasi Android di Google Play Store memiliki cara untuk melewati model izin Android untuk mengambil data pengguna.
Terlepas dari persepsi pengguna, Android sebenarnya cukup aman sebagai OS seluler. Kami secara umum menerima premis bahwa pihak yang paling lemah adalah pengguna; selama Anda memperhatikan apa yang Anda instal dan izin apa yang Anda berikan, Anda akan aman dari akses dan distribusi data Anda yang tidak sah. Jika Anda menolak akses aplikasi Android ke lokasi Anda, aplikasi tersebut seharusnya tidak dapat mengetahui di mana Anda berada atau di mana saja Anda berada. Namun, beberapa pengembang aplikasi telah menemukan cara untuk menyiasati model izin Android, menurut peneliti dari International Computer Science Institute (ICSI).
Berdasarkan CNET, penelitian tersebut dipresentasikan bulan lalu di PrivasiCon setelah diungkapkan secara bertanggung jawab kepada Google dan FTC pada bulan September lalu. walaupun makalah yang diterbitkan di situs web FTC
tidak mencantumkan aplikasi persis yang ditandai oleh tim dalam analisisnya (detail tersebut akan dijelaskan nanti di Konferensi Keamanan Usenix bulan depan), ia memberikan rincian tentang metode analisisnya dan bagaimana aplikasi tersebut melewati model izin Android. Untuk apa nilainya, Google mengatakan bahwa keamanan dan privasi mengubah Google telah diperkenalkan di Android Q akan menutup metode bypass ini, sehingga makalah ini memberikan wawasan berharga tentang pembenaran Google atas beberapa perubahan platform yang mereka buat di Android 10. Mari selami.Bagaimana >1000 Aplikasi Melewati Model Izin Android
Para peneliti membedakan dua teknik pengelakan keamanan yang berbeda: saluran sampingan dan saluran rahasia. Teknik saluran samping melibatkan akses terhadap informasi tertentu dengan cara yang tidak tercakup dalam mekanisme keamanan; misalnya, aplikasi dulunya dapat melacak lokasi perangkat menggunakan alamat MAC hingga Android Pie memperkenalkan pengacakan alamat MAC. Teknik saluran terselubung melibatkan dua layanan yang bekerja sama untuk mengirimkan data dari satu layanan yang memiliki akses valid ke layanan yang tidak memiliki akses valid; misalnya, aplikasi yang telah diberi akses lokasi dapat membagikan data tersebut dengan aplikasi yang belum diberi akses.
Tim ICSI menganalisis 88.113 aplikasi Android paling populer dari Google Play Store AS dan menemukan lebih dari 1.000 aplikasi dan perpustakaan pihak ketiga yang menggunakan saluran sampingan dan/atau saluran rahasia untuk menghindari tindakan keamanan Android sehingga mereka dapat mengakses data lokasi dan pengidentifikasi tetap pengguna perangkat. Kumpulan data lengkap mereka terdiri dari 252.864 APK sejak tim secara berkala menghapus Play Store untuk versi baru dari 88.113 aplikasi yang ingin mereka analisis. Mereka awalnya menguji perilaku setiap aplikasi pada a Google Nexus 5X menjalankan Android 6.0.1 Marshmallow tetapi kemudian menguji ulang temuan mereka pada a Google Piksel 2 menjalankan Android Pie untuk membuktikan temuan mereka masih valid hingga rilis terbaru pada saat pengungkapan.
Dengan kumpulan data ini, tim mengembangkan metode menggunakan analisis dinamis dan statis untuk mendeteksi pengelakan model izin Android. Dengan kata lain, tim mempelajari perilaku aplikasi dengan mengaudit perilaku runtime aplikasi (analisis dinamis) atau memindai kode untuk mencari perilaku yang berpotensi berbahaya (statis). analisis.) Tentu saja, pengembang aplikasi jahat mengetahui teknik ini, menggunakan kebingungan kode dan pemuatan kode dinamis untuk mempersulit analisis statis atau TLS intersepsi untuk mendeteksi ketika aplikasi berjalan di lingkungan tervirtualisasi, sehingga tim ICSI menggunakan campuran analisis statis dan dinamis (analisis hybrid) dalam analisisnya. pengujian. Akibatnya, tim menemukan bahwa data berikut diambil oleh aplikasi yang tidak memiliki izin yang diperlukan:
- IMEI: Karena IMEI adalah pengidentifikasi yang unik dan persisten, ada gunanya bagi layanan online untuk melakukan scraping sehingga mereka dapat melacak perangkat individual. Tim menemukan bahwa salmonad Dan Baidu SDK menggunakan saluran rahasia untuk membaca IMEI. Aplikasi dengan akses sah ke IMEI menyimpan file tersembunyi di penyimpanan eksternal yang berisi IMEI perangkat sehingga aplikasi lain tanpa akses sah dapat membaca IMEI. Aplikasi yang teridentifikasi menggunakan SDK Baidu dengan cara ini mencakup aplikasi taman hiburan Disney untuk Hong Kong dan Shanghai, Samsung Health, dan Samsung Browser.
- Alamat MAC Jaringan: Alamat MAC jaringan juga merupakan pengidentifikasi unik, dan biasanya dilindungi oleh izin ACCESS_NETWORK_STATE. Menurut para peneliti, aplikasi menggunakan kode asli C++ untuk "memanggil sejumlah panggilan sistem UNIX yang tidak dijaga." Tim mengidentifikasi 42 aplikasi menggunakan Unity SDK untuk membuka a soket jaringan dan ioctl untuk mendapatkan alamat MAC, meskipun mereka mencatat bahwa 748 dari 12.408 aplikasi berisi kode yang dimaksud namun tidak memiliki ACCESS_NETWORK_STATE izin.
- Alamat MAC Perute: Izin ACCESS_WIFI_STATE melindungi BSSID, tetapi membaca cache ARP di /proc/net/arp memungkinkan aplikasi memperoleh data tersebut tanpa memerlukan izin apa pun. Peneliti mengidentifikasi BukaX SDK menggunakan teknik saluran samping ini.
- Geolokasi: Para peneliti menemukan bahwa aplikasi Shutterfly mengakses tag lokasi metadata EXIF foto. Yang diperlukan hanyalah izin READ_EXTERNAL_STORAGE.
Di Android Q, Google kini mengharuskan aplikasi memiliki izin READ_PRIVILEGED_PHONE_STATE untuk membaca IMEI. Perangkat yang menjalankan Android Q sekarang mengirimkan alamat MAC acak secara default. Terakhir, Android Q Penyimpanan Tercakup perubahan mengurangi kemampuan aplikasi untuk membaca data lokasi dari foto. Oleh karena itu, kekhawatiran ini telah diatasi dalam rilis Android terbaru, namun seperti yang kita ketahui, hal tersebut akan diatasi memakan waktu cukup lama agar pembaruan terkini dapat disebarkan.
Kesimpulan
Secara keseluruhan, penelitian ini memberikan gambaran yang mencerahkan tentang bagaimana beberapa aplikasi mengakses data yang harus dilindungi izin. Penelitian ini hanya melihat sebagian dari apa yang disebut Google sebagai izin "berbahaya", terutama melewatkan izin seperti Bluetooth, kontak, dan SMS. Untuk rincian lengkap tentang laporan ini, saya sarankan membaca makalah yang diserahkan ke FTC.