Para peneliti menemukan sejumlah aplikasi Android memakai komponen perangkat lunak lawas yang mengandung celah keamanan.
Aplikasi terpopuler yang dimaksud antara lain Facebook, AliExpress, WeChat, Instagram, Yahoo Browser, Facebook Messenger, hingga Mobile Legends: Bang Bang.
Sekadar informasi, kerentanan natif di aplikasi pihak ketiga berbeda dengan di OS. Keduanya mengharuskan pembuat perangkat dan vendor perangat lunak merilis patch (tambalan) untuk mengurangi risiko eksploitasi.
Namun, bagaimana jadinya jika aplikasi-aplikasi di atas menggunakan komponen perangkat lunak lawas yang kerentanannya belum diperbaiki? Hal inilah yang ditemukan para peneliti di perusahaan keamanan Check Point Research.
“Untuk memverifikasi dugaan kami, kami memindai aplikasi-aplikasi itu guna mengetahui pola yang terkait dengan versi open source code yang rentan,” kata peneliti Artyom Skrobov dan Slava Makkaveev, dikutip dari The Next Web
Hasil verifikasi para peneliti menemukan, kerentanan di software lawas ini kemungkinan ada di aplikasi-aplikasi baru di Google Play.
Penjelasannya, aplikasi seluler umumnya menggunakan komponen di luar library untuk mencapai fungsi tertentu.
Hal ini sering terjadi di software apa pun, ketika kerentanan ditemukan di library terbuka, sehingga pengembang aplikasi harus memastikan bahwa aplikasi yang diperbarui telah menyertakan patch.
Peneliti Check Point menemukan belasan aplikasi Android seperti Yahoo Browser, Facebook (dan Messenger), AliExpress, ShareIt, dan WeChat rupanya menggabungkan library rentan yang sudah ketinggalan zaman.
Kerentanan ini mempengaruhi library playback dari audio dan video, yang memungkinkan penyerang untuk mengeksekusi kode arbitrer.
Juru bicara Facebook pun membantah akan temuan Check Point ini.
“Orang-orang yang menggunakan layanan Facebook tidak rentan terhadap masalah apapun yang disorot oleh Check Point karena rancangan sistem kami yang memakai kode ini,” kata juru bicara Facebook.
Tak hanya Facebook, Instagram juga diidentifikasi sebagai aplikasi yang mengalami kerentanan. Namun, pihak Instagram membantahnya.
“Instagram tidak terdampak oleh CVE-2016-3062 dan kami telah memiliki patch sejak masalah ini terungkap,” kata pihak Facebook.
Perlu diketahui, keberadaan celah tak berarti sebuah aplikasi rentan terhadap eksploitasi. Namun, hal ini merupakan anjuran dari peneliti agar pengelola aplikasi memastikan mereka membuat patch untuk melindungi sistemnya.
Selain itu sebagai pengguna, kita tidak bisa melakukan banyak hal untuk menjaga perangkat, meski sudah memperbarui aplikasi ke versi terbaru.
“Pembaruan sistem memang penting untuk menjaga OS dan semua aplikasi. Namun, sangat mengejutkan bahwa pembaruan saja tidak cukup menjaga keamanan perangkat,” kata para peneliti Check Point.
Selain itu, peneliti dark web Vinny Troia benemukan sebuah database yang mudah diakses di server yang tidak aman. Database berukuran empat terrabyte ini memuat sekitar satu koma dua miliar data pribadi milik pengguna.
Data ini memang tidak berisi informasi sensitif seperti password, nomor kartu kredit, atau nomor jaminan sosial pemiliknya.
Namun, mengutip laman Wired, data ini berisi ratusan juta profil dan nomor telepon yang terhubung dengan media sosial seperti Facebook, Twitter, LinkedIn, dan GitHub.
Tidak hanya itu, riwayat kerja para pengguna juga didapatkan dari LinkedIn yang berisi lima puluh juta nomor telepon dan enam ratus dua puluh dua juta alamat email.
“Ini sangat buruk, seseorang membuatnya terbuka luas. Ini pertama kalinya saya lihat ada profil media sosial dikumpulkan, digabungkan dengan milik pengguna lain ke dalam satu database dengan skala besar,” kata Troia.
Sekadar informasi, Troia menemukan server tersebut bersama peneliti keamanan Bob Diachenko melalui layanan pemindaian web BinaryEdge dan Shodan.
Alamat IP untuk server hanya ditelusuri ke Google Cloud Service, sehingga tidak tahu siapa yang mengumpulkan data di sana.
Ia juga tidak memiliki cara untuk mengetahui apakah ada orang lain yang telah menemukan data dan mengunduhnya sebelumnya. Namun dia menyebut, server ini mudah ditemukan.
Menurut tes yang dilakukan Wired, alamat email orang-orang yang ada di database tersebut cukup akurat.
Troia mengaku telah melaporkan temuannya ke FBI dan dalam beberapa jam, sudah ada pihak yang mematikan server itu.
Dia mengatakan, database itu memiliki sebuah label, diduga milik si pemilik label yakni People Data Labs (PDL), sebuah data broker berbasis di San Francisco.
PDL mengklaim, situs webnya memiliki data berisi lebih dari satu setengah miliar orang untuk dijual, termasuk dua ratus enam puluh juta orang di Amerika Serikat.
PDL juga mempromosikan lebih dari satu miliar alamat email pribadi, empat ratus dua puluh juta URL LinkedIn, lebih dari satu miliar URL dan ID Facebook, serta lebih dari empat ratus juta nomor telepon dan dua ratus juta nomor ponsel valid di AS.
Pendiri PDL Sean Thorne mengatakan, perusahaannya bukan merupakan pemilik server yang berisi data-data tersebut.
“Pemilik server ini kemungkinan memakai salah satu produk pengayaan kami, bersama dengan sejumlah pengayaan data atau layanan lisensi lainnya,” kata Sean Thorne, pendiri PDL.
Ia menegaskan, ketika pelanggan menerima data dari PDL, data di server mereka beserta keamanannya adalah tanggung jawab si pelanggan.
Troia menjelaskan, boleh jadi PDL tidak dibobol, tetapi kemungkinan si penyerang mendaftar free trial dari iklan PDL, yang menawarkan seribu profil konsumen per bulannya.
“Misal sefibu profil buatan di seribu akun, mereka pun mendapatkan banyak,” tuturnya.
