Lubang terkait sistem keamanan pada jaringan di Android ini memungkinkan aplikasi jahat mencegat koneksi VPN dan mengalihkannya ke server yang berbeda. Demikian seperti diberitakan Android Authority, Selasa (21/1/2014).
Server tersebut bisa mengontrol penuh semua data yang dikirim dari perangkat Android melalui koneksi VPN. Biasanya, jaringan VPN dilindungi dengan metode enkripsi. Namun karena bug tersebut, data yang didapat pada tujuan palsu tersebut jadi tidak terenkripsi.
Dari temuan celah keamanan ini, ada kabar buruk dan baiknya. Kabar buruknya, kelemahan ini bisa terjadi di semua perangkat Android dan bisa dilakukan tanpa membutuhkan akses root.
Kode untuk mencegat data ini bisa ditanamkan dalam aplikasi apa pun. Begitu aplikasi dijalankan, koneksi VPN yang dimiliki jadi tidak aman lagi. Pengujian untuk Android 4.3 dan Android 4.4 KitKat masih berjalan.
Kabar baiknya adalah, untuk memasukkan kode jahat tersebut, dibutuhkan aplikasi yang ter-install di perangkat Android. Tanpa aplikasi jahat tersebut, jalur VPN tidak bisa dialihkan. Karena itu, pengguna Android dianjurkan untuk mengunduh aplikasi dari Google Play Store demi mengurangi risiko.
Detail mengenai lubang keamanan ini belum banyak dibeberkan oleh peneliti di Universitas Ben Gurion. Namun, mereka menyatakan bahwa arus lalu lintas SSL/TLS tetap terenskripsi aman, walau program jahat ini telah menyusup.
Dengan demikian, jika pengguna Android menggunakan layanan seperti e-mail yang mengenkripsi semua arus lalu lintas datanya, maka data pengguna tersebut akan tetap terlindungi, walau VPN telah dicegat.
Sumber: Android Authority
Tidak ada komentar:
Posting Komentar