Celah Keamanan Android – Stagefright

stagefright

Zimperium Mobile Security baru saja mengumumkan hadirnya ancaman baru bagi pengguna Android. Ancaman ini disebut sebagai “Stagefright” ini merupakan satu bug (kesalahan implementasi kode) yang terdapat pada media engine internal Android, yang diberi bernama sama: Stagefright. Kerentanan ini memungkinkan orang melakukan eksploit RCE (Remote Code Execution) alias membajak perangkatmu–cukup dengan mengetahui nomor hapemu. Caranya, dengan mengirimkan SMS Multimedia (MMS), sebuah video, yang sudah ditanami malware atau program pembajak. Dengan pengaturan normal (default), hapemu akan langsung mengunduh video itu dan mulai mempersiapkannya untuk dimainkan. Begitu video itu diakses, malware akan aktif dan bug pada Stagefright akan memungkinkan si pembajak mengakses dan mengendalikan perangkatmu dari jauh.

 

Kerentanan ini ditemukan tanggal 27 Juli 2015 lalu oleh Joshua Drake, seorang peneliti pada Zimperium zLabs, sebuah perusahaan keamanan perangkat bergerak. Menurutnya, karena media engine Stagefright ditanam pada semua perangkat Android sejak versi 2.2 (Froyo), 950 juta perangkat Android rentan dieksploitasi lewat bug ini. Dari keterangan ini, dan kenyataan bahwa Android baru masuk ke Indonesia sejak versi Froyo, bisa dibilang semua perangkat Android di Indonesia rentan dieksploitasi lewat Stagefright.
Kita harus bersyukur bahwa Drake memilih untuk mengungkap temuan ini pada Google, dengan hanya mendapat USD 1.137 untuk temuan ini–bukannya menjualnya pada pasar gelap, di mana tawaran terendah yang sudah masuk bernilai USD 100.000! Kita harus bersyukur bahwa dunia IT tidak hanya berisi pembuat hoax, tapi masih ada orang baik di dalamnya.
Melalui Android Open Source Project (AOSP) tiga patch telah dikeluarkan untuk mengatasi kerentanan ini. Namun patch ini tetap tidak akan terlalu efektif untuk perangkat Android sebelum versi 4.1. Ini karena, untuk sementara ini, patch mengandalkan Address Space Layout Randomization (ASLR) untuk mitigasi isu ini–dan ASLR baru diaktifkan sepenuhnya pada Android 4.1.
Lebih jauh lagi, Google tidak langsung melakukan patch secara online, melainkan menyerahkannya pada masing-masing vendor. Sampai 28 Juli lalu, hanya vendor Blackphone dan Firefox yang sudah aman dari eksploit ini.
Kalau Android-mu punya versi lebih lawas dari 4.1, atau kalau kamu tidak yakin vendor hapemu sudah melakukan patch, ada cara untuk melindungi perangkatmu dari eksploit Stagefright ini: matikan pengunduhan MMS dan video secara otomatis dari semua aplikasi pesan instan. Dengan demikian, kita dapat meninjau terlebih dahulu: dari siapa pesan ini dikirimkan, atau video macam apa yang dikirim. Jika pengirim tak dikenal, hapus saja. Jika video yang dikirim berupa “video heboh”, hapus saja. Kita tidak bisa mengambil resiko perangkat orang yang kita telah di-hack, dan dipakai mengirim video yang sudah ditanami perangkat pembajak.

Untuk versi CVE nya sendiri adalah :

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

Untuk versi kembangan nya dari zimperium sendiri ada beberapa seri seperti :

  • CVE-2015-1538, P0006, Google Stagefright ‘stsc’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘ctts’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘stts’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1538, P0004, Google Stagefright ‘stss’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-1539, P0007, Google Stagefright ‘esds’ MP4 Atom Integer Underflow Remote Code Execution
  • CVE-2015-3827, P0008, Google Stagefright ‘covr’ MP4 Atom Integer Underflow Remote Code Execution
  • CVE-2015-3826, P0009, Google Stagefright 3GPP Metadata Buffer Overread
  • CVE-2015-3828, P0010, Google Stagefright 3GPP Integer Underflow Remote Code Execution
  • CVE-2015-3824, P0011, Google Stagefright ‘tx3g’ MP4 Atom Integer Overflow Remote Code Execution
  • CVE-2015-3829, P0012, Google Stagefright ‘covr’ MP4 Atom Integer Overflow Remote Code Execution

Untuk POC nya sudah di sediakan dan dapat di download di alamat :

https://s3.amazonaws.com/zhafiles/Zimperium-Handset-Alliance/ZHA-Crash-PoC.zip

Bagi yang ingin mencoba bisa melakukannya dengan file testing yang disediakan dari zimperium. File ini di tulis dalam bahasa phyton dapat di download di link :

https://raw.githubusercontent.com/jduck/cve-2015-1538-1/master/Stagefright_CVE-2015-1538-1_Exploit.py

Untuk mengetahui apakah smartphone kita terkena dampak dari stagefright ini dapat diketahui salah satu cara yang paling mudah adalah dengan menginstall aplikasi Stagefright detector yang bisa di download di sini :

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

Sedangkan cara untuk mengantisipasinya, salah satunya dengan cara di bawah ini :

  1. Untuk SMS: Setting –> Multimedia Message (MMS) –> Auto-retrieve –>  hilangkan centang pada semua kartu yang tersedia (apabila memakai dual- SIM);
  2. Untuk Whatsapp: Setting –> Chat setting –> Media auto-download –>  When connected on Wi-Fi –> hilangkan semua centang kecuali image.
  3. Untuk Hangouts: Settings –> SMS –> hilangkan centang pada Auto- retrieve MMS
  4. Untuk Facebook Messenger: Settings –> Advanced –> hilangkan centang  pada Auto-retrieve MMS

 

Daftar Pustaka

[1] https://jalantikus.com/gadgets/awas-virus-stagefright-mengincar-14-milyar-pengguna-android (Di akses 16 Februari 2016)

[2] http://www.indosains.net/article/darurat-lindungi-android-mu-dari-stagefright (Di akses 16 Februari 2016)

[3] https://blog.zimperium.com/the-latest-on-stagefright-cve-2015-1538-exploit-is-now-available-for-testing-purposes/ (Diakses 16 Februari 2016)

[4] https://blog.zimperium.com/stagefright-vulnerability-details-stagefright-detector-tool-released/ (Diakses 16 Februari 2016)