Pekan lalu kaya akan berita tentang keamanan smartphone Android. Banyak outlet media (misalnya,
ArsTechnica ) menulis bahwa Google “mengkonfirmasi” fakta penjualan smartphone dengan backdoor yang sudah diinstal sebelumnya “at the factory”. Alasan utama seperti itu adalah
artikel yang sepenuhnya teknis
oleh pakar Google Lukasz Siverski dengan analisis keluarga malware Mobile Triada.
Triada telah dikenal oleh para peneliti (termasuk, tentu saja, tim Google) sejak 2016. Untuk pertama kalinya, sebuah pintu belakang dijelaskan oleh para ahli Lab Kaspersky (di
sini dan di
sini ). Kedua materi ini merinci pengenalan kode berbahaya ke dalam sistem operasi (sedini Android 4.x), pengumpulan dan pengiriman data pengguna, dan modifikasi beberapa browser untuk menampilkan iklan banner.
Apa yang benar-benar menarik di pos perwakilan Tim Keamanan Android adalah jawaban atas pertanyaan tentang bagaimana kode jahat masuk ke firmware ponsel. Pengembang perangkat anggaran China telah menghubungi kontraktor untuk mengembangkan fitur tambahan. Melalui kontraktor semacam itu, pintu belakang dibangun ke dalam sistem.
Sebuah studi Kaspersky Lab tahun 2016 menggambarkan varian Triada, yang dapat diinstal sebelumnya pada ponsel pabrikan Cina, tetapi juga dapat menyerang smartphone lainnya. Triada mengeksploitasi kerentanan dalam versi Android 4.x. saat ini Fitur unik dari backdoor adalah kemampuan untuk berintegrasi ke dalam proses Android kunci yang dikenal sebagai Zygote.
Pendekatan ini memberi Trojan kendali hampir lengkap atas perangkat. Artikel Tim Keamanan Android merinci lebih detail: Triada menggunakan binary su yang dimodifikasi untuk mendapatkan kendali atas proses sistem. Dia memberi aplikasi superuser privilege hanya jika mereka membuat permintaan dengan kata sandi yang benar.
Juga, dalam sebuah posting oleh Lukasz Siverski, ia menceritakan bagaimana pintu belakang melacak aplikasi yang dibuka pengguna. Jika itu browser, iklan ditampilkan di atasnya. Jika Google Play store dibuka, Triada di latar belakang mengunduh dan menginstal aplikasi dari server perintahnya sendiri.
Pada 2017, Dr.Web dalam
studinya mengutip contoh-contoh smartphone yang terinfeksi dengan backdoor pabrik: Leagoo M5 Plus, Leagoo M8, Nomu S10 dan S20. Perangkat murah (sekitar $ 100) dijual di China dan Barat, beberapa di antaranya masih dapat ditemukan di toko online Cina.
Dalam sebuah artikel baru-baru ini, Google mengungkapkan skema untuk mengimplementasikan versi "pabrik" Triada (lihat gambar di atas). Tampaknya, penyedia ponsel cerdas beralih ke perusahaan pihak ketiga untuk memasukkan fungsionalitas tambahan dalam firmware perangkat yang tidak tersedia dalam proyek Android Open Source. Untuk ini, gambar sistem dikirim ke kontraktor (disebutkan oleh Yehuo dan Blazefire). Dia kembali dengan embel-embel - baik yang sah (membuka di muka pemilik) dan berbahaya. Google melaporkan bahwa, bersama dengan pengembang perangkat, mereka menghapus jejak backdoor dari firmware.
Tapi, ternyata, hanya pintu belakang ini. Pada tanggal 7 Juni, perwakilan dari Administrasi Keamanan Informasi (BSI) Jerman melaporkan (
berita ) tentang penemuan backdoor Xgen2-CY di empat smartphone murah. Model Doogee BL7000, M-Horse Pure 1, Keecoo P11 dan VKworld Mix Plus mengumpulkan informasi pengguna dan mengirimkannya ke server perintah, mereka dapat menginstal aplikasi dan membuka halaman di browser tanpa sepengetahuan pengguna. Hanya untuk model Keecoo P11 (5,7 inci, 4 core, 2 gigabytes memori, $ 110 pada GearBest) versi terbaru dari firmware tanpa backdoor tersedia. Menurut BSI, hingga 20 ribu perangkat mengakses C & C-server penyerang dari IP Jerman.
Secara umum, masalahnya tidak sepenuhnya teratasi, dan rekomendasi untuk konsumen mungkin akan seperti ini: berpikir dua kali sebelum membeli smartphone murah dari merek yang meragukan. Juli lalu, kami mengutip sebuah artikel oleh Motherboard yang
menggambarkan replika sen dari iPhone X dari Cina. Perangkat mengirim informasi pengguna ke kanan dan kiri. Kerajinan seperti itu biasanya tidak jatuh di luar China, tetapi beberapa perangkat "internasional" tidak lebih baik. Sementara kami membahas masalah privasi dan praktik mengumpulkan data pengguna oleh semua peserta pasar, puluhan ribu orang di seluruh dunia menjadi korban penjahat dunia maya secara langsung.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.