Mahasiswa Ini Temukan Teknik Fingerprint-Jacking untuk Memanipulasi Android UI

Fingerprint-Jacking

Fingerprint-Jacking - Banyak smartphone saat ini sudah menggunakan teknologi canggih termasuk pemindai sidik jari yang berfungsi untuk mengotorisasi akses ke perangkat, mengaktifkan akun, pembayaran, dan segala macam aktivitas lain. Pemindai yang dimaksudkan bertujuan untuk kegiatan sehari-hari sebagai otentikasi yang sah, tetapi peneliti keamanan menemukan sesuatu yang baru untuk memanipulasi pemindai sidik jari itu.

Temuan ini berhasil ditemukan oleh mahasiswa bernama Xianbo Wang, Ph.D yang belajar di Universitas Hongkong. Penelitian ini di presentasikan bersama profesor Wing Cheong Lau, mahasiswa master Yikang Chen Ph.D dan pakar keamanan siber Ronghai Yang dari Sangfor Technologies.

Dalam acara Black Hat Europe, Wang menjelaskan bagaimana ia menemukan bug di aplikasi dompet seluler dan mengaktifkannya untuk membajak sidik jari, serangan ini merupakan berbasis antarmuka pengguna yang menargetkan sidik jari di aplikasi Android. 

Istilah Fingerprint-Jacking diambil dari nama bug clickjacking, yang artinya jenis serangan ini menyembunyikan antarmuka aplikasi berbahaya dengan penutup palsu.

Wang memulai presentasi dengan demo aplikasi sebagai contohnya. Perangkat yang menjalankan Android 10 membuka aplikasi Magisk, yang dapat mengontrol aplikasi di perangkat dengan akses root. Kemudian, ia menjalankan aplikasi "buku harian" saat melihat, antarmuka layar kunci muncul. Sidik jari digunakan untuk membuka aplikasi yang terkunci di perangkat dan pengguna diarahkan kembali ke aplikasi "buku harian". Namun, ketika aplikasi Magisk dibuka kembali, aplikasi sebelumnya "buku harian" sekarang memiliki akses root pada perangkat.

Teknik Fingerprint-Jacking digunakan untuk mengelabui pengguna agar mengizinkan beberapa tindakan berbahaya tanpa disadari dan dicurigai. Peneliti keamanan juga berhasil menemukan 5 serangan baru lain yang semuanya dapat digunakan pada aplikasi Android tanpa izin tertentu.

Dalam siklus aktivitas aplikasi Android, biasanya akan dijumpai aktivitas yang ditandai sebagai "berjalan" di waktu tertentu. Saat aplikasi tidak menjalankan hal apapun di latar depan, aktivitas tersebut telah dijeda namun tidak dihentikan dan masih bisa terlihat. Ketika layar smartphone sudah mati, biasanya aplikasi akan melakukan otorisasi sidik jari untuk memulai aktivitas baru. Aktivitas sidik jari ini melewati tahapan secara normal seperti membuat, memulai dan melanjutkan dan di jeda pada latar belakang.

Wang juga menjelaskan bahwa temuan ini dapat membypass sistem mitigasi yang dimiliki oleh Android.

Untuk saat ini aplikasi-aplikasi Android sudah memiliki sistem login yang menggunakan sidik jari namun kemampuan itu tidak semua dimiliki karena masih bergantung pada versi Android. Serangan ini dapat mempengaruhi Android 7 dan Android 8 yang menggunakan sidik jari. Namun, pada versi Android 9, Google menambalkan mitigasi ke FingerprintManager API untuk memblokir aktivitas input sidik jari di latar belakang.

Meskipun pada versi Android 9 sudah terdapat FingerprintManager API, peneliti keamanan menjelaskan bahwa serangan paling kuat yang berhasil ia temukan dapat membypas mitigasi tersebut. Serangan itu dijuluki sebagai Race-Attack yaitu mengeksploitasi dua aktivitas yang dimulai secara singkat.

Hasil penelitian ini sudah dilaporkan kepada Google pada bulan Juni dan diberi label klasifikasi sebagai CVE-2020-27059 dan perbaikan kabarnya akan dirilis Januari 2021.

Posting Komentar

0 Komentar