Credit image: Freepix
Bingkai Foto Digital Bawa Ancaman Siber – Para peneliti keamanan siber menarik perhatian pada ancaman serius yang tersembunyi dalam bingkai foto digital (digital picture frame) berbasis Android yang menggunakan platform Uhale.
Produk ini, yang dijual di bawah berbagai merek, ditemukan memiliki banyak kerentanan kritis, bahkan beberapa di antaranya secara otomatis mengunduh dan menjalankan malware saat perangkat dinyalakan (boot time).
Peneliti keamanan telah melakukan investigasi mendalam terhadap aplikasi Uhale dan menemukan perilaku mencurigakan yang mengarah pada koneksi dengan keluarga malware Mezmess dan Vo1d.
Quokka telah melaporkan masalah ini kepada ZEASN (sekarang dikenal sebagai ‘Whale TV’), perusahaan Tiongkok di balik platform Uhale, namun sayangnya tidak menerima tanggapan apa pun sejak Mei [Tahun].
|
Baca juga: AI Ubah Phising Jadi Senjata |
Pengiriman Malware Otomatis
Temuan yang paling mengkhawatirkan adalah mekanisme penyebaran malware yang terjadi secara otomatis pada banyak picture frame Uhale yang dianalisis.
- Infeksi Saat Booting: Setelah dinyalakan, banyak bingkai foto yang diselidiki memeriksa dan memperbarui ke versi aplikasi Uhale 4.2.0. Setelah pembaruan dan reboot, aplikasi Uhale yang diperbarui tersebut memulai pengunduhan dan eksekusi malware dari server yang berbasis di Tiongkok.
- Malware Permanen: File berbahaya yang diunduh (berupa JAR/DEX) disimpan di direktori file aplikasi Uhale dan dimuat serta dieksekusi setiap kali perangkat dinyalakan kembali.
- Kondisi Perangkat: Perangkat yang diperiksa oleh Quokka ditemukan dalam kondisi yang sangat rentan, modul keamanan SELinux dinonaktifkan, perangkat sudah memiliki akses root secara default, dan banyak komponen sistem ditandatangani dengan kunci uji AOSP publik. Ini berarti perangkat tersebut sepenuhnya terkompromi sejak dikeluarkan dari kotak.
Para peneliti menemukan bukti yang mengaitkan payload yang diunduh dengan botnet Vo1d dan keluarga malware Mzmess, berdasarkan pola paket, endpoint komunikasi, dan alur kerja pengiriman.
Pintu Gerbang Keamanan yang Terbuka Lebar
Selain pengiriman malware otomatis, peneliti juga menemukan lebih dari selusin kerentanan keamanan kritis lainnya pada digital picture frame yang menggunakan platform Uhale.
Selain pengiriman malware otomatis, peneliti juga menemukan sejumlah kerentanan keamanan kritis lainnya.
Beberapa yang paling signifikan termasuk, implementasi TrustManager yang tidak aman, yang membuka celah bagi serangan man-in-the-middle (MiTM).
Yang lain adalah memungkinkan eksekusi kode jarak jauh (Remote Code Execution – RCE) dengan hak akses root pada perangkat.
Proses pembaruan aplikasi yang tidak memfilter nama file dengan benar, sehingga memungkinkan command injection dan instalasi APK sewenang-wenang dari jarak jauh.
Adanya aplikasi pre-installed yang membuka file server pada port TCP 17802 yang menerima unggahan tanpa autentikasi, memungkinkan perangkat lain di jaringan lokal untuk:
- Membaca.
- Menulis.
- Atau menghapus file sembarangan;
Dan yang terakhir, kerentanan phising di mana WebViews aplikasi mengabaikan kesalahan SSL/TLS, memungkinkan penyerang menyuntikkan atau mencegat data yang ditampilkan, sehingga memicu phising atau pemalsuan konten.
Kerentanan lain termasuk penggunaan pola kripto yang lemah, kunci hardcoded (termasuk kunci AES yang digunakan untuk mendekripsi respons).
Dan menyertakan komponen pembaruan Adups dan pustaka yang sudah usang, yang semuanya menciptakan risiko rantai pasokan (supply-chain risk).
Skala Ancaman dan Rekomendasi
Sulit untuk memperkirakan secara pasti jumlah pengguna yang telah terpengaruh atau terdampak oleh ancaman ini.
Karena sebagian besar produk ini dipasarkan dan dijual di bawah berbagai merek tanpa mencantumkan platform Uhale yang mereka gunakan.
- Aplikasi Uhale telah diunduh lebih dari 500.000 kali di Google Play dan memiliki ribuan ulasan pengguna di App Store.
- Kurangnya respons dari ZEASN/Whale TV sejak Mei [Tahun] menunjukkan bahwa kerentanan ini kemungkinan besar masih belum ditambal (unpatched).
Rekomendasi Keamanan
Mengingat kondisi perangkat yang rentan sejak awal dan mekanisme pengiriman malware otomatis, konsumen disarankan untuk:
- Hanya beli perangkat elektronik dari merek terkemuka yang menggunakan citra Android resmi, layanan Google Play, dan memiliki perlindungan malware bawaan.
- Hindari perangkat yang menunjukkan tanda-tanda firmware telah dimodifikasi (misalnya, root secara default atau SELinux dinonaktifkan), karena ini memudahkan serangan.
- Jika Anda memiliki digital picture frame yang menggunakan platform Uhale (atau merek yang tidak jelas), pertimbangkan untuk memutuskan koneksi perangkat tersebut dari jaringan internet rumah Anda sebagai tindakan pencegahan darurat.
Sumber berita:
