Ponsel Anda dibuat dari berbagai macam komponen, dan banyak di antaranya "pintar" serta memiliki prosesor dan firmware internal sendiri. Itu berarti ada banyak tempat untuk menemukan bug atau kerentanan yang memungkinkan aktor jahat memiliki akses ke hal-hal yang seharusnya tidak mereka lakukan. Perusahaan yang membuat suku cadang ini selalu berusaha meningkatkan dan mengeraskan hal-hal untuk mencegahnya, tetapi itu terjadi mustahil bagi mereka untuk menemukan semuanya sebelum sebuah komponen meninggalkan lab dan berakhir di jalur perakitan.
Kebanyakan eksploitasi ditambal sebelum ada yang tahu bahwa eksploitasi itu ada, tetapi beberapa berhasil lolos.
Hal ini membuat penemuan bug dan kerentanan ini menjadi industri tersendiri. Di DEFCON 27 dan Black Hat 2019, tempat besar tempat eksploitasi dipublikasikan dan didemonstrasikan (dan mudah-mudahan, ditambal), kerentanan dalam chip Qualcomm telah diumumkan oleh Tim Tencent Blade yang akan memungkinkan penyerang mendapatkan akses melalui kernel dan berpotensi masuk ke ponsel Anda dan menyebabkan kerusakan. Kabar baiknya adalah hal itu diumumkan secara bertanggung jawab dan Qualcomm bekerja sama dengan Google untuk memperbaiki masalah tersebut
Buletin Keamanan Android Agustus 2019.Verizon menawarkan Pixel 4a hanya dengan $ 10 / bln pada jalur Unlimited baru
Inilah semua yang perlu Anda ketahui tentang QualPwn.
Apa itu QualPwn?
Selain nama yang lucu, QualPwn menjelaskan kerentanan dalam chip Qualcomm yang memungkinkan penyerang menyusupi telepon melalui WLAN (Jaringan Area Lokal Nirkabel) dan sel Modem dari jarak jauh. Platform Qualcomm dilindungi oleh Boot Aman, tetapi QualPwn mengalahkan Boot Aman dan memberi penyerang akses ke modem sehingga alat debugging dapat dimuat dan baseband dapat dikontrol.
Begitu itu terjadi, itu bisa jadi penyerang dapat mengeksploitasi kernel yang dijalankan Android di atasnya dan mendapatkan hak istimewa yang lebih tinggi - mereka dapat memiliki akses ke data pribadi Anda.
Kami tidak memiliki semua detail tentang bagaimana ini akan terjadi atau betapa mudahnya itu akan terjadi, tetapi itu akan datang selama Presentasi Tencent Blade's Black Hat 2019 dan DEFCON 27.
Apa itu WLAN?
WLAN adalah singkatan dari Wireless Local Area Network dan merupakan nama penampung semua untuk grup perangkat mana pun - termasuk ponsel - yang berkomunikasi satu sama lain secara nirkabel. WLAN dapat menggunakan Wi-Fi, seluler, broadband, Bluetooth, atau jenis nirkabel lainnya untuk berkomunikasi dan selalu menjadi honeypot bagi orang yang mencari eksploitasi.
Karena begitu banyak jenis perangkat yang berbeda dapat menjadi bagian dari WLAN, ada standar yang sangat spesifik tentang bagaimana sambungan dibuat dan dipertahankan. Ponsel Anda, termasuk komponen seperti chip Qualcomm, perlu menggunakan dan mengikuti standar ini. Seiring kemajuan standar dan perangkat keras baru dibuat, bug dan kerentanan dalam cara membuat koneksi dapat terjadi.
Apakah QualPWN sudah diperbaiki?
Iya. Buletin Keamanan Android untuk Agustus 2019 memiliki semua kode yang dibutuhkan untuk menambal perangkat yang terpengaruh dari Qualcomm. Setelah ponsel Anda mendapatkan patch Agustus 2019, Anda aman.
Perangkat apa yang terpengaruh?
Tim Tencent Blade tidak menguji setiap ponsel menggunakan chip Qualcomm, hanya Pixel 2 dan Pixel 3. Keduanya rentan, jadi semua ponsel yang berjalan pada platform Snapdragon 835 dan 845 berada mungkin terpengaruh minimal. Kode yang digunakan untuk menambal QualPwn dapat diterapkan ke ponsel apa pun yang menjalankan prosesor Qualcomm dan Android 7.0 atau lebih tinggi.
Sampai semua detail dirilis, aman untuk mengasumsikan bahwa semua chipset Snapdragon modern harus dianggap berisiko sampai ditambal.
Apakah QualPwn telah digunakan di dunia nyata?
Eksploitasi ini diungkapkan secara bertanggung jawab kepada Google pada Maret 2019, dan setelah diverifikasi, itu diteruskan ke Qualcomm. Qualcomm memberi tahu mitranya dan mengirimkan kode untuk menambalnya pada Juni 2019, dan setiap bagian rantai telah ditambal dengan kode yang digunakan dalam Buletin Keamanan Android Agustus 2019.
Tidak ada contoh QualPwn yang dieksploitasi di alam liar telah dilaporkan. Qualcomm juga mengeluarkan pernyataan berikut tentang masalah tersebut:
Menyediakan teknologi yang mendukung keamanan dan privasi yang kuat adalah prioritas Qualcomm. Kami memuji peneliti keamanan dari Tencent karena menggunakan praktik pengungkapan terkoordinasi standar industri melalui Program Penghargaan Kerentanan kami. Qualcomm Technologies telah mengeluarkan perbaikan untuk OEM, dan kami mendorong pengguna akhir untuk memperbarui perangkat mereka saat patch tersedia dari OEM.
Apa yang harus saya lakukan sampai saya mendapatkan tambalan?
Sebenarnya tidak ada yang dapat Anda lakukan sekarang. Masalah telah ditandai sebagai Kritis oleh Google dan Qualcomm dan segera ditambal, jadi sekarang Anda harus menunggu perusahaan yang membuat ponsel Anda memberikannya kepada Anda. Ponsel Pixel, seperti Pixel 2 dan 3, bersama dengan beberapa lainnya dari Essential dan OnePlus, sudah memiliki patch yang tersedia. Yang lainnya dari Samsung, Motorola, LG dan lainnya kemungkinan akan membutuhkan beberapa hari hingga beberapa minggu untuk didorong ke ponsel.
Sementara itu, ikuti praktik terbaik yang sama yang harus selalu Anda gunakan:
- Selalu gunakan layar kunci yang kuat
- Jangan pernah mengikuti tautan dari seseorang yang tidak Anda kenal dan percayai
- Jangan pernah mengirimkan detail pribadi apa pun ke situs web atau aplikasi yang tidak Anda percayai
- Jangan pernah memberikan sandi Google Anda kepada siapa pun selain Google
- Jangan pernah menggunakan kembali sandi
- Selalu gunakan pengelola kata sandi yang baik
- Gunakan otentikasi dua faktor kapan pun Anda bisa
Selengkapnya: Pengelola Kata Sandi Terbaik untuk Android pada tahun 2019
Praktik ini mungkin tidak mencegah eksploitasi seperti ini, tetapi dapat mengurangi kerusakan jika seseorang mendapatkan beberapa detail pribadi Anda. Jangan membuatnya mudah bagi orang jahat.
Informasi lebih lanjut akan datang
Seperti yang disebutkan, Tim Tencent Blade akan merilis semua detail tentang QualPwn selama presentasi mendatang di Black Hat 2019 dan DEFCON 27. Konferensi ini berpusat pada keamanan perangkat elektronik dan sering digunakan untuk detail eksploitasi seperti ini.
Setelah Tencent Blade memberikan detail lebih lanjut, kami akan mengetahui lebih banyak tentang apa yang dapat kami lakukan untuk mengurangi risiko apa pun dengan ponsel kami sendiri.
Jerry Hildenbrand
Jerry adalah penduduk kutu buku Mobile Nation dan bangga akan hal itu. Tidak ada yang tidak bisa dia pisahkan, tapi banyak hal yang tidak bisa dia susun kembali. Anda akan menemukannya di seluruh jaringan Mobile Nations dan Anda bisa hubungi dia di Twitter jika Anda ingin mengatakan hei.