Sebuah tim periset keamanan teknologi telah berhasil membuat exploit dari bug berbasis Android yang bernama Stagefright dan mampu melakukan hack terhadap sebuah handphone secara remote (dari kejauhan), yang mengartikan bahwa jutaan perangkat dengan sistem operasi mobile tersebut bakal rentan terhadap bahaya serangan yang sama.
Begitulah, sebuah perusahaan riset perangkat lunak asal Israel, NorthBit, mengklaim bahwa mereka telah melakukan exploit atas sebuah bug Android "dengan sukses" yang dideskripsikan “paling buruk yang pernah ditemukan” sejak awal.
Dinamakan Metaphor, pengerjaan exploit tersebut dirunut secara rinci melalui sebuah hasil riset (PDF) yang diterbitkan NorthBit, dan juga sebuah klip video yang mengunjukkan pengoperasian atas exploit tersebut pada sebuah Nexus 5. NorthBit mengatakan bahwa mereka juga telah menguji exploit yang sama pada LG G3, HTC One, dan Samsung Galaxy S5 dengan sukses.
Selaku co-founder, Gil Dabah mengatakan pada WIRED bahwa exploit tersebut dapat diubah oleh siapa pun yang berniat untuk melakukan lebih banyak kerusakan. Diperkirakan sebanyak 36 persen dari 1,4 milyar pengguna aktif atas smartphone dan tablet Android yang menjalankan Android versi 5 atau 5.1, yang belum dibubuhi update terbaru –diperingatkan oleh Dabah– akan rentan terhadap bahaya.
"Para periset kami berhasil membuatnya [dapat menyerang] hingga ke level yang siap untuk diproduksi, mengartikan bahwa siapa pun –baik pihak jahat dan pihak baik, atau pun pemerintah– dapat memakai hasil riset kami untuk penggunaan apa pun di luar sana."
Kerentanan yang dinamain Stagefright tersebut dicuatkan ke permukaan untuk pertama kalinya oleh perusahaan keamanan teknologi Zimperium pada bulan Juli 2015 lalu. Serangan pertama yang dapat dilakukan berkat bug itu dapat menjalankan kode-kode pemrograman dari kejauhan pada perangkat Android dan bisa mempengaruhi hingga 95 persen dari total perangkat Android yang ada.
Serangan kedua yang kritikal terhadap kelemahan tersebut memunculkan exploit dalam bentuk file-file berformat .mp3 dan .mp4, yang jika dibuka telah diklaim dapat menjalankan kode-kode pemrograman yang berbahaya dari kejauhan, dan dinamakan sebagai Stagefright 2.0 per Oktober lalu.
Stagefright sendiri merupakan sekumpulan perangkat lunak, yang ditulis dalam bahasa pemrograman C++ dan dibangun di dalam sistem operasi Android. Para periset dari Zimperium mengatakan bahwa keberadaannya rentan terhadap kemungkin kerusakan memori dan saat sebuah pesan MMS yang berisikan video (dengan susunan yang tepat) dikirimkan pada sebuah perangkat maka dapat mengaktifkan kode-kode pemrograman yang berbahaya di dalam perangkat tersebut.
Google sendiri telah merilis sebuah patch untuk bug tersebut dan menjanjikan bakal adanya update keamanan secara rutin untuk ponsel Android menyusul dipublikasikannya detil-detil terkait Stagefright.
Para periset dari NorthBit mengatakan bahwa mereka dapat menghasilkan sebuah exploit yang dapat dipergunakan untuk menelikung Stagefright pada Android versi 2.2, 4.0, 5.0, dan 5.1. Sementara pada versi lainnya malah tak terpengaruh sama sekali. Hasil riset dari perusahaan tersebut menyatakan bahwa exploit tersebut dikerjakan berdasar hasil kerja dari Google sendiri.
Dabah mengklaim bahwa exploit tersebut "menemukan jalan untuk menerobos " address space layout randomisation (ASLR), sebuah proses proteksi atas memori. ASLR ini terdapat pada Android versi 5.0 dan 5.1, tapi tidak ditanamkan pada versi 2.2 dan 4.0.
"Kami berhasil menciptakan exploit tersebut untuk dapat dijalankan di luar sana," jelas Dabah. Hasil riset mereka mencantumkan: "Menerobos ASLR membutuhkan beberapa informasi terkait perangkatnya, karena perangkat yang berbeda bakal menggunakan konfigurasi yang sedikit berbeda [antar satu sama lainnya] yang mungkin bisa mengubah beberapa tatanan atau pun lokasi ASLR yang bisa diprediksikan.”
"Dengan menggunakan kerentanan yang sama, amatlah memungkinkan untuk memperoleh perkiraan pembacaan atas petunjuk untuk kebocoran yang terjadi tersebut balik mengarah ke web browser dan mendapatkan informasi untuk menerobos ASLR tadi."
Seperti yang terlihat pada klip video, dengan menerobos ASLR, para periset mengunjukkan seorang pengguna yang membuka sebuah link yang dikirimkan melalui pesan sebelum exploit tersebut mengirimkan sederet data atas perangkat pengguna tadi kembali ke komputer milik sang hacker.
Selaku chairman untuk Zimperium, Zuk Avraham pernah mengatakan pada WIRED bahwa perusahaan miliknya pada awalnya telah mengembangkan dua exploit yang bisa dijalankan dengan berdasarkan pada kerentanan pertama yang dimiliki Stagefright namun para periset di NorthBit dapat menghasilkan sebuah situasi yang menempatkan para pengguna Android pun memiliki kerentanan.
"Saya akan terkejut jika banyak dari kelompok hacker di luar sana tidak memiliki exploit berdasar Stagefright yang dapat dijalankan saat ini. Kebanyakan perangkat di luar sana masihlah rentan, jadi Zimperium tidak akan mempublikasikan keberadaan explot yang kedua demi tetap bisa melindungi ekosistem yang ada," ungkap Avraham.
"Riset NorthBit menyediakan sebuah metode alternatif untuk menerobos ASLR dengan membocorkan informasi melalui mediaserver. Hasil risetnya memberikan detil yang cukup bagi kelompok hacker profesional untuk menyelesaikan sebuah exploit yang benar-benar bisa dijalankan dan bekerja."
