Video: Jangan Tonton Video Ini (Desember 2024)
Keyloggers adalah program kecil jahat yang ada di PC Anda dan dengan rajin merekam setiap penekanan tombol. Jika Anda ingin mencuri kata sandi perbankan seseorang, keyloggers adalah alat yang sempurna. Hadir di RSAC 2014, Manajer Teknik Keamanan Square Nathan McCauley dan Konsultan Keamanan Senior Trustwave Neal Hindocha, menunjukkan bahwa melakukan hal yang sama pada smartphone layar sentuh tidak sulit sama sekali.
Menemukan Jari
Cara terbaik untuk mencegat informasi sentuh di iOS adalah melalui "metode swizzling." McCauley mengatakan ini "seperti serangan orang-di-tengah untuk panggilan metode dalam sistem operasi." Jika Anda tahu ada metode tertentu yang akan dipanggil, jelas McCauley, Anda dapat menyisipkan pustaka yang memotong dan mencatat acara sebelum melewati acara seperti biasa. Hasilnya praktis adalah Anda dapat mengambil semua jenis informasi - bahkan tangkapan layar - tanpa memengaruhi kinerja telepon.
Biasanya, ini mengharuskan iPhone di-jailbreak terlebih dahulu. Namun, presenter mengakui penelitian dari FireEye yang dirilis pada awal minggu yang menunjukkan ini belum tentu demikian. Sampai Apple memperbarui iOS, pengguna berpotensi dapat dipantau bahkan jika perangkat mereka tidak di-jailbreak.
Pada perangkat Android yang di-rooting bahkan lebih mudah. Hindocha menggunakan alat "getevent", yang ada pada semua perangkat Android, untuk mencatat koordinat X dan Y dari setiap sentuhan. Dia juga bisa menggunakan getevent untuk merekam gerakan menggesek dan ketika tombol perangkat keras ditekan.
Untuk Android yang tidak di-root, yang sebagian besar dari mereka, Anda masih bisa menggunakan getevent. Untuk melakukannya, telepon harus mengaktifkan USB debugging dan terhubung ke komputer. Menggunakan Android Debugging Bridge, Hindocha bisa mendapatkan hak tinggi yang diperlukan untuk menjalankan getevent.
Tentu saja, perangkat Android tidak dalam mode debugging secara default (dan kami sangat menyarankan untuk tidak mengaktifkannya). Juga, akses fisik ke perangkat sangat membatasi kemanjuran serangan ini. Namun, Hindocha menunjukkan bahwa secara teori dimungkinkan untuk menggunakan kombinasi wallpaper hidup berbahaya - yang tidak memerlukan izin khusus untuk melihat data sentuh - dan aplikasi overlay untuk mencegat informasi sentuh pada perangkat yang tidak di-root.
Anda Mendapat Sentuhan
Begitu mereka menemukan cara untuk mendapatkan data sentuhan, para peneliti harus mencari tahu apa yang harus dilakukan dengan itu. Pada awalnya, mereka berasumsi bahwa perlu menangkap screenshot untuk memetakan informasi sentuh ke sesuatu yang bermanfaat. Tapi Hindocha mengatakan bukan itu masalahnya. "Ketika kami berkembang, saya menyadari bahwa saya dapat dengan mudah mengetahui apa yang terjadi hanya dengan melihat titik-titik, " katanya.
Caranya adalah mencari petunjuk khusus untuk menunjukkan jenis input apa yang sedang terjadi. Gerakan khusus menyeret dan mengetuk bisa menjadi Angry Birds, sedangkan empat ketukan dan seperlima di kanan bawah layar mungkin adalah PIN. Hindocha mengatakan bahwa mereka dapat mengetahui kapan email atau pesan teks sedang ditulis karena area tempat tombol backspace berada dipukul berulang kali. "Orang membuat banyak kesalahan ketika mereka menulis email, " jelasnya.
Tetap Aman
Para peneliti mencatat bahwa ini hanyalah salah satu metode untuk menangkap apa yang diketik dalam smartphone. Papan ketik berbahaya, misalnya, dapat dengan mudah mencuri kata sandi perbankan Anda.
Pengguna iOS yang khawatir tentang touchlogging harus menghindari jailbreaking perangkat mereka, meskipun penelitian FireEye menunjukkan bahwa ini tidak cukup. Untungnya, kata McCauley, metode swizzling cukup mudah untuk dideteksi oleh manajer perangkat yang cerdas.
Untuk Android, masalahnya sedikit lebih rumit. Sekali lagi, rooting perangkat akan membuka Anda untuk menyerang. Juga, mengaktifkan mode debugging memberikan penyerang masuk ke perangkat Anda. Ini biasanya tidak ada dalam stok ponsel Android, meskipun McCauley menyajikan pengecualian penting. Dia mengatakan bahwa dalam penelitian mereka, mereka menemukan bahwa telepon yang dikirim dari produsen yang tidak disebutkan namanya dikonfigurasikan sedemikian rupa sehingga dapat memungkinkan penyerang mengakses getevent.
Meskipun penelitian mereka memiliki aplikasi praktis, sebagian besar masih bersifat teoritis. Keran dan gesekan kami aman, setidaknya untuk saat ini.