Para penelit telah menemukan kerentanan
pada RIM Blackberry Playbook yang memungkinkan seseorang (hacker) untuk
melakukan sabotase pada koneksi jaringan via bluetooth. Sabotase ini
memungkinkan pencurian data ketika sedang berlangsung proses transfer
data dari tablet ke handset Blackberry melalui koneksi bluetooth.
Penemuan kerentanan ini di presentasikan
oleh Zach Lanier dan Ben Nell dari Intrepidus Group pada sebuah
konferensi yang berlangsung di Miami Beach di Hotel Gansevoort pada
tanggal 13 Januari kemarin.
Permasalahan ini nampaknya terdapat pada
aplikasi penghubung (Bridge) yang memungkinkan pengguna untuk mengakses
email, kalender dan data lain yang di temukan pada playbook mereka dari
handset Blackberry melalui bluetooth.
Ternyata Token berisi otentifikasi yang
dikirim antara perangkat saat sambungan terhubung, akan tersimpan di
lokasi yang dapat diakses oleh siapa saja yang tahu tempat
penyimpanannya.
Menurut Lanier: “Sementara bridge ini
aktif, pada dasarnya token berada di tempat yang dapat dibaca oleh
seluruh dunia. Hal inilah yang menyebabkan masalah pada sesi Bridge.”
Tentu saja beberapa kondisi tertentu
harus terpenuhi agar sebuah serangan dapat berjalan sukses.
Pertama-tama, adalah harus ada sebuah cara tertentu untuk mengakses
token dari tablet.
Ini bisa menjadi aplikasi berbahaya
dimana secara mudah menawarkan kemampuan untuk mengakses token, atau
serangan juga bisa dilakukan dengan memanfaatkan kelemahan lain yang ada
perangkat lunak playbook tersebut. Masalah ini bisa menjadi seperti
sebuah hadiah buat para hacker karena saat ini perangkat tidak memiliki
email client, yang berarti bahwa sebagian besar konsumen harus
mengandalkan klien webmail atau penggunaan aplikasi Bridge untuk membaca
email mereka.
Nell melanjutkan bahwa: “Bukan hanya
user biasa saja yang mendapatkan ini, tetapi sekarang menjadi prioritas
target untuk mencari bug lain di Playbook. Mereka harus benar-benar
melindungi aset berharga ini dengan sisi klien kontrol.”
Dan cacat ini bukanlah satu-satunya yang
ditemukan oleh peneliti, mereka juga menemukan fakta bahwa nama file di
BlackBerry AppWorld store ditulis berurutan dan dapat di prediksi, maka
pengguna juga bisa menambahkan nama file untuk men-download aplikasi
apapun yang di inginkan.
Tidak ada komentar:
Posting Komentar