Benarkah ada kerentanan Zero-Day di Tizen?


Saat berlangsungnya Kaspersky Security Analyst Summit 2017 yang berlangsung di St. Maarten, seorang peneliti asal Israel mengatakan bahwa dia telah menemukan 40 kerentanan keamanan yang tidak diketahui, atau dikenal dengan istilah zero-day exploit, yang akan memungkinkan seseorang untuk meretas perangkat Tizen dari jarak jauh tanpa perlu akses langsung secara fisik.

"Ini mungkin kode terburuk yang pernah saya lihat," katanya Amihai Neiderman kepada Motherboard. "Semuanya yang Anda lakukan salah di sana, mereka melakukannya. Anda bisa melihat bahwa tak seorangpun yang memiliki pemahaman tentang keamanan apapun yang melihat kode ini atau menulisnya. Ini seperti membiarkan mereka yang masih belum lulus kuliah dan membiarkannya memprogram software Anda."

Amihai Neiderman adalah kepala peneliti di Equus Software, sebuah perusahaan yang bergerak dalam mengembangkan solusi keamanan buat smartphone Android yang berbasis di Israel. Dia mengatakan mulai menganalisa kode delapan bulan lalu setelah membeli TV Samsung dengan OS Tizen yang sudah terinstal di atasnya.

Menurut Neiderman, lubang keamanan yang ditemukannya sangat kritis karena melibatkan Tizen Store. Neiderman mengatakan adanya cacat dalam desain memungkinkan dia untuk membajak software untuk memberikan kode berbahaya buat TV Samsung milik-nya. Karena software Tizen Store beroperasi dengan hak akses tertinggi yang bisa Anda peroleh pada perangkat, itu bisa merupakan pintu masuk buat seorang peretas yang bisa menyalahgunakannya.

"Anda bisa memperbarui sistem Tizen dengan kode berbahaya yang Anda inginkan," katanya.

Meskipun Tizen Store sudah menggunakan otentikasi untuk memastikan hanya software Samsung yang berwenang yang bisa terinstal pada perangkat, namun Neiderman menemukan kerentanan stack-overflow yang memberinya kontrol sebelum fungsi otentikasi itu dijalankan.



Setelah mengetahui adanya Zero-Day di Tizen TV, Neiderman kemudian tertarik untuk membeli beberapa smartphone Tizen sebagai obyek penelitiannya berikutnya.

Menurut Neiderman, banyak dari basis kode Tizen berasal dari proyek software Samsung sebelumnya, termasuk OS bada. Namun dia menyebutkan bahwa kebanyakan dari kerentanan yang ia temukan benar-benar dalam kode baru yang ditulis secara khusus untuk Tizen dalam dua tahun terakhir. Salah satu contohnya adalah penggunaan strcpy() di Tizen, sebuah fungsi untuk mereplikasi data dalam memori, dimana ada buffer overflow yang ditemukan oleh Neiderman.

Buffer overflow atau buffer overrun merupakan kelemahan yang sering terjadi pada sebuah software atau OS yang menggunakan bahasa pemrograman C atau C++ yang tidak secara otomatis melakukan pengecekan atau mengalokasikan memori setelah sebuah program selesai dieksekusi. Hal ini kemudian dimanfaatkan oleh peretas untuk melakukan serangan yang mengakibatkan memori kelebihan muatan.

Dia juga menemukan bahwa programmer Tizen gagal menggunakan enkripsi SSL untuk koneksi yang aman ketika sedang berlangsung transmisi data tertentu. Mereka menggunakannya pada beberapa transmisi data tetapi tidak dengan yang lainnya, dan terkadang malah tidak menggunakannya saat dibutuhkan.



Apa itu Kerentanan Zero-Day?

Kerentanan Zero-Day atau Zero-Day vulnerability adalah celah keamanan yang ditemukan pada suatu software atau sistem software dan tidak diketahui oleh pengembangnya sehingga belum tersedia solusi untuk menambalnya. Celah keamanan ini diketemukan oleh pihak ketiga dan kemudian bisa dimanfaatkan peretas atau penjahat dunia maya untuk melakukan serangan - sering disebut Zero-Day Attack - dengan cara menyusupkan malware maupun spyware guna mendapatkan akses ke informasi pengguna.

Sebelumnya banyak sekali sistem operasi maupun software terkenal yang sudah terkena atau terungkap adanya kerentanan Zero-Day, seperti Microsoft Windows, Microsoft Office, Apple iOS, Apple OS X. Google Android, Adobe Flash dan banyak lagi. Selain peretas dan penjahat dunia maya, pihak intelijen seperti CIA juga sering menanamkan Zero-Day ini pada perangkat-perangkat IT yang beredar luas untuk memata-matai target mereka. Tak jarang Zero-Day juga sering dimanfaatkan untuk menjatuhkan kapabilitas software buatan pesaingnya, seperti yang sering dilakukan oleh Google maupun Microsoft. Sementara perusahaan-perusahaan keamanan dan pembuat antivirus juga sering memanfaatkan momen pengungkapan Zero-Day untuk pencitraan dan menaikkan pamor merek mereka di industri sebagai penemu pertama. 

Neiderman mengatakan ia telah melakukan kontak dengan Samsung dalam beberapa hari terakhir terkait masalah kerentanan yang ia temukan ini. Samsung Electronics sendiri juga sudah siap bekerjasama untuk mengatasi masalah ini. "Kami berkomitmen penuh untuk bekerja sama dengan Pak Neiderman untuk mengurangi setiap potensi kerentanan. Melalui program Smart TV Bug Bounty kami, Samsung berkomitmen untuk bekerja sama dengan ahli keamanan di seluruh dunia untuk mengurangi setiap risiko keamanan."

Smart TV Bug Bounty adalah sebuah inisiatif untuk mencapai segmen pasar yang ditargetkan buat mengidentifikasi bug keamanan dalam model Samsung Smart TV. Hal ini pada gilirannya juga meletakkan sebuah jembatan bagi Samsung Electronics untuk menjamin keamanan dan kualitas sebagai pilar untuk pengakuan produk mereka. Setiap pelapor bug yang terpilih akan mendapatkan hadiah 1000 USD (sekitar 13 juta rupiah) atau lebih.



Sistem Keamanan di Tizen

Pada tingkatan kernel, Tizen hanyalah platform Linux. Namun pada kebijakan keamanan dan sisi kontrol akses, Tizen menggunakan Smack, sebuah alternatif untuk SELinux (Security-Enhanced Linux) yang dinilai terlalu berat dan rumit. Smack atau Simple Mandatory Access Control Kernel adalah modul keamanan untuk kernel Linux yang melindungi data dan proses interaksi dari manipulasi berbahaya (malware) yang menggunakan satu set aturan kustom dari mandatory access control (MAC), dengan kesederhanaan sebagai tujuan desain utamanya.

"Kita menggunakan Smack Linux Security Module untuk menyediakan kendali akses mandatory. Kita mengambil sikap yang sangat agresif berkaitan dengan menjaga layanan sistem yang dilindungi. Ada kemungkinan untuk menjadi versi hard dari Tizen hanya karena kami menciptakan sistem hard melalui desain," kata Casey Schaufler, kreator dari Smack yang saat ini bekerja pada Smack Linux Project. "Dengan menempatkan keamanan ke dalam arsitektur awal, kami percaya bahwa Tizen akan bisa dibandingkan dengan baik dengan sistem lain di pasar."

Di Tizen 3.0 nanti juga akan diperkenalkan kebijakan Smack 3-domain yang kompak, sehingga ada kebutuhan untuk mekanisme user-space yang melengkapi solusi. Ini adalah tempat untuk modul keamanan baru - Cynara.

Samsung juga memiliki GAIA, solusi keamanan tiga lapis yang kuat dan komprehensif untuk seluruh line up Smart TV berbasis OS Tizen. Layanan ini akan memberikan perlindungan konsumen di semua bidang ekosistem Smart TV, termasuk keamanan layanan, software dan hardware. Sementara

Dan jangan lupa, Knox yang baru-baru ini terpilih sebagai platform keamanan mobile terbaik 2016 oleh Gartner juga berbasis Tizen: "Tizen menjadi lebih penting bagi kami. Ini adalah salah satu cara untuk bisa menjual smartphone dengan harga terjangkau di pasar negara berkembang. Tizen juga telah memberi kekuatan buat produk TV, wearable dan IoT kami. Bahkan juga buat solusi keamanan kami, Knox. Kami sangat serius terhadap Tizen. Ini adalah sistem operasi yang indah," kata Mihai Pohontu, wakil presiden untuk emerging platform di Samsung Electronics.


Update

Berikut ini tanggapan dari salah satu anggota tim Tizen Technical Steering Group (TSG) lewat mailing list:

"Saya telah membaca artikelnya. Penulis tampaknya mendasarkan klaimnya atas penemuan 40 contoh strcpy() dalam kode. Ini hampir tidak memenuhi syarat sebagai analisis canggih," kata Casey Schaufler dari Intel.


Comments