Kerentanan ini mempengaruhi Android KeyStore, area spesifik dalam sistem operasi yang didedikasikan untuk menyimpan crypto key. Bug ini mempengaruhi perangkat yang menjalankan Android 4.3 dan yang lebih lawas. Menurut Google, itu berarti ada sekitar 86% dari seluruh perangkat Android yang beredar. Jika bug dieksploitasi, peretas dapat mengakses Android KeyStore dan membocorkan informasi perbankan, password dan sejenisnya. Dalam rangka untuk mengeksploitasi kerentanan, peretas pertama-tama harus menggunakan sebuah aplikasi pada perangkat seseorang untuk menjalankan kode berbahaya. Untungnya, Google menempatkan beberapa rintangan, seperti pencegahan eksekusi data dan alamat ruang tata letak pengacakan, guna mencegah bug seperti ini tidak dieksploitasi. Perangkat lunak ini menjaga hacker dari mengeksekusi kode berbahaya yang diperlukan untuk mendapatkan akses ke kerentanan ini. Bahkan dengan semua perlindungan yang telah dibangun Google, hal itu tidak serta merta mengurangi bahaya kerentanan seperti ini, karena mempengaruhi area sensitif dari Android. Dan Wallach, seorang profesor ilmu komputer yang mengkhususkan diri dalam keamanan Android di Universitas Rice mengatakan dalam sebuah email kepada Ars Technica, sebuah situs berita populer teknologi:
“Secara umum ini adalah bagaimana aplikasi akan menyimpan kredensial otentikasi mereka, jadi jika Anda bisa kompromi KeyStore, Anda bisa log in sebagai pengguna ponsel untuk setiap layanan yang mereka punya aplikasinya, atau setidaknya, sebuah aplikasi yang mengingat siapa Anda dan memungkinkan Anda login kembali tanpa mengetik password. Ini berarti bahwa sebagian aplikasi perbankan, yang memaksa Anda untuk memasukkan password setiap kali, mungkin lebih aman terhadap serangan seperti ini. Jumlah kerusakan yang dapat Anda alami bisa ditakar dari berapa banyak aplikasi yang Anda miliki yang memungkinkan kompromi penyerang. Jika penyerang bisa merasuk ke akun Twitter Anda, maka mereka dapat menyebar spam di timeline orang dengan nama Anda. Tapi yang lebih menarik adalah peretas yang ingin mendapatkan uang Anda. Demikian juga, bagi perusahaan yang memuat mandat VPN ke ponsel, sehingga Anda dapat terhubung melalui firewall ke layanan internal mereka, mungkin terjangkit berbagai serangan jahat, karena Anda telah memberikan penyerang kunci untuk bisa melalui firewall. “
Ahli lain bernama Pau Oliva, seorang insinyur keamanan mobile senior di viaForensics mengatakan kepada Ars Technica; “Seorang pengguna berbahaya yang mengeksploitasi kerentanan ini akan mampu melakukan RSA key umum, menandatangani, dan memverifikasi atas nama pemilik smartphone.” Untuk ponsel Android yang berjalan pada versi 4,3 atau lebih lawas, Google juga bisa menerapkan fitur di Bouncer, software perlindungan server side Play Store untuk mendeteksi kode berbahaya dalam aplikasi, dan mencegah mereka muncul di Play Store. Bouncer bisa menganalisa aplikasi dengan kode khusus yang hanya akan digunakan untuk mengeksploitasi kerentanan. Program ini tidak menangkap semuanya, dan terkadang melewati beberapa hal.
Kerentanan ini terus mengancam pengguna Android sampai Google menerapkan cara untuk mencegahnya. Atau untuk saat ini, jika Anda hendak membeli perangkat yang menjalankan Android, pilih versi 4.4. Perhatikan aplikasi mana yang berbahaya, dan awasi aplikasi mana yang Anda instal dari luar Play Store. (Nis)
