ShareIt merupakan aplikasi berbagi file populer yang telah diunduh lebih dari satu milliar kali di Play Store. Aplikasi yang awalnya dikembangkan oleh Lenovo ini merupakan satu dari 10 aplikasi yang paling banyak diunduh secara global pada 2019 menurut laporan App Annie. Namun dibalik popularitas tersebut, aplikasi itu ternyata menyimpan celah keamanan yang berbahaya bagi para penggunanya.
Laporan dari perusahaan keamanan siber Trend Micro menyebutkan bahwa kerentanan yang ada pada ShareIt sangat rawan untuk disalahgunakan untuk membocorkan atau mencuri data sensitif para pengguna dan mengeksekusi kode arbitrer atas izin ShareIt.
Sebagai aplikasi berbagi file, ShareIt memiliki perizinan yang sangat luas. Menurut pembacaan izin Play Store, ShareIt meminta akses ke seluruh bagian dari penyimpanan pengguna yang meliputi semua media, dan juga akses kamera, mikrofon serta lokasi. Izin tersebut memnungkinkan untuk menghapus aplikasi, menjalankan, bahkan membuat akun dan mengatur kata sandi. Selain juga memiliki akses penuh atas jaringan.
Trend Micro membeberkan bahwa hal tersebut dapat mengakibatkan eksekusi kode dari jarak jauh. Mereka menambahkan telah melaporkan celah keamanan tersebut kepada ShareIt, namun belum ada tindakan yang dilakukan.
ShareIt dianggap sebagai salah satu aplikasi terbaik untuk urusan berbagi file lokal, dan meraih tingkat kepopuleran yang tinggi. Hal tersebut telah menyebabkan aplikasi ini berkembang tak hanya sebagai media berbagi file namun juga menawarkan “Video Online tak Terbatas”, “Puluhan juta lagu berkualitas tinggi”, “GIF, Wallpaper, Sticker” seperti yang mereka tuliskan pada deskripsi di Play Store.
Masih menurut Trend Micro, masalah akan muncul ketika developer aplikasi salah mempersiapkan platform penyedia konten. Contoh kasus apabila Gmail ingin melampirkan file ke email, maka hal itu dapat dilakukan dengan manampilkan daftar penyedia konten file yang tersedia dan telah diinstal pada ponsel Anda (kotak dialog “buka dengan”) lalu pengguna dapat memilih pengelola file yang mereka inginkan untuk memilih file yang akan mereka teruskan ke Gmail. Kemampuan lintas aplikasi tersebut akan dibersihkan segera setelah Anda selesai memilih file.
Namun hal tersebut tak dilakukan ShareIt yang tak mengurangi izinnya sama sekali dimana pihak ketiga manapun masih bisa mendapatkan akses baca tulis ke penyedia data konten. Itu memungkinkan developer yang berniat jahat menggunakan kemampuan pengelola file ShareIt untuk memberikan jalur bagi developer menyisipkan file miliknya.
Lebih lanjut laporan tersebut menyebutkan bahwa “penyerang” dapat membuat file (cache aplikasi) palsu, kemudian mengganti file tersebut melalui celah yang dimiliki ShareIt untuk dapat menjalankan kode eksekusi. Biasanya file ini berada di penyimpanan pribadi, tetapi penyimpanan pribadi ShareIt terbuka untuk siapa saja.
ShareIt juga memiliki penginstal Android sendiri. File penyimpanan aplikasi perlu dilindungi di penyimpanan pibadi sebelum diinstal, namun di penyimpanan publik paket penginstalan dapat ditukar segera sebelum Anda mulai menginstal.
Masalah lain ada pada toko game yang dimiliki ShareIt yang mengunduh data aplikasi melalui HTTP yang tidak aman. Sebagian aplikasi memaksa semua lalu – lintas ke HTTPS namun tidak demikian dengan ShareIt.
Pada akhir laporan Trend Micro mengatakan bahwa keputusan mereka mengunkapkan temuan ini dikarenakan belum ada tindakan atas celah yang sebelumnya telah mereka laporkan.
Baca juga: Mark Zuckenberg Mulai Terancam Dengan Apple
“Kami melaporkan celah ini kepada vendor yang hingga kini belum merespons. Kami memutuskan untuk mengungkapkan penelitian ini tiga bulan setelah laporan tersebut karena banyak pengguna mungkin akan terkena dampak serangan ini, karena penyerang dapat mencuri data sensiti dan melakukan apa saja dengan izin yang dimiliki aplikasi.”
Info tech paling update! Ikuti kami di WhatsApp Channel & Google News, Jadilah bagian komunitas kami!
