Peneliti menemukan kerentanan di semua versi Android kecuali Android 9, yang memungkinkan penyerang mencuri data WiFi broadcast dan bahkan menentukan geolokasi pengguna – semua ini tanpa persetujuan pengguna.

Nightwatch Cybersecurity memposting penasihat keamanan bug  CVE-2018-9489 , yang menyatakan bagaimana informasi yang kirimkan aplikasi Android yang dipasang dapat menyebabkan perangkat dapat dilacak dengan mudah.

Pada dasarnya, sistem operasi Android menggunakan mekanisme yang disebut “Intents” untuk broadcast informasi antar proses atau aplikasi. Dan broadcast menggunakan “Intent” memungkinkan aplikasi untuk mengirim pesan seluruh sistem yang dapat ditangkap oleh aplikasi lain.

“Meskipun ada fungsi pembatasan siapa yang diizinkan untuk membaca pesan seperti itu, pengembang aplikasi sering mengabaikan untuk menerapkan pembatasan ini dengan benar atau menyembunyikan data sensitif,”.

Sistem broadcast informasi yang digunakan untuk maksud buruk termasuk  nama jaringan WiFi, BSSID, alamat IP lokal, informasi server DNS dan alamat MAC.

Sementara yang terakhir disembunyikan melalui API dari Android 6 dan membutuhkan izin tambahan, aplikasi mendengarkan siaran tidak menuntut izin apa pun, sehingga menangkap informasi tanpa sepengetahuan pengguna.

Posting ini juga menyebutkan bahwa alamat MAC dapat digunakan untuk “secara unik mengidentifikasi dan melacak perangkat Android.” Selain itu, SSID dan nama jaringan dapat digunakan untuk geolokasi pengguna dan bahkan menyerang jaringan WiFi lokal.

Menurut NightWatch, juru bicara Google mengatakan bug itu diperbaiki di Android Pie. Tetapi perusahaan tidak akan melakukan hal yang sama untuk versi sebelumnya, meninggalkan Android Oreo dan lainnya terbuka untuk peretasan dan ancaman.