Ada Celah di Fitur iMessage, iPhone Bisa Dibobol Hacker

Jakarta, Cyberthreat.id – Mei lalu, pengguna WhatsApp seluruh dunia dibuat geger. Bagaimana tidak, jejaring sosial yang terkenal dengan kampanye enkripsi end-to-end ternyata bisa dibobol peretas (hacker).

Hacker hanya sekali mengirimkan Pegasus melalui panggilan telepon WhatsApp, begitu nama senjata siber yang dibuat NSO Group, perusahaan cybersecurity asal Israel, spyware telah masuk ke ponsel pintar korban—bahkan jika penerima tidak menjawab panggilan tersebut.

Kali ini, Apple yang kena giliran sorotan. Padahal selama ini publik mengenal Apple selalu merancang produknya seaman mungkin. Namun, seaman-amannya produk seluler tetap ada celah kerawanan (bug) setiap saat.

Dan, fitur iMessage-lah yang menjadi perhatian peneliti karena terdapat bug yang bisa dieksploitasi hacker.

Berita Terkait:

• Hacker Pun Punya Strata Sosial: Level Suhu Hingga Kacangan
• Ingin Jadi Hacker? Yuk, Kenali Dulu Filosofi dan Karakternya

Pada konferensi keamanan Black Hat di Las Vegas, Nevada, Amerika Serikat, Rabu (7 Agustus 2019), peneliti Google Project Zero Natalie Silvanovich menghadirkan beberapa bug yang disebut "interaction-less” atau bug tanpa interaksi di iMessage.

Bug tersebut dapat dieksploitasi untuk mendapatkan kontrol perangkat pengguna. Sementara ini Apple telah menambal lima dari temuan peneliti, sebagian lagi masih belum ditambal (patch).

Menurut Silvanovich, bug tersebut dapat diubah menjadi semacam bug yang akan mengeksekusi kode dan pada akhirnya dapat digunakan untuk hal-hal yang dipersenjatai seperti mengakses data korban.

Berita Terkait:

• Hacker Sasar E-Commerce Indonesia Via Penipuan Iklan Digital

"Jadi, skenario terburuknya adalah bahwa bug ini digunakan untuk membahayakan pengguna," kata dia seperti dikutip dari Wired, Kamis (8 Agustus).

Silvanovich, yang bekerja pada penelitian dengan sesama anggota Project Zero, Samuel Groß, tertarik pada bug tanpa interaksi karena kerentanan WhatsApp yang dramatis beberapa waktu lalu.

Dari keresahan WhasApp itu, ia kemudian tertarik untuk meneliti di SMS, MMS, dan pesan suara visual. Sayangnya, hasilnya nihil.

Barulah, ketika meneliti iMessage, dia dengan cepat menemukan beberapa bug yang dapat dieksploitasi.

Berita Terkait:

• Salah Kaprah Riwayat Penyebutan Hacker
• Ternyata Hacker Pun Punya Kode Etik

Mengapa iMessage?

Karena iMessage adalah platform yang kompleks yang menawarkan berbagai opsi dan fitur komunikasi. Ini mencakup Animojis, render file seperti foto dan video, dan integrasi dengan aplikasi lain–mulai dari Apple Pay dan iTunes hingga Fandango dan Airbnb.

“Semua ekstensi dan interkoneksi ini meningkatkan kemungkinan kesalahan dan kelemahan,” kata dia.

Salah satu bug tanpa interaksi paling menarik yang ditemukan Silvanovich, yaitu bug yang memungkinkan peretas mudah mengekstrak data dari pesan pengguna.

“Penyerang dapat mengirim pesan teks yang dibuat khusus ke target dan server iMessage akan mengirim kembali data ke pengguna yang telah ditargetkan dengan konten gambar atau SMS,” kata Silvanovich

“Korban bahkan tidak perlu membuka aplikasi iMessage mereka agar serangan itu berhasil,” ia menambahkan.

Bug lain yang ditemukan Silvanovich dapat menyebabkan kode berbahaya ditempatkan pada perangkat korban, lagi-lagi hanya dari teks yang masuk.

Bug tanpa interaksi sangat didambakan oleh vendor yang mengeksploitasi dan peretas yang didukung negara karena mereka membuatnya sangat mudah untuk mengkompromikan perangkat target tanpa memerlukan dukungan dari korban.

Enam kerentanan yang ditemukan Silvanovich berpotensi bernilai jutaan atau bahkan puluhan juta dolar di pasar eksploitasi. "Bug seperti ini belum pernah dipublikasikan untuk waktu yang lama," kata Silvanovich.

“Ada banyak permukaan serangan tambahan dalam program seperti iMessage. Bug individu cukup mudah untuk ditambal, tetapi Anda tidak pernah dapat menemukan semua bug dalam perangkat lunak,” ia menambahkan.

iMessage Masih Kuat

Silvanovich menekankan bahwa keamanan iMessage secara keseluruhan kuat dan Apple, sebagai pengembang sangat jarang membuat kesalahan konseptual ini. Sayangnya, Apple belum mau berkomentar terkait temuan tersebut.

Silvanovich mengatakan juga mencari bug tanpa interaksi di Android, tetapi sejauh ini belum ditemukan. Namun, ia mencatat bahwa kemungkinan kerentanan semacam itu ada di hampir semua target. Selama setahun terakhir dia menemukan kekurangan serupa di WhatsApp, FaceTime, dan protokol konferensi video webRTC. “Mungkin ini (aplikasi-aplikasi itu) adalah area yang terlewatkan dalam keamanan,” kata Silvanovich.

Saran

Hal terbaik yang dapat pengguna lakukan untuk melindungi diri dari serangan tanpa interaksi adalah menjaga sistem operasi dan aplikasi ponsel tetap diperbarui.

Apple telah menambal keenam bug iMessage yang ditampilkan Silvanovich di iOS 12.4 yang baru saja dirilis dan di macOS 10.14.6.

Lebih dari itu, kata Silvanovich, semuanya tergantung pada pengembang untuk menghindari jenis bug tersebut masuk ke kode mereka atau bagaimana pengembang menemukan bug itu secepat mungkin.

Karena serangan tanpa interaksi bisa terjadi kapan saja, tak terhindarkan bisa terjadi. Tidak ada banyak yang bisa dilakukan pengguna untuk menghentikannya, begitu pesan atau panggilan berbahaya mulai berdatangan.