Seorang Mahasiswa Remaja Berhasil Membobol Webcam Mac, Pihak Apple Malah Memberikan Hadiah Rp 1,4 Milliar Atas Aksinya
Jakarta - Ryan Pickren, seorang remaja yang ahli keamanan siber, berhasil membobol kamera atau cam di Mac. Peretasan ini malah membuatnya diganjar 100.500 dolar AS atau sekitar Rp 1,4 miliar oleh Apple.
Peretasan yang dilakukan mahasiswa Georgia Institute of Technology itu bukan untuk aksi kejahatan, melainkan upaya pengungkapan adanya bug atau celah keamanan di komputernya Apple.
Itu mengapa perusahaan memberinya hadiah, karena apa yang dilakukan Pickren bagian dari program pencarian insect berhadiah (pest bounty program).
Insect ini memungkinkan hacker mengambil alih webcam Mac dengan mengeksploitasi celah keamanan di software application internet browser Safari dan komputasi awan iCloud. Lewat kelemahan sistem tersebut, sebuah situs internet mencurigakan berisi malware dapat melancarkan serangan.
Bahkan, celah tersebut tidak hanya mengambil alih kamera dan mikrofon saja. Pickren menjelaskan di blog site pribadinya bahwa hacker juga dapat mengakses penuh ke semua akun berbasis web, mulai dari iCloud hingga PayPal.
"Peretasan saya berhasil mendapatkan akses kamera yang tidak sah (unauthorized) dengan mengeksploitasi serangkaian masalah di iCloud Sharing dan Safari 15 ... Kali ini, pest memberikan penyerang akses penuh ke setiap situs web yang pernah dikunjungi oleh korban.
Itu berarti selain menyalakan kamera Anda, insect saya juga dapat meretas akun iCloud, PayPal, Facebook, Gmail, dll."
Detail bug hingga eksploitasinya cukup rumit. Sederhananya, salah satu kunci dari peretasan ini adalah kerentanan dalam aplikasi berbagi data iCloud yang disebut ShareBear.
Jika pengguna menerima undangan untuk berbagi dokumen dengan seseorang, Mac akan mengingat bahwa pengguna telah memberi izin, dan komputer tidak akan tanya lagi ketika pengguna membuka data yang sama ke depannya.
Karena data tersimpan dalam cloud, pemilik dokumen masih bisa mengakses dan mengubahnya.
Tidak hanya nama, dokumen tersebut juga dapat diubah jenis ekstensinya (. doc,. jpg, hingga.mp4), termasuk ke tipe yang bisa dieksekusi (. exe).
Dan documents ini bisa dibuka secara diam-diam.
Ini yang membuat Pickren dan hacker bisa mengubah documents dokumen atau gambar menjadi data malware yang berjalan di sistem Mac korban.
Karena riwayat documents sebelumnya sudah tersimpan di web browser Safari, maka data yang kemudian diubah menjadi malware tidak akan terdeteksi.
Sebelumnya pada 2019, Pickren pernah menemukan serangkaian pest yang bisa dieksploitasi untuk mengaktifkan kamera dan mikrofon apple iphone tanpa pengguna harus memberikan izin privasi.
Temuan ini membuat produsen apple iphone, Apple, memberinya hadiah sebesar 75.000 dolar AS atau sekitar Rp 1 miliar.
Peretasan yang dilakukan mahasiswa Georgia Institute of Technology itu bukan untuk aksi kejahatan, melainkan upaya pengungkapan adanya bug atau celah keamanan di komputernya Apple.
Itu mengapa perusahaan memberinya hadiah, karena apa yang dilakukan Pickren bagian dari program pencarian insect berhadiah (pest bounty program).
Insect ini memungkinkan hacker mengambil alih webcam Mac dengan mengeksploitasi celah keamanan di software application internet browser Safari dan komputasi awan iCloud. Lewat kelemahan sistem tersebut, sebuah situs internet mencurigakan berisi malware dapat melancarkan serangan.
Bahkan, celah tersebut tidak hanya mengambil alih kamera dan mikrofon saja. Pickren menjelaskan di blog site pribadinya bahwa hacker juga dapat mengakses penuh ke semua akun berbasis web, mulai dari iCloud hingga PayPal.
"Peretasan saya berhasil mendapatkan akses kamera yang tidak sah (unauthorized) dengan mengeksploitasi serangkaian masalah di iCloud Sharing dan Safari 15 ... Kali ini, pest memberikan penyerang akses penuh ke setiap situs web yang pernah dikunjungi oleh korban.
Itu berarti selain menyalakan kamera Anda, insect saya juga dapat meretas akun iCloud, PayPal, Facebook, Gmail, dll."
Detail bug hingga eksploitasinya cukup rumit. Sederhananya, salah satu kunci dari peretasan ini adalah kerentanan dalam aplikasi berbagi data iCloud yang disebut ShareBear.
Jika pengguna menerima undangan untuk berbagi dokumen dengan seseorang, Mac akan mengingat bahwa pengguna telah memberi izin, dan komputer tidak akan tanya lagi ketika pengguna membuka data yang sama ke depannya.
Karena data tersimpan dalam cloud, pemilik dokumen masih bisa mengakses dan mengubahnya.
Tidak hanya nama, dokumen tersebut juga dapat diubah jenis ekstensinya (. doc,. jpg, hingga.mp4), termasuk ke tipe yang bisa dieksekusi (. exe).
Dan documents ini bisa dibuka secara diam-diam.
Ini yang membuat Pickren dan hacker bisa mengubah documents dokumen atau gambar menjadi data malware yang berjalan di sistem Mac korban.
Karena riwayat documents sebelumnya sudah tersimpan di web browser Safari, maka data yang kemudian diubah menjadi malware tidak akan terdeteksi.
Sebelumnya pada 2019, Pickren pernah menemukan serangkaian pest yang bisa dieksploitasi untuk mengaktifkan kamera dan mikrofon apple iphone tanpa pengguna harus memberikan izin privasi.
Temuan ini membuat produsen apple iphone, Apple, memberinya hadiah sebesar 75.000 dolar AS atau sekitar Rp 1 miliar.
Komentar
Posting Komentar