Apple Beri Rp 1,4 Miliar ke Mahasiswa Penemu Celah Berbahaya di Mac

Liputan6.com, Jakarta - Apple memberi hadiah sebesar USD 100.000 (setara Rp 1,4 miliar) pada seorang mahasiswa yang menemukan celah kamera sekaligus keamanan di Mac.

Sebelumnya, mahasiswa ini membajak kamera iPhone pada 2019 dan melakukan hal yang sama dengan kamera Mac untuk menemukan celah yang dimaksud.

Mahasiswa bernama Ryan Pickren itu menggunakan pendekatan imajinatif yang memungkinkannya menjalankan kode arbitrer pada Mac yang ditarget. Ia pun mendapatkan hadiah bug bounty terbesar dari Apple.

Ceritanya, pada 2019, mahasiswa S3 Georgia Institute of Technology ini menemukan serangkaian kerentanan yang ketika dieksploitasi, memungkinkannya menyalakan kamera dan mikrofon iPhone tanpa izin dari pengguna.

Pickren memuji keamanan kamera Apple yang cukup kuat, namun pada akhirnya berhasil diterobos dengan rangkaian eksploitasi yang dilakukannya. Pickren pun melaporkan temuannya kepada Apple.

Apple menerima laporan tersebut dengan baik dan mengganjar Pickren dengan hadiah bug bounty sebesar USD 75.000 (setara Rp 1 miliar).

Rupanya bukan itu saja, tahun lalu, Pickren melakukan hal yang serupa di webcam Mac dan berhasil menemukan celah serupa.

"Upaya peretasan saya berhasil mendapatkan akses kamera yang tidak sah dengan mengeksploitasi serangkaian isu menggunakan iCloud Sharing dan Safari 15," kata Ryan Pickren.

* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

2 dari 5 halaman

Bisa Akses Seluruh Web Pengguna

Alamat Kantor Apple di Indonesia Terungkap — Kantor Apple di Beijing - ilustrasi (ist.)

Ia melanjutkan, "Meskipun bug ini memang mengharuskan korban untuk mengklik 'open' pada popup di situs web, hal ini menghasilkan lebih dari sekadar pembajakan izin multimedia."

Lebih lanjut Pickren juga mengatakan, bug tersebut memberikan akses tiap situs yang pernah dikunjungi korban kepada si penyerang. Itu artinya, selain menyalakan webcam Mac, bug yang dieksploitasi juga bisa dipakai untuk meretas akun iCloud, PayPal, Facebook, Gmail, dan lain-lain.

Kuncinya ada pada aplikasi iCloud Sharing bernama ShareBear. Jika pengguna menerima sebuah undangan untuk berbagi dokumen dengan orang lain, Mac mengingat si pengguna telah memberikan izin dan tidak menanyakan apakah pengguna akan membuka kembali file yang sama nantinya.

Karena file tersebut disimpan dari jarak jauh, pemilik bisa mengubahnya ketika korban telah mengaksesnya. Terpenting, file ini bisa diubah ke jenis file yang berbeda sama sekali. Misalnya, file yang dapat dieksekusi dan bisa dibuka secara diam-diam oleh penyerang.

3 dari 5 halaman

File Bisa Diubah dari Jarak Jauh Tanpa Ketahuan

Penjualan perdana iPhone 13 di Apple Sanlitun in Beijing, Tiongkok. (Foto: Apple Newsroom)

Hal ini pun memberi Pickren kemampuan untuk mengubah file yang dikirimkan menjadi bagian dari malware yang bisa dijalankan oleh Mac milik korban.

Intinya, celah tersebut dapat membujuk pengguna membuka dokumen yang dibagikan dari jarak jauh. Dokumen atau file tersebut selanjutnya diubah menjadi gambar disk berisi malware dan menipu Safari untuk menjalankan malware, tanpa ketahuan.

Dari percobaan eksploitasi ini, Pickren bisa melakukan banyak hal, termasuk mengaktifkan webcam dan mikrofon Mac-nya dari jarak jauh.

Apple sebenarnya sudah memasang LED yang memberi petunjuk ke kamera, sehingga tidak mungkin untuk menyalakan kamera tanpa menyalakan LED yang berwarna hijau. Namun hal ini mudah luput dari perhatian jika Mac hanya ditempatkan di sudut ruangan.

4 dari 5 halaman

Temuan Dilaporkan, Pelapor Dihadiahi Rp 1,4 Miliar

Apple Resmi Rilis iPhone 13 — CEO Apple Tim Cook dengan iPhone 13 Pro Max dan Apple Watch Series 7 selama acara khusus di Apple Park di Cupertino, California (14/9/2021). Dalam acara peluncuran, Tim Cook bangga engumumkan generasi iPhone terbaru kami, yaitu iPhone 13. (Brooks Kraft/Apple Inc. /AFP)

Temuan ini dilaporkan kepada Apple. Selanjutnya, Apple bisa memperbaiki dan menutup celah berbahaya itu.

"Proyek ini merupakan eksplorasi menarik mengenai bagaimana cacat pada desan dalam satu aplikasi memungkinkan berbagai bug lain menjadi lebih berbahaya, bahkan dengan MacOS Gatekeeper aktif, si penyerang masih bisa melakukan banyak kerusakan," kata Pickren.

Pickren mengatakan, dirinya mengirimkan temuan bug ke Apple pada pertengahan Juli 2021. "Apple menambal semua masalah pada awal 2022 dan memberikan saya USD 100.500 (setara Rp 1,4 miliar) sebagai imbalan," katanya.

(Tin/Isk)

5 dari 5 halaman