Find and Follow Us

Senin, 19 Agustus 2019 | 00:46 WIB

1,4 Juta Perangkat Apple Rentan Pencurian Data

Selasa, 13 Agustus 2019 | 08:08 WIB
1,4 Juta Perangkat Apple Rentan Pencurian Data
(ist)

INILAHCOM, San Francisco - Perusahaan keamanan Check Point mendemonstrasikan kelemahan sistem operasi iOS sehingga dikhawatirkan sekitar 1,4 juta perangkat Apple rentan terhadap pencurian data dan password.

Dalam konferensi keamanan Def Con 2019, Check Point telah menunjukkan kerentanan dalam format database SQLite standar industri yang bisa dieksploitasi oleh peretas.

Kerentanan pada sistem database SQLite itu, oleh Check Point, ditemukan pada semua perangkat Apple yang menjalankan iOS 8 hingga iOS 13 beta.

Ini berarti bahwa kerentanan pada sistem iOS telah terjadi sejak delapan tahun lalu ketika iOS 8 mendukung iPhone 4S pada 2011. Dan, jika merujuk pada pernyataan CEO Apple Tim Cook, selama periode itu ada 1,4 juta perangkat iOS aktif di seluruh dunia.

"SQLite adalah mesin basis data yang paling luas di dunia. Ini tersedia di setiap sistem operasi, desktop, dan ponsel. Windows 10, macOS, iOS, Chrome, Safari, Firefox, dan Android adalah pengguna SQLite yang populer," kata para peneliti di Check Points, seperti dilansir Apple Insider.

Apa yang Check Point temukan adalah bahwa aplikasi Kontak yang ada di iOS dapat dieksploitasi menggunakan database SQLite standar industri sehingga setiap pencarian Kontak dapat menipu perangkat agar menjalankan kode jahat yang mampu mencuri data pengguna dan kata sandi.

Namun sayangnya, Apple tidak segera memperbaiki celah kelemahan keamanan yang sudah ditemukan sejak empat tahun lalu.

"Tunggu, apa? Kenapa bug berusia empat tahun tidak pernah diperbaiki?" tulis para peneliti dalam dokumen mereka.

"Fitur ini hanya dianggap rentan dalam konteks program yang memungkinkan SQL sewenang-wenang dari sumber yang tidak dipercaya. Namun, penggunaan SQLite sangat fleksibel sehingga kita sebenarnya masih dapat memicunya dalam banyak skenario," lanjut mereka.

Dengan kata lain, bug tersebut dianggap tidak penting karena diyakini hanya dapat dipicu oleh aplikasi yang tidak dikenal yang mengakses database, dan dalam sistem tertutup seperti iOS, tidak ada aplikasi yang tidak dikenal.

Namun, peneliti Check Point kemudian berhasil membuat aplikasi terpercaya mengirim kode untuk memicu bug ini dan mengeksploitasinya.

"Kami membuktikan bahwa masalah kerusakan memori dalam SQLite sekarang dapat dieksploitasi secara andal. Penelitian dan metodologi kami semuanya telah diungkapkan secara bertanggung jawab kepada Apple," mereka menyimpulkan.

Ini bukan pertama kalinya bahwa masalah dalam database SQLite telah menghasilkan bug, atau salah satu yang tetap tidak diperbaiki selama bertahun-tahun.

Komentar

Embed Widget
x