Fitur AirDrop iPhone Disebut Bocorkan Nomor Telepon dan Email
Celah keamanan AirDrop dilaporkan membuat fitur berbagi data secara nirkabel untuk pengguna perangkat iPhone ini bisa membocorkan data nomor telepon dan alamat email.
Kedua data itu bahkan bisa bocor tanpa pengguna mengaktifkan AirDrop. Peneliti keamanan yang menemukan kerentanan ini mengaku sudah melaporkan hal itu ke Apple sejak Mei 2019. Namun, hingga saat ini Apple belum memperbaiki kerentanan yang mengancam 1,5 miliar perangkat di seluruh dunia itu.
Kerentanan keamanan ini memang sebelumnya sudah sempat diidentifikasi dalam penelitian sebelumnya. Namun, saat itu bukan nomor telepon lengkap yang terungkap. Sebab, sebagian nomor telepon tetap tak terbuka dan harus ditebak.
Masalah kerentanan keamanan ini terjadi lantaran kelemahan pengaman yang digunakan Apple untuk fitur Air Drop mereka. Fitur keamanan hash digunakan Apple untuk "mengaburkan" nomor telepon dan alamat email yang dipertukarkan.
Peneliti dari TU Darmstadt menunjukkan bahwa hashing Apple ini gagal menjaga privasi data pengguna dan bisa dengna mudah diterobos dengan teknik sederhana seperti serangan brute force.
Namun, agar serangan brute force dapat dilakukan, kedua pengguna harus berada dalam jarak dekat. Syarat lain, kedua pengguna mesti sedang membuka fitur berbagi data AirDrop, meski fitur ini tak harus diaktifkan.
"Hingga saat ini Apple belum menyadari atau menyelesaikan hal ini," jelas keterangan peneliti keamanan, seperti dikutip Apple Insider.
"Pengguna hanya dapat melindungi diri mereka dengan menonaktifkan penemuan (pencarian perangkat lewat) AirDrop di pengaturan sistem dan tidak menggunakan fitur berbagi (AirDrop)."
Mekanisme kebocoran data
Penelitian terbaru ini mengatakan bahwa data lengkap pengguna bisa disadap setiap kali pengguna membuka fitur AirDrop.
Fitur AirDrop punya dua pilihan, untuk berbagi dengan semua orang dan hanya berbagi dengan orang yang ada di kontak. Kedua pilihan berbagi data ini mengandung risiko yang sama.
Peneliti di Technische Universitat Darmstadt Jerman mengatakan bahwa masalahnya adalah gabungan dari dua masalah.
Pertama, untuk menawarkan opsi "Hanya kontak" untuk AirDrop, perangkat Apple perlu meminta data pribadi secara diam-diam dari semua perangkat Apple yang ada dalam jangkauan.
Jika pengguna memilih untuk membagikan data dengan mereka yang hanya ada dalam kontak, dua perangkat Apple akan saling bertukar data sensitif seperti nomor telepon dan alamat email dengan perangkat lain.
Pertukaran data ini dilakukan untuk memastikan kedua pemilik perangkat memang saling mengenal dengan mengecek kontak di masing-masing perangkat dari kontak buku alamat.
Kedua, meskipun data yang dipertukarkan dienkripsi, Apple menggunakan mekanisme keamanan (hashing) yang relatif lemah.
Sebuah tim peneliti dari Secure Mobile Networking Lab (SEEMOO) dan Cryptography and Privacy Engineering Group (ENCRYPTO) di TU Darmstadt mengamati lebih dekat mekanisme ini dan menemukan kebocoran privasi yang parah.
Lihat juga:Harga dan Spesifikasi iMac Baru di 2021 |
Kedua kelemahan ini disebut peneliti membuat peretas bisa dengan mudah mengambil nomor telepon dan alamat email pengguna lewat AirDrop. Kedua data ini bahkan bisa diambil meski ia tercatat sebagai orang yang tak dikenal pengguna.
"Yang mereka butuhkan hanyalah perangkat berkemampuan Wi-Fi dan kedekatan fisik dengan target yang memulai proses penemuan dengan membuka panel berbagi di perangkat iOS atau macOS," jelas pernyataan tersebut seperti dikutip 9to5Mac.
Untuk mengatasi masalah ini, tim keamanan menyarankan agar Apple pendekatan yang jauh lebih aman yang dijuluki PrivateDrop. Kerentanan keamanan ini disebut belum diperbaiki Apple.
(eks)