Pakar Sebut iOS Apple Belum Aman dari Hacker: Hanya Masalah Waktu

Perusahaan keamanan siber Kaspersky mengungkap sistem operasi iOS garapan Apple belum terbukti aman dari ancaman serangan siber.

"Ini hanya masalah waktu. Tidak ada yang benar-benar aman," kata Dony Koesmandarin, Territory Manager Kaspersky untuk Indonesia di Jakarta, Selasa (27/2).

Ia mengatakan berdasarkan temuan Kaspersky Juni 2023 lalu, mereka menemukan kampanye Advanced Persistent Threat (APT) seluler saat memantau lalu lintas jaringan Wi-Fi perusahaan.

Analisis lanjutan temuan pelaku ancaman siber menargetkan perangkat iOS milik puluhan karyawan perusahaan, mendistribusikan eksploitasi zero-click melalui iMessage untuk menjalankan malware, hingga akhirnya mendapatkan kendali penuh atas perangkat data pengguna.

Lebih lanjut, menurut Donny, peretas atau hacker juga masih bisa membobol keamanan lewat orang dalam atau pekerja perusahaan yang berkaitan dengan sistem tersebut.

"Sekelas Apple itu punya lebih dari seribu karyawan. Anggap saja ada satu karyawan yang lalai dan jadi korban peretasan, maka data kerjanya di Apple bisa di-hack dan dipelajari," tuturnya.

Tim Riset dan Analisis Global Kaspersky (GReAT) menemukan kerentanan pada Apple System on a chip, atau SoC, yang memainkan peran penting dalam serangan iPhone tahun lalu, yang dikenal sebagai Operation Triangulation.

Kerentanan ini memungkinkan hacker untuk mem-bypass proteksi memori berbasis perangkat keras pada iPhone yang menjalankan versi iOS hingga iOS 16.6. Kerentanan yang ditemukan adalah fitur perangkat keras, mungkin berdasarkan prinsip "keamanan melalui ketidakjelasan", dan mungkin dimaksudkan untuk pengujian atau debugging.

Setelah serangan iMessage zero click di awal dan eskalasi hak istimewa berikutnya, para penyerang memanfaatkan fitur perangkat keras ini untuk mem-bypass perlindungan keamanan berbasis perangkat keras dan memanipulasi konten wilayah memori yang dilindungi, mengutip laman resmi Kaspersky.

Langkah ini sangat penting untuk mendapatkan kontrol penuh atas perangkat. Apple telah mengatasi masalah ini, yang diidentifikasi sebagai CVE-2023-38606.