[Pembaruan] Kerentanan Keamanan Serius iOS Dengan Nol Interaksi Pengguna Ditemukan Menjadi Eksploitasi Secara Aktif Di Dalam Aplikasi Apple Mail yang Liar
Apple iOS, sistem operasi yang berjalan di iPhone, rentan terhadap beberapa kerentanan keamanan baru. Perlu diperhatikan bahwa kekurangan tersebut tidak memerlukan interaksi pengguna. Kerentanan keamanan dilaporkan dapat dijalankan sepenuhnya tanpa pengguna perlu melakukan tindakan apa pun, mengeklik tautan apa pun, mengunduh aplikasi apa pun, dll. Secara tidak sengaja, ini bukan pertama kalinya kelemahan serius di dalam iOS ditemukan.
Dua kerentanan keamanan serius baru di dalam sistem operasi Apple iOS terungkap hari ini. Rupanya, kekurangan di iOS ini berpotensi memungkinkan penyerang mendapatkan akses ke perangkat iPhone yang menjalankan iOS tanpa tindakan pengguna apa pun. Lebih penting lagi, serangan yang dilakukan dari jarak jauh juga dapat memungkinkan Eksekusi Kode Jarak Jauh (RCE), yang mungkin termasuk kontrol administratif iPhone korban. Meskipun belum dikuatkan secara resmi, kerentanan keamanan yang baru ditemukan sedang dieksploitasi di alam liar. Rupanya, Apple menyadari kelemahan keamanan dan diharapkan merilis pembaruan untuk menambal yang sama.
Perangkat Apple iOS 6 Di Atas iPhone Rentan Terhadap Kerentanan Keamanan yang Baru Ditemukan Dan Aktif Dieksploitasi:
Kerentanan keamanan yang baru ditemukan di sistem operasi Apple iOS memungkinkan penyerang untuk menyerang perangkat korban dari jarak jauh. Selain itu, kekurangannya memungkinkan penyerang mendapatkan akses ke perangkat iOS tanpa tindakan pengguna apa pun. Mayoritas serangan memerlukan beberapa tindakan pengguna seperti mengklik link, menginstal beberapa aplikasi, atau membuka dokumen untuk memulai serangan. Namun, dalam kasus ini, penyerang hanya dapat mengirim email yang menghabiskan banyak memori dan mendapatkan kemampuan eksekusi kode jarak jauh di perangkat.
Kerentanan keamanan yang serius di dalam iOS dengan nol interaksi pengguna ditemukan oleh perusahaan keamanan ZecOps. Para peneliti di perusahaan tersebut mengklaim bahwa penyerang sudah menggunakan kerentanan ini di alam liar. Tanpa mengidentifikasi target, para peneliti mengklaim kelemahan keamanan yang baru ditemukan telah berhasil digunakan untuk menargetkan individu berikut:
- Individu dari organisasi Fortune 500 di Amerika Utara
- Seorang eksekutif dari operator di Jepang
- Seorang VIP dari Jerman
- MSSPs dari Arab Saudi dan Israel
- Seorang Jurnalis di Eropa
- Dicurigai: Seorang eksekutif dari perusahaan Swiss
iOS adalah sistem operasi sumber tertutup yang dirancang dan dikembangkan oleh Apple. Itu dikontrol dan diatur dengan ketat. OSnya tidak seterbuka Google Android. Iterasi terbaru iOS adalah iOS 13. Namun, semua perangkat yang menjalankan iOS 6 dan di atasnya dipengaruhi oleh kelemahan keamanan ini. Peneliti keamanan yang menyelidiki kerentanan telah menyoroti cara penyerang dapat menyusupi Apple iOS yang menjalankan iPhone. Pada versi iOS terbaru, serangan dapat dilakukan dengan cara-cara di bawah ini:
- Serangan di iOS 13: Serangan tanpa bantuan (/ zero-click) di iOS 13 saat aplikasi Mail dibuka di latar belakang
- Serangan di iOS 12: Serangan itu membutuhkan satu klik di email. Serangan akan dipicu sebelum konten dirender. Pengguna tidak akan melihat ada yang ganjil di email itu sendiri
- Serangan tanpa bantuan di iOS 12 dapat dipicu (alias klik nol) jika penyerang mengontrol server email
Apple Untuk Menambal Kerentanan Keamanan Dalam Pembaruan Mendatang:
Peneliti mengklaim Apple menyadari kelemahan keamanan ini di iOS. Mereka menambahkan bahwa Apple diharapkan merilis pembaruan tambahan untuk iOS yang akan mencakup perbaikan yang akan menambal kerentanan. Namun, hingga Apple merilis pembaruan, ada cara untuk menghindari menjadi sasaran atau menjadi korban bug keamanan.
Peneliti menyarankan untuk sepenuhnya menghindari Aplikasi Apple Mail. Ini adalah platform email yang dirancang, dikembangkan, dan dikelola oleh Apple. Secara tidak sengaja, aplikasi email mendukung akun email pihak ketiga seperti Gmail, Outlook, dll. Oleh karena itu, hingga Apple merilis pembaruan untuk memperbaiki bug, pengguna dapat bergantung pada aplikasi Microsoft Outlook atau klien email serupa lainnya.
[Memperbarui]Apple dilaporkan telah merilis pembaruan untuk menambal dua kerentanan keamanan di dalam Aplikasi Apple Mail.