Cyberthreat.id – Seorang peretas (hacker) topi putih satu ini mendapatkan rezeki nomplok. Namanya, Ryan Pickren. Ia baru saja mendapatkan uang senilai US$ 75.000 atau setara Rp 1,25 miliar.

Apple Inc., produsen iPhone dan Mac, menghadiahi peneliti keamanan siber itu atas laporan sejumlah kerentanan (vulnerabilities) pada peramban web (web browser) Safari milik Apple.

Kerentanan itu jika tidak diperbaiki atau ditambal (patched) memungkinan penjahat siber bisa mengeksploitasi kamera dan mikrofon perangkat yang menjalankan sistem operasi iOS atau macOS. Pendek kata, sang hacker jahat bisa membajak kamera dan mikrofon, demikian seperti dikutip dari Security Week, Jumat (3 April 2020).

Ryan mengidentifikasi tujuh kerentanan di peramban web Safari, tiga di antaranya dapat dieksploitasi untuk memata-matai pengguna melalui kamera dan mikrofon iPhone, iPad, atau komputer Mac. Serangan itu dapat dilakukan hanya meminta pengguna/korban yang ditargetkan untuk mengakses situs web berbahaya; tidak ada interaksi lain yang diperlukan.

Apple lalu menambal kerentanan itu pada Januari 2020 dan kelemahan berikutnya pada Maret lalu. Ryan mengatakan, eksploitasi yang ditemukannya itu masuk kategori “Serangan Jaringan tanpa Interaksi Pengguna: Nol-Klik Akses Tidak Sah ke Data Sensitif” (Network Attack without User Interaction: Zero-Click Unauthorized Access to Sensitive Data) dalam sayembara pencarian kerentanan berhadiah (bug bounty) yang digelar Apple. Hadiah tertinggi dari kategori ini senilai US$ 500.000.

Menurut Ryan, kelemahan yang ditemukan itu bermula dari Apple yang mengizinkan pengguna menyimpan pengaturan keamanan secara permanen berdasarkan situs web. Padahal, penyerang dapat membuat situs web jahat (malicious website) untuk memperoleh akses ke kamera dan mikrofon dengan mengklaim sebagai layanan konferensi video tepercaya, seperti Zoom atau Skype.

“Sederhananya, bug itu menipu Apple untuk berpikir bahwa malicious website sebenarnya adalah situs tepercaya. Untuk melakukan ini, penyerang mengeksploitasi serangkaian kelemahan bagaimana Safari mengurai uniform resource identifiers (URIs), mengelola asal-usul web, dan menginisialisasi konteks yang aman,” tutur dia.

Jika situs web berbahaya mengatasi tiga kelemahan itu bersamaan, selanjutnya penyerang bisa menggunakan JavaScript jahat untuk secara langsung mengakses webcam korban tanpa izin.

“Kode JavaScript apa pun dengan kemampuan untuk membuat sembulan (seperti situs web mandiri, spanduk iklan tertanam, atau ekstensi peramban) dapat meluncurkan serangan ini," kata Ryan.

Pickren juga menerbitkan informasi teknis tentang kerentanan, termasuk kode dan demo exploit proof-of-concept (PoC). Cek di sini.

Ini bukan pertama kalinya Apple menambal kerentanan yang bisa dipakai penjahat siber untuk memata-matai pengguna. Tahun lalu, perusahaan memperbaiki kerentanan di FaceTime yang bisa memberi akses peretas ke kamera dan mikrofon perangkat.[]