logo Apple | Foto: wallpaperflare.com
logo Apple | Foto: wallpaperflare.com
Cyberthreat.id – Bhavuk Jain benar-benar terima durian runtuh. Uang sebesar US$ 100.000 (sekitar Rp 1,4 miliar) baru diterimanya dari raksasa teknologi Apple.
Peretas topi putih (white hacker) asal India itu menemukan kerentanan (bug) kritis di sistem “Sign in with Apple”.
Kini kerentanan itu telah ditambal oleh Apple. Jika dibiarkan terbuka secara bebas, penjahat siber bisa memanfaatkannya untuk serangan jarak jauh.
Yang paling fatal, penjahat bisa mengambil alih akun korban yang terdaftar masuk via “Sign in withApple”.
Fitur tersebut dirilis Apple tahun lalu. Fungsinya untuk memperkuat privasi pengguna. Pengguna bisa mendaftar akun di aplikasi pihak ketiga tanpa perlu alamat email yang sebenarnya.
Berita Terkait:
Kepada The Hacker News yang diakses Senin (1 Juni 2020), Bhavuk bercerita soal temuannya. Kelemahan itu terletak pada cara Apple memvalidasi pengguna di perangkat sebelum memulai permintaan dari server autentikasi Apple.
“Bagi yang tidak sadar, ketika pengguna mengautentikasi via ‘Sign in with Apple’, server menghasilkan JSON Web Token (JWT) yang berisi informasi rahasia yang digunakan aplikasi pihak ketiga dan dipakai untuk mengonfirmasi identitas pengguna yang masuk,” tulis The Hacker News.
Oleh karena itu, mekanisme itu memungkinkan penyerang memberikan ID Apple terpisah milik korban, menipu server Apple untuk menghasilkan muatan JWT yang valid untuk masuk ke layanan pihak ketiga dengan identitas korban.
"Yang saya temukan, saya dapat meminta JWT untuk ID Email apa pun dari Apple, dan ketika tanda tangan token ini diverifikasi menggunakan kunci publik Apple, mereka menunjukkan valid. Ini berarti penyerang dapat memalsukan JWT dengan menghubungkan ID Email apa pun dan mendapatkan akses ke akun korban, "kata Bhavuk.
Dampak dari kerentanan ini cukup kritis karena bisa memungkinkan pengambilalihan akun penuh. Banyak pengembang telah terintegrasi Masuk dengan Apple karena itu wajib untuk aplikasi yang mendukung login sosial lainnya.
“Untuk beberapa nama yang menggunakan ‘Sign in with Apple seperti Dropbox, Spotify, Airbnb, Giphy (sekarang diakuisisi oleh Facebook)," tutur Bhavuk yang melaporkan temuannya bulan lalu.
Selain membayar temuan itu, Apple juga mengkonfirmasi bahwa mereka melakukan investigasi catatan (log) server mereka dan menemukan kerentanan, tapi belum dieksploitasi untuk meretas akun mana pun.[]
Redaktur: Andi Nugroho
Share:
