Cyberthreat.id – Peneliti keamanan siber Pawel Wylecial menemukan kerentanan pada peramban (browser) Safari yang bisa dieksploitasi penjahat untuk mencuri file dari perangkat pengguna.

Wylecial, salah satu pendiri REDTEM.PL, perusahaan keamanan siber asal Polandia, melaporkan temuannya pada April lalu dan menerbitkan laporan temuannya pada Selasa (25 Agustus 2020).

Ia sengaja menerbitkan laporannya saat ini lantaran Apple malah menunda perbaikan masalah (patch) itu hingga musim semi 2021, seperti dikutip dari ZDNet.

Dalam blog pribadinya, Wylecial mengatakan, kerentanan itu terletak pada implementasi Web Share API di Safari. Web Share API ialah standar web baru yang memperkenalkan API lintas peramban untuk berbagi teks, tautan, file, dan konten lain.

Wylecial mengatakan Safari (di iOS dan macOS) mendukung berbagi file yang disimpan di hard drive lokal pengguna (melalui file://URI scheme).

Ia mengatakan, kerentanan itu masalah privasi besar karena memungkinkan penjahat diam-diam menyedot atau membocorkan file dari perangkat korban.

Wylecial menggambarkan bug tersebut sebagai "tidak terlalu serius" karena interaksi pengguna dan trik tipuan canggih diperlukan untuk mengelabui pengguna agar membocorkan file lokal.

Kritik terhadap Apple

Masalah sebenarnya di sini bukan hanya bug itu sendiri dan seberapa mudah atau rumit untuk mengeksploitasinya, tetapi bagaimana Apple menangani laporan bug tersebut.

Apple justru tidak menyiapkan tambalan dalam waktu dekat setelah lebih dari empat bulan diberi laporan. Padahal, dalam standar pengungkapan laporan, perbaikan dilakukan 90 hari sejak menerima laporan.

Situasi seperti yang harus dihadapi Wylecial menjadi semakin umum di antara pemburu bug iOS dan macOS akhir-akhir ini.

Apple meski mengumumkan program bug bounty  semakin sering dituding sengaja menunda bug dan mencoba membungkam peneliti keamanan, tulis ZDNet.

Misalnya, ketika Wylecial mengungkapkan bug-nya hari ini, peneliti lain melaporkan situasi serupa, yaitu Apple menunda perbaikan bug keamanan yang mereka laporkan selama lebih dari setahun.

Juru bicara Apple belum mau memberi komentar terkait hal itu karena perlu menyelidiki lebih lanjut.[]

Redaktur: Andi Nugroho