iPhone dan iPad Berhasil Dibobol Hacker, Begini Pembelaan Apple

Posted on

JawaPos.com – Peneliti keamanan dan salah satu pendiri firma Cybersecurity Hacker House, Matthew Hickey, baru-baru ini menemukan cara untuk memotong (bypass) beberapa langkah keamanan Apple. Berkat bypass tersebut, dirinya bahkan mengklaim mampu menerobos masuk ke sistem keamanan device iPhone tanpa halangan berarti.

Seperti dilansir JawaPos.com dari laman Gizmodo, Senin (25/6), Hickey bisa masuk melompati sistem keamanan iPhone yang terdiri atas sandi-sandi angka dengan sangat mudah. Serangan yang dikenal sebagai ‘Brute Force’ ini bahkan bisa mengeksploitasi perangkat dengan mudah. Tidak hanya iPhone, perangkat iPad pun bisa dibobol.

Screenshoot proses bypass kode sandi iPhone. (9to5Mac)

Untuk memahami cara kerja serangan, ada beberapa hal yang perlu diketahui. Apple mulai mengenkripsi perangkat iOS sejak 2014. Untuk mengakses informasi terenkripsi tersebut, iPhone dan iPad mengharuskan pengguna memasukkan kode sandi empat atau enam digit untuk melindungi perangkat yang mereka pilih saat pertama kali menyiapkan perangkat.

Jika kode sandi salah dimasukkan dalam 10 kesempatan, sistem operasi Apple akan secara otomatis menghapus perangkat dan menghapus informasi di dalamnya untuk selamanya.

Langkah-langkah keamanan ini bahkan telah menjadi landasan pendekatan privasi-privasi Apple dalam beberapa tahun terakhir. Kemudian sistem keamanan Apple juga telah membuat marah lembaga penegak hukum yang dulunya dapat mengakses data iPhone dan iPad.

Lantas apa yang Hickey temukan? Hickey mampu melompati batas 10 kali percobaan kata sandi dan berhasil masuk dalam sistem iPhone tanpa kehilangan data di dalamnya. Hal tersebut memungkinkan seseorang untuk memasukkan kombinasi tanpa henti sampai perangkat dibuka kuncinya.

Hickey menjelaskan, hal itu dapat terjadi lantaran dipengaruhi USB Restricted Mode Apple yang mengunci port Lightning di perangkat iOS jika belum dibuka dalam satu jam terakhir. “Hidupkan iPhone, kemudian kunci, dan colok kabel daya atau USB,” katanya.

Dalam video demonstrasi Hickey yang di-posting online, dia menunjukkan bagaimana serangan itu bekerja. Pada dasarnya, ketika iPhone atau iPad dicolokkan, peretas dapat menggunakan input keyboard untuk memasukkan tebakan kode sandi alih-alih mengetuk angka di layar perangkat. Ketika input keyboard terjadi, itu memicu permintaan interupsi yang mengambil prioritas atas segala sesuatu yang terjadi pada perangkat.

Seorang penyerang dapat membuat serangkaian besar input dan mengirimnya sekaligus. Di sini iOS akan menerima serangkaian tebakan tanpa menghapus perangkat. Serangannya mudah, (bagi hacker) hanya perlu memasukkan satu kode sandi setiap tiga hingga lima detik yang bekerja hingga sekitar 100 kode empat digit setiap jam. Kemudian itu akan efektif melompati sistem keamanan bahkan terhadap perangkat iOS yang menjalankan versi 11.3.

Menanggapi hal tersebut, Apple rupanya membantah penemuan Hickey. Apple mengklaim bahwa tidak ada kerentanan. “Laporan terbaru tentang passcode bypass pada iPhone adalah sesuatu yang salah dan merupakan hasil dari pengujian yang salah juga,” kata juru bicara Apple Michele Wyman kepada ZDNet.

Menurut Wyman, Hickey hanya mengklaim dapat mengirim semua kombinasi dari kode sandi pengguna dalam sekali jalan, yakni dengan menyebutkan setiap kode dari 0000 hingga 9999. Kemudian menggabungkan hasil kombinasi kode tersebut dalam satu string tanpa spasi.

“Penyeranan ini memaksa perangkat lunak untuk terus-menerus bekerja tanpa istirahat. Rutinitas keyboard input yang mengambil prioritas ikut meningkat di atas fitur penghapusan data perangkat,” jelas Wyman.

Selanjutnya, dalam tweet, Hickey kembali membalas statemen Apple dengan mengatakan bahwa PIN tidak selalu masuk ke sistem bernama Secure Enclave Processor yang bertugas menyimpan kode sandi. “Jadi, kata Hickey, meskipun sepertinya PIN sedang diuji, mereka tidak selalu dikirim ke dalam prosesor dan mereka belum tentu menghitung. Perangkat-perangkat ini mencatat jumlah yang lebih sedikit daripada yang terlihat,” tukasnya.

(ryn/JPC)

Source link

Gravatar Image
Seorang Blogger Makassar