Celah Keamanan ”Zero-Day” Ditemukan, Segera Perbarui Gawai Apple Anda!
Apple telah merilis pembaruan yang menutup celah keamanan pada sistem operasi iOS. Celah keamanan ini diduga telah dieksploitasi oleh para peretas.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Apple telah menutup sebuah celah keamanan pada sistem operasi iOS yang aktif dieksploitasi peretas untuk menjalankan program tersembunyi. Pengguna Apple diminta untuk segera memperbarui sistem operasi gawai masing-masing.
Sepanjang akhir pekan ini, hingga Minggu (28/3/2021), Apple memberikan notifikasi kepada penggunanya untuk memperbarui sistem operasi gawai masing-masing. Dalam pernyataan tertulisnya, Apple mengatakan bahwa pembaruan ini mengandung pembaruan keamanan yang penting dan semua pengguna direkomendasikan untuk memperbarui gawainya.
”Apple memahami bahwa ada laporan yang menunjukkan bahwa celah keamanan ini kemungkinan besar telah dimanfaatkan,” bunyi keterangan tertulis tersebut.
Celah keamanan ini diketahui mengeksploitasi Webkit, sebuah komponen dasar yang digunakan Apple untuk menampilkan konten dari internet. Webkit menjadi komponen dasar untuk mesin peramban atau browser Safari, aplikasi surel Mail, hingga sejumlah aplikasi lain seperti App Store.
Peretas diyakini berhasil mengeksploitasi sebuah celah keamanan pada Webkit sehingga sebuah konten web yang dirancang khusus dapat menjalankan sebuah kode atau skrip berbahaya tanpa diketahui pengguna.
Celah keamanan zero-day adalah istilah yang mengacu pada celah keamanan yang ditemukan oleh peretas kriminal sebelum perusahaan pemilik produk tersebut mengetahui keberadaan celah tersebut dan memberikan perbaikan.
Pembaruan dengan nomor iOS 14.4.2 ataupun iPadOS 14.4.2 akan muncul bagi pengguna gawai iPhone 6S dan selanjutnya; seluruh seri iPad Pro, iPad Air 2, dan selanjutnya; iPad Mini 4 dan selanjutnya; serta iPod Touch generasi ketujuh.
Celah keamanan ini dianggap penting sehingga pengguna perangkat yang bahkan sudah tidak mendapat update iOS terbaru tetap mendapatkan pembaruan ini. Bagi pengguna iPhone 5S, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod Touch generasi ketujuh, pembaruan keamanan ini akan hadir dengan nomor iOS 12.5.2.
Pengguna Apple Watch 3 dan selanjutnya juga akan mendapatkan pembaruan ini dengan nomor watchOS 7.3.3.
Apple memahami bahwa ada laporan yang menunjukkan bahwa celah keamanan ini kemungkinan besar telah dimanfaatkan.
Apple mengumumkan bahwa celah keamanan ini berhasil diidentifikasi oleh dua peneliti keamanan siber Google, yakni Clement Lecigne dan Billy Leonard, dari Google Threat Analysis Group. Celah keamanan ini didokumentasikan dengan nomor CVE-2021-1879. Nomor CVE ini adalah sebuah nomor yang digunakan oleh komunitas keamanan siber untuk mengacu pada sebuah celah keamanan pada publik.
Pembaruan ini tidak memakan waktu yang lama. Proses dimulai dengan mengunduh pembaruan yang membutuhkan waktu sekitar 10 menit. Perlu diperhatikan, pembaruan yang Kompas terima sebesar 168,1 megabyte (MB), durasi pengunduhan akan bergantung pada kecepatan konektivitas internet.
Jika telah selesai, sentuh tombol ”install” dan proses pemasangan akan berlangsung. Jendela ”verifying update” akan muncul selama beberapa menit sebelum layar gawai Anda mati dan sebuah progress bar muncul bersamaan dengan logo Apple.
Proses ini akan membutuhkan waktu sekitar 10 menit di gawai iPhone 8. Proses dapat berlangsung lebih cepat ataupun lambat bergantung pada gawai pengguna.
Proses pembaruan tuntas begitu gawai menyala kembali. Kompas membutuhkan waktu sekitar 20 menit dari sejak pengunduhan dimulai hingga ponsel menyala kembali.
Project Zero
Celah keamanan sering kali ditemukan oleh si pembuat produk atau oleh peretas etis melalui skema bug bounty atau kontes pencarian celah keamanan sebelum dieksploitasi oleh para kriminal.
Namun, tidak dengan celah keamanan zero-day. Ini adalah celah yang ditemukan dan dimanfaatkan oleh para peretas kriminal. Celah keamanan zero-day sering kali hanya dikuasai oleh para peretas kriminal dengan kemampuan teknik tinggi.
Pekan lalu, Project Zero—sebuah tim khusus Google untuk menemukan celah keamanan zero day—mengumumkan bahwa mereka menemukan sebuah sindikat kriminal siber yang mengeksploitasi 11 celah keamanan pada Windows, iOS, dan Android.
Artinya, hampir setengah dari total 24 celah keamanan zero-day yang ditemukan pada 2020 adalah hasil ”karya” sindikat peretas kriminal ini.
Celah keamanan zero-day adalah sesuatu yang cukup langka. Berdasarkan catatan Project Zero sejak 2014, dalam setahun mungkin hanya ada 11-28 celah keamanan yang terkuak.
Maddie Stone, peneliti di Project Zero mengatakan, sindikat ini menarget korban dengan menyelipkan kode tersembuyi di situs-situs yang diketahui sering dikunjungi si korban. Kode tersembunyi tersebut kemudian bisa memasangkan malware di gawai korban.
”Setiap celah keamanan ini menunjukkan bahwa si peretas memiliki kemampuan yang sangat tinggi,” kata Stone.