PARBOABOA - Seorang mahasiswa dianugerahi sejumlah uang dari program bug bounty Apple setelah melaporkan potensi peretasan pada kamera Mac.
Biasanya peretas memiliki reputasi buruk. Namun, tanpa mereka, banyak masalah keamanan yang tidak akan terdeteksi. Hal ini dibuktikan oleh Mahasiswa Georgia Institute of Technology bernama Ryan Pickren.
Pickren menemukan kerentanan berbahaya pada perangkat Apple Mac yang memberikan akses kamera tidak sah dan melaporkannya ke Apple. Berkat kontribusinya, ia dibayar dengan rekor hadiah 100.500 dolar Amerika atau sekitar Rp 1,4 miliar.
Peretasan yang dilakukan itu bukan untuk aksi kejahatan, melainkan upaya pengungkapan adanya bug atau celah keamanan di komputernya Apple. Itu mengapa perusahaan memberinya hadiah, karena apa yang dilakukan Pickren bagian dari program pencarian bug berhadiah (bug bounty program).
Bug ini memungkinkan hacker mengambil alih webcam Mac dengan mengeksploitasi celah keamanan di software browser Safari dan komputasi awan iCloud. Lewat kelemahan sistem tersebut, sebuah situs web mencurigakan berisi malware dapat melancarkan serangan.
Bahkan, celah tersebut tidak hanya mengambil alih kamera dan mikrofon saja. Pickren menjelaskan di blog pribadinya bahwa hacker juga dapat mengakses penuh ke semua akun berbasis web, mulai dari iCloud hingga PayPal.
Pickren menggambarkan proses peretasan dalam posting blog yang panjang yang menjelaskan secara rinci bagaimana ia dapat berhasil meretas. Bug berputar pada eksploitasi masalah dengan Berbagi iCloud dan browser Safari 15.
Meskipun masalahnya mungkin tampak situasional dan tidak mungkin direplikasi, yang diperlukan hanyalah satu kerentanan bagi peretas, yaitu mendapatkan kendali atas perangkat seseorang.
Kerentanan dimulai dengan aplikasi Berbagi iCloud yang disebut ShareBear. Melalui ShareBear, pengguna dapat memberikan akses satu sama lain untuk berbagi dokumen dengan mulus.
Setelah pengguna menerima undangan untuk berbagi file tertentu dengan orang lain, Mac mengingat izin ini dan tidak pernah memintanya lagi. Sayangnya, hal itu dapat menghasilkan eksploitasi.
Setelah pengguna menerima pemrintaan akses untuk izin berbagi file kepada pengguna lain, Mac akan menyimpan izin tersebut. Saat pengguna berbagi file dengan pengguna berbeda lainnya, izin tersebut akan diterapkan secara otomatis oleh Mac tanpa konfirmasi ulang.
Disini lah celah keamanan tersebut berada. Ketika file tersimpan di cloud dan bukan di penyimpanan lokal (perangkat), file bisa ditukar kapan saja saat izin didapatkan. Kemungkinan terburuk, menurut Pickren, file gambar atau teks bisa dimodifikasi menjadi file yang memuat kode berbahaya.
Pickren pun membuktikannya dengan mencoba mengubah jenis file dan mendapatkan akses penuh ke perangkat Mac pengguna lain. Ia menambahkan, bug ini tidak sekadar membuka akses ke multimedia, namun juga ke platform lain.
“Peretasan saya berhasil mendapatkan akses kamera yang tidak sah (unauthorized) dengan mengeksploitasi serangkaian masalah di iCloud Sharing dan Safari 15. . . . Kali ini, bug memberikan penyerang akses penuh ke setiap situs web yang pernah dikunjungi oleh korban. Itu berarti selain menyalakan kamera Anda, bug saya juga dapat meretas akun iCloud, PayPal, Facebook, Gmail, dll." Kata Pickren dalam blognya, seperti dikutip dari Digital Trends.
Seperti yang dijelaskan sebelumnya, file yang diakses melalui ShareBear, dapat diluncurkan dari jarak jauh kapan saja tanpa konfirmasi lebih lanjut. Seperti yang dijelaskan Pickren, ini membuka pintu ke peretasan yang berpotensi sangat berbahaya dengan memberikan akses penuh ke Mac.
Sebelumnya, Pickren juga pernah meretas kamera dan mikrofon iPhone pada 2019, karena menemukan celah keamanan ponsel Apple tersebut. Pickren menyampaikan hal ini ke raksasa teknologi itu dengan mengungkap sejumlah kerentanan berbahaya dalam kode Apple. Karena hal tersebut, Apple memberikan hadiah 75.000 dolar AS pada waktu itu.