Inilah mengapa perangkat Apple Anda akan menjadi jauh lebih aman

Meskipun perangkat Apple terkenal dengan fitur keamanan dan privasinya, perangkat tersebut tidak kebal terhadap peretasan atau serangan lainnya. Untungnya, perangkat Apple akan menjadi jauh lebih aman di masa mendatang.

Terkait:

• Peningkatan Privasi dan Keamanan iOS 13 diumumkan di WWDC
• Berikut adalah fitur Keamanan & Privasi baru yang hadir di macOS Mojave dan iOS 12
• Kiat untuk keamanan Mac dan menghindari virus

Itu karena perubahan kebijakan Apple baru-baru ini yang diumumkan pada konferensi keamanan Black Hat di Las Vegas bulan ini. Selain itu, ada juga beberapa eksploitasi penting yang terungkap di Black Hat dan Def Con 2019.

Inilah yang harus Anda ketahui tentang berita keamanan Apple terbaru.

Perubahan kebijakan keamanan Apple

Ivan Krstić, kepala teknik keamanan Apple, membuat beberapa pengumuman penting pada konferensi Black Hat tahun ini.

Sementara pengumuman ditujukan untuk peretas etis dan peneliti keamanan, mereka mewakili perubahan besar pada kebijakan keamanan Apple. Ini dapat menghasilkan perangkat yang jauh lebih aman di masa mendatang.

Program Hadiah Bug

Berita terbesar terkait Apple dari konferensi keamanan Black Hat Agustus ini adalah perluasan signifikan dari program hadiah bug Apple.

Pada dasarnya, program bug bounty adalah cara bagi peretas etis dan peneliti keamanan untuk membantu memperkuat platform yang ada. Begitu mereka menemukan bug atau kerentanan dengan iOS, misalnya, mereka melaporkan kekurangan itu ke Apple — dan dibayar untuk itu.

Sejauh perubahannya, Apple memperluas program bug bounty ke perangkat macOS ke depannya. Ini juga meningkatkan ukuran maksimum hadiah dari $200.000 per exploit menjadi $1 juta per exploit. Itu, tentu saja, tergantung seberapa parahnya.

Apple pertama kali memperkenalkan program hadiah bug iOS pada tahun 2016. Tetapi hingga Agustus ini, tidak ada program seperti itu untuk macOS (yang, secara inheren, lebih rentan terhadap serangan daripada sistem operasi seluler Apple).

Yang terkenal menyebabkan masalah ketika seorang hacker Jerman awalnya menolak untuk melaporkan rincian cacat tertentu ke Apple. Peretas mengutip kurangnya pembayaran sebagai alasannya, meskipun dia akhirnya memberikan detailnya kepada Apple.

iPhone Pra-Jailbroken

Apple juga akan menyediakan iPhone khusus untuk peretas dan peneliti keamanan yang diperiksa sehingga mereka dapat mencoba membobol iOS.

IPhone digambarkan sebagai perangkat "dev" pra-jailbroken yang tidak memiliki banyak langkah keamanan yang dimasukkan ke dalam versi konsumen iOS.

Ini khusus harus memungkinkan penguji penetrasi lebih banyak akses ke sistem perangkat lunak yang mendasarinya. Dengan begitu, mereka dapat menemukan kerentanan dalam perangkat lunak dengan jauh lebih mudah.

IPhone akan disediakan sebagai bagian dari Program Perangkat Penelitian Keamanan iOS Apple, yang rencananya akan diluncurkan tahun depan.

Perlu dicatat bahwa ada pasar gelap yang ada untuk iPhone "dev" yang disebutkan di atas.

Menurut laporan Motherboard dari awal tahun ini, iPhone pra-rilis ini terkadang diselundupkan keluar dari jalur produksi Apple. Dari sana, mereka sering mendapatkan harga tinggi sebelum akhirnya mencapai pencuri, peretas, dan peneliti keamanan.

Kerentanan penting

Sementara perubahan kebijakan keamanan dan iPhone peretas adalah berita terbesar dari Black Hat dan Def Con, peneliti keamanan dan peretas topi putih juga mengungkapkan sejumlah penting terkait Apple kerentanan.

Ini penting untuk diperhatikan jika Anda menggunakan perangkat Apple dan Anda ingin menjaga privasi dan keamanan data Anda.

Bypass ID Wajah

Apple mengatakan ID Wajah secara signifikan lebih aman daripada ID Sentuh. Dan dalam praktiknya, sebenarnya jauh lebih sulit untuk dilewati. Tapi itu tidak berarti eksploitasi tidak ada.

Para peneliti dari Tencent menemukan bahwa mereka mampu mengelabui sistem deteksi "keaktifan" Face ID. Pada dasarnya, ini adalah ukuran yang dimaksudkan untuk membedakan fitur nyata atau palsu pada manusia — dan ini mencegah orang membuka kunci perangkat Anda dengan wajah Anda saat Anda tidur.

Para peneliti mengembangkan metode berpemilik yang dapat menipu sistem hanya dengan menggunakan kacamata dan selotip. Pada dasarnya, kacamata "palsu" ini dapat meniru tampilan mata di wajah orang yang tidak sadar.

Eksploitasi hanya bekerja pada orang yang tidak sadar. Tapi itu mengkhawatirkan. Para peneliti mampu menempatkan kacamata palsu pada orang yang sedang tidur.

Dari sana, mereka dapat membuka kunci perangkat orang tersebut dan mengirim uang ke diri mereka sendiri melalui platform pembayaran seluler.

Aplikasi Kontak

Sistem operasi iOS Apple, sebagai platform taman bertembok, cukup tahan terhadap serangan. Sebagian, itu karena tidak ada cara mudah untuk menjalankan aplikasi yang tidak ditandatangani di platform.

Tetapi peneliti keamanan dari Check Point di Def Con 2019 menemukan cara untuk memanfaatkan bug di aplikasi Kontak yang memungkinkan peretas menjalankan kode tidak bertanda tangan di iPhone Anda.

Kerentanan sebenarnya adalah bug dalam format database SQLite, yang digunakan aplikasi Kontak. (Sebagian besar platform, dari iOS dan macOS hingga Windows 10 dan Google Chrome, sebenarnya menggunakan format tersebut.)

Para peneliti menemukan bahwa mereka dapat menjalankan kode berbahaya pada iPhone yang terkena dampak, termasuk skrip yang mencuri kata sandi pengguna. Mereka juga dapat memperoleh ketekunan, yang berarti mereka dapat terus menjalankan kode setelah reboot.

Untungnya, kerentanan bergantung pada pemasangan database berbahaya pada perangkat yang tidak terkunci. Jadi selama Anda tidak membiarkan peretas memiliki akses fisik ke iPhone Anda yang tidak terkunci, Anda seharusnya baik-baik saja.

Kabel Berbahaya

Sudah lama disarankan agar Anda tidak mencolokkan drive USB acak ke komputer Anda. Berkat perkembangan baru-baru ini, Anda mungkin juga tidak boleh mencolokkan kabel Lightning acak ke komputer Anda.

Itu karena kabel O.MG, alat peretasan khusus yang dikembangkan oleh peneliti keamanan MG dan dipamerkan di Def Con tahun ini.

Kabel O.MG terlihat dan berfungsi persis seperti kabel Apple Lightning pada umumnya. Itu dapat mengisi daya iPhone Anda dan dapat menghubungkan perangkat Anda ke Mac atau PC Anda.

Tetapi di dalam rumah kabel sebenarnya adalah implan berpemilik yang memungkinkan penyerang mengakses komputer Anda dari jarak jauh. Saat dicolokkan, peretas dapat membuka Terminal dan menjalankan perintah jahat, di antara tugas-tugas lainnya.

Untungnya, kabel saat ini hanya buatan tangan dan masing-masing berharga $200. Itu harus mengurangi risiko. Tetapi ke depan, Anda mungkin ingin menghindari mencolokkan kabel Lightning acak ke Mac Anda.