Peretas gawai Apple iOS dapat hadiah Rp13 miliar

Sebuah tim peretas mampu melakukan remote jailbreak atas gawai iOS, yang terkenal memiliki sistem keamanan yang sulit ditembus, dan mendapatkan hadiah sebesar USD1 juta (Rp13,57 miliar), Senin (2/11/2015).

Jailbreak adalah istilah untuk proses menghilangkan 'pagar pembatas' pada gawai iOS. Pelaku jailbreak mendapatkan akses root ke sistem iOS, memungkinkan mereka mengunduh dan meng-install berbagai aplikasi, theme, mengubah tampilan dan sebagainya yang tidak tersedia di Apple App Store. Biasanya jailbreak dilakukan pada gawai yang dipegang, tidak dilakukan dari jarak jauh dengan menggunakan gawai lain (remote).

Hadiah tersebut diberikan oleh Zerodium, yang di akun Twitter-nya menyebut diri sebagai platform akuisisi eksploit premium dan bersedia membayar para periset sistem keamanan untuk eksploit yang mereka temukan.

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!

— Zerodium (@Zerodium) November 2, 2015

Pada 21 September, mereka mengumumkan sayembara dengan hadiah sebesar USD1 juta bagi penemu remote jailbreak atas gawai iOS. Tenggat waktunya adalah 31 Oktober. Ternyata ada tim peretas yang mampu melakukan misi yang sepertinya mustahil ini.

Dengan retasan ini, penyerang bisa meng-install aplikasi apapun ke gawai dengan sistem operasi iOS 9.1 dan 9.2 beta, secara remote alias di tempat terpisah. Tantangan dari Zerodium ini menyebutkan bahwa serangan harus memanfaatkan celah keamanan di salah satu dari aplikasi Safari, Chrome, SMS atau MMS.

Kecuali MMS, pengguna iPhone pasti sering menggunakan tiga aplikasi lainnya, jadi maksud Zerodium sangat jelas, yaitu memungkinkan serangan yang memanfaatkan lubang keamanan di aplikasi yang umum digunakan, bukan dari aplikasi lain yang tidak jelas atau kurang populer.

Pendiri Zerodium, Chaouki Bekrar, menyatakan pada WIRED bahwa ada dua tim yang mengerjakan tantangan mereka, dan akhirnya hanya satu yang mampu melakukan remote jailbreak. "Tim lainnya hanya menyelesaikan sebagian tantangan, jadi mungkin mereka bisa mendapatkan sebagian bonus," ujar Bekrar.

Bekrar mengkonfirmasi bahwa Zerodium berencana mengungkap detail teknik retas yang digunakan kepada klien mereka. Ia tidak menyebutkan kliennya, namun ia mendeskripsikannya sebagai perusahaan besar di bidang pertahanan, teknologi dan keuangan, serta organisasi pemerintah.

Selain itu, Bekrar juga menekankan bahwa Zerodium belum akan melaporkan celah ini kepada Apple, meskipun kemungkinan akan memberitahu detail teknik retasnya kepada Apple suatu saat nanti.

Gawai iOS memang relatif sulit ditembus dibanding Android, misalnya. Ini dikarenakan sistem Apple yang lebih tertutup. Sebaliknya, dengan Android pengguna memang lebih bebas, namun juga lebih rentan terhadap celah keamanan.

Misalnya celah keamanan serius bernama Stagefright 2.0 di sistem operasi Android yang ditemukan bulan lalu (2/10/2015), mengakibatkan miliaran perangkat rawan terhadap serangan. Stagefright 2.0 memanfaatkan celah keamanan dengan menggunakan file MP3 dan MP4 yang disusupkan celah. Selanjutnya, penyerang dapat menjalankan kode untuk mengontrol gawai pengguna.

loading...