TEMPO.CO, Jakarta - Pengembang aplikasi asal India Bhavuk Jain telah mendapatkan hadiah dari Apple sebesar US$ 100 ribu atau setara dengan Rp 1,4 miliar setelah melaporkan bug yang ditemukannya pada fitur Sign in With Apple. Bug tersebut memungkinkan peretas atau hacker mengambil alih akun dan menyalahgunakannya.
Jain menerangkan, pada April lalu, dia menemukan bug tersebut yang mempengaruhi aplikasi pihak ketiga, lalu menggunakannya dan tidak menerapkan langkah-langkah keamanan tambahan mereka sendiri.
"Bug ini bisa mengakibatkan pengambilalihan akun penuh dari pengguna pada aplikasi pihak ketiga itu terlepas dari korban memiliki ID Apple yang valid atau tidak,” ujar dia, seperti dikutip laman Threat Post, Senin, 1 Juni 2020.
Kelemahan ini ada pada fitur Sign in With Apple yang dikenalkan oleh Apple pada Worldwide Developers Conference (WWDC) tahun lalu. Dibuatnya Sign in With Apple bertujuan untuk membuat pengguna mudah dan aman ketika masuk ke aplikasi dan situs web pihak ketiga.
Fitur tersebut seharusnya menerapkan sistem otentikasi yang didukung Apple untuk menggantikan login sosial pada layanan pihak ketiga. Namun, setelah dilaporkan Jain, Apple telah memperbaiki kesalahan kritis dalam fitur Sign in with Apple, yang bisa saja disalahgunakan oleh penyerang untuk mengambil alih aplikasi pihak ketiga korban.
Salah satu hal penting dari Sign in with Apple adalah pengguna dapat mendaftar dengan layanan pihak ketiga tanpa perlu mengungkapkan alamat email ID Apple mereka ke layanan ini. Ini berhasil karena Sign in with Apple akan terlebih dahulu memvalidasi pengguna di sisi klien, kemudian memulai permintaan JSON Web Token (JWT) dari layanan otentikasi Apple.
JWT ini kemudian akan digunakan oleh aplikasi pihak ketiga untuk mengonfirmasi identitas pengguna. Masalahnya adalah setelah Apple memvalidasi pengguna di sisi klien melalui alamat email ID Apple mereka, itu tidak memverifikasi bahwa permintaan JWT berasal dari akun pengguna yang sebenarnya.
Akibatnya hacker dapat memanfaatkan kecatatan ini dengan memberikan email ID Apple milik korban dan menipu server Apple untuk menghasilkan muatan JWT yang valid. Setelah penyerang melakukan ini, ia kemudian dapat masuk ke aplikasi pihak ketiga menggunakan identitas korban.
"Saya menemukan, saya dapat meminta JWT untuk ID Email apa pun dari Apple dan ketika tanda tangan token ini diverifikasi menggunakan kunci publik Apple, mereka menunjukkan valid," kata Jain. "Ini berarti seorang penyerang bisa memalsukan JWT dengan menautkan ID Email apa pun dan mendapatkan akses ke akun korban."
Mengutip laman The Hacker News, kelemahan itu dapat dieksploitasi bahkan jika pengguna telah memutuskan untuk menyembunyikan ID email mereka dari layanan pihak ketiga. Bisa juga dieksploitasi untuk mendaftar akun baru dengan ID Apple korban.
Namun, ada dua hal yang harus dilewati oleh hacker untuk membuat langkah tersebut bekerja. Pertama, mereka membutuhkan ID email untuk pengguna Apple—meskipun itu bisa berupa ID email pengguna Apple, dan kedua harus masuk ke aplikasi pihak ketiga melalui Sign in with Apple yang tidak memerlukan langkah-langkah keamanan lebih lanjut.
Jain mengatakan dampak kerentanan ini cukup kritis karena dapat memungkinkan pengambilalihan akun. Banyak pengembang telah mengintegrasikan Sign in with Apple ke dalam layanan mereka, termasuk Dropbox, Spotify, Airbnb, dan Giphy.
"Aplikasi ini tidak diuji, tapi bisa rentan terhadap pengambilalihan akun penuh jika tidak ada langkah-langkah keamanan lain di tempat saat memverifikasi pengguna," tutur Jain.
Menurut Jain, Apple melakukan penyelidikan terhadap log mereka dan memutuskan tidak ada penyalahgunaan atau kompromi akun karena kerentanan ini. Jain yang juga peneliti keamanan menemukan kesalahan pada bulan April dan melaporkannya melalui program hadiah bug Apple sehingga mendapatkan hadiah itu.
Pada Desember 2019, Apple telah membuka program historically private bug-bounty untuk publik, dan meningkatkan pembayaran tertinggi menjadi US$ 1 juta, dalam upaya untuk menghilangkan kerentanan serius.
Kesalahan Apple lainnya yang baru-baru ini diungkapkan pada bulan April adalah kelemahan Safari yang dapat dieksploitasi untuk mengintip iPhone, iPad dan komputer Mac menggunakan mikrofon dan kamera mereka. Penemunya dihadiahi uang tunai senilai US$ 75 ribu.
THREAT POST | THE HACKER NEWS