Lupa Kata Sandi? Klik di Sini

atau Masuk melalui

Belum Memiliki Akun Daftar di Sini


atau Daftar melalui

Sudah Memiliki Akun Masuk di Sini

Konfirmasi Email

Kami telah mengirimkan link aktivasi melalui email ke rudihamdani@gmail.com.

Klik link aktivasi dan dapatkan akses membaca 2 artikel gratis non Laput di koran dan Majalah Tempo

Jika Anda tidak menerima email,
Kirimkan Lagi Sekarang

Temukan Bug di Fitur Apple, Pengembang Aplikasi Peroleh Rp 1,4 M

image-gnews
Logo Apple. REUTERS/Lee Jae-Won
Logo Apple. REUTERS/Lee Jae-Won
Iklan

TEMPO.CO, Jakarta - Pengembang aplikasi asal India Bhavuk Jain telah mendapatkan hadiah dari Apple sebesar US$ 100 ribu atau setara dengan Rp 1,4 miliar setelah melaporkan bug yang ditemukannya pada fitur Sign in With Apple. Bug tersebut memungkinkan peretas atau hacker mengambil alih akun dan menyalahgunakannya.

Jain menerangkan, pada April lalu, dia menemukan bug tersebut yang mempengaruhi aplikasi pihak ketiga, lalu menggunakannya dan tidak menerapkan langkah-langkah keamanan tambahan mereka sendiri.

"Bug ini bisa mengakibatkan pengambilalihan akun penuh dari pengguna pada aplikasi pihak ketiga itu terlepas dari korban memiliki ID Apple yang valid atau tidak,” ujar dia, seperti dikutip laman Threat Post, Senin, 1 Juni 2020.

Kelemahan ini ada pada fitur Sign in With Apple yang dikenalkan oleh Apple pada Worldwide Developers Conference (WWDC) tahun lalu. Dibuatnya Sign in With Apple bertujuan untuk membuat pengguna mudah dan aman ketika masuk ke aplikasi dan situs web pihak ketiga.

Fitur tersebut seharusnya menerapkan sistem otentikasi yang didukung Apple untuk menggantikan login sosial pada layanan pihak ketiga. Namun, setelah dilaporkan Jain, Apple telah memperbaiki kesalahan kritis dalam fitur Sign in with Apple, yang bisa saja disalahgunakan oleh penyerang untuk mengambil alih aplikasi pihak ketiga korban.

Salah satu hal penting dari Sign in with Apple adalah pengguna dapat mendaftar dengan layanan pihak ketiga tanpa perlu mengungkapkan alamat email ID Apple mereka ke layanan ini. Ini berhasil karena Sign in with Apple akan terlebih dahulu memvalidasi pengguna di sisi klien, kemudian memulai permintaan JSON Web Token (JWT) dari layanan otentikasi Apple.

JWT ini kemudian akan digunakan oleh aplikasi pihak ketiga untuk mengonfirmasi identitas pengguna. Masalahnya adalah setelah Apple memvalidasi pengguna di sisi klien melalui alamat email ID Apple mereka, itu tidak memverifikasi bahwa permintaan JWT berasal dari akun pengguna yang sebenarnya.

Akibatnya hacker dapat memanfaatkan kecatatan ini dengan memberikan email ID Apple milik korban dan menipu server Apple untuk menghasilkan muatan JWT yang valid. Setelah penyerang melakukan ini, ia kemudian dapat masuk ke aplikasi pihak ketiga menggunakan identitas korban.

"Saya menemukan, saya dapat meminta JWT untuk ID Email apa pun dari Apple dan ketika tanda tangan token ini diverifikasi menggunakan kunci publik Apple, mereka menunjukkan valid," kata Jain. "Ini berarti seorang penyerang bisa memalsukan JWT dengan menautkan ID Email apa pun dan mendapatkan akses ke akun korban."

Iklan
Scroll Untuk Melanjutkan

Mengutip laman The Hacker News, kelemahan itu dapat dieksploitasi bahkan jika pengguna telah memutuskan untuk menyembunyikan ID email mereka dari layanan pihak ketiga. Bisa juga dieksploitasi untuk mendaftar akun baru dengan ID Apple korban.

Namun, ada dua hal yang harus dilewati oleh hacker untuk membuat langkah tersebut bekerja. Pertama, mereka membutuhkan ID email untuk pengguna Apple—meskipun itu bisa berupa ID email pengguna Apple, dan kedua harus masuk ke aplikasi pihak ketiga melalui Sign in with Apple yang tidak memerlukan langkah-langkah keamanan lebih lanjut.

Jain mengatakan dampak kerentanan ini cukup kritis karena dapat memungkinkan pengambilalihan akun. Banyak pengembang telah mengintegrasikan Sign in with Apple ke dalam layanan mereka, termasuk Dropbox, Spotify, Airbnb, dan Giphy.

"Aplikasi ini tidak diuji, tapi bisa rentan terhadap pengambilalihan akun penuh jika tidak ada langkah-langkah keamanan lain di tempat saat memverifikasi pengguna," tutur Jain.

Menurut Jain, Apple melakukan penyelidikan terhadap log mereka dan memutuskan tidak ada penyalahgunaan atau kompromi akun karena kerentanan ini. Jain yang juga peneliti keamanan menemukan kesalahan pada bulan April dan melaporkannya melalui program hadiah bug Apple sehingga mendapatkan hadiah itu.

Pada Desember 2019, Apple telah membuka program historically private bug-bounty untuk publik, dan meningkatkan pembayaran tertinggi menjadi US$ 1 juta, dalam upaya untuk menghilangkan kerentanan serius.

Kesalahan Apple lainnya yang baru-baru ini diungkapkan pada bulan April adalah kelemahan Safari yang dapat dieksploitasi untuk mengintip iPhone, iPad dan komputer Mac menggunakan mikrofon dan kamera mereka. Penemunya dihadiahi uang tunai senilai US$ 75 ribu.

THREAT POST | THE HACKER NEWS

Iklan



Rekomendasi Artikel

Konten sponsor pada widget ini merupakan konten yang dibuat dan ditampilkan pihak ketiga, bukan redaksi Tempo. Tidak ada aktivitas jurnalistik dalam pembuatan konten ini.

 

Video Pilihan


WhatsApp Uji Berbagai Opsi Autentikasi Baru untuk Pengguna

1 jam lalu

Ilustrasi WhatsApp. shutterstock.com
WhatsApp Uji Berbagai Opsi Autentikasi Baru untuk Pengguna

Pembaruan beta 2.24.6.20 memungkinkan penguji membuka kunci WhatsApp menggunakan berbagai metode.


Apple Buka Peluang Kolaborasi dengan Google untuk Penguatan AI

2 jam lalu

Ilustrasi. cbsnews.com
Apple Buka Peluang Kolaborasi dengan Google untuk Penguatan AI

Apple dikabarkan membuka peluang kerjasama dengan Apple untuk urusan AI. Apakah akan ada gebrakan baru dari dua raksasa teknologi?


Tidak Lagi Diproduksi Apple, Kini Macbook Air M1 Turun Harga

1 hari lalu

MacBook Air. REUTERS/Mario Anzuoni
Tidak Lagi Diproduksi Apple, Kini Macbook Air M1 Turun Harga

Apple secara resmi menghentikan produksi Macbook Air M1. Harganya pun turun menjadi sekitar Rp 10 jutaan.


Cara Migrasi Akun dari Aplikasi WhatsApp Business ke WhatsApp Messenger

2 hari lalu

Ilustrasi WhatsApp. (knowitinfo.com)
Cara Migrasi Akun dari Aplikasi WhatsApp Business ke WhatsApp Messenger

Pindah dari WhatsApp Business ke WhatsApp Messenger mungkin menjadi keputusan yang diambil oleh banyak pengusaha atau profesional untuk berbagai alasan.


Cara Memindahkan WhatsApp dari iPhone ke Android

2 hari lalu

Ilustrasi WhatsApp. shutterstock.com
Cara Memindahkan WhatsApp dari iPhone ke Android

Berikut adalah cara mudah mentransfer semua pesan dan file media di WhatsApp Anda dari iPhone ke Android.


Begini Cara Memperpanjang STNK Orang Lain secara Online

2 hari lalu

Ilustrasi: Layanan pengurusan STNK dan Pajak Kendaraan Bermotor Mandiri Tunas Finance. (ANTARA
Begini Cara Memperpanjang STNK Orang Lain secara Online

Cara memperpanjang STNK atas nama orang lain dapat dilakukan dengan mudah dan efisien secara online melalui aplikasi SIGNAL.


Top 3 Tekno Berita Hari Ini: Cara Merekam Percakapan WhatsApp, Cara Pindah WhasApp, Banjir Grobogan

2 hari lalu

Ilustrasi WhatsApp. shutterstock.com
Top 3 Tekno Berita Hari Ini: Cara Merekam Percakapan WhatsApp, Cara Pindah WhasApp, Banjir Grobogan

Topik tentang cara merekam percakapan pada panggilan WhatsApp di Android dan iPhone menjadi berita terpopuler Top 3 Tekno Berita Hari Ini.


Gampang Cara Merekam Percakapan pada Panggilan WhatsApp di Android dan iPhone

3 hari lalu

Memori penyimpanan WhatsApp harus rutin dibersihkan agar kinerja aplikasi tidak lemot. Ini cara bersihkan penyimpanan WhatsApp. Foto: Canva
Gampang Cara Merekam Percakapan pada Panggilan WhatsApp di Android dan iPhone

Merekam percakapan pada panggilan WhatsApp di ponsel Android atau iPhone tak sulit. Begini caranya.


Apple Uji AI untuk Iklan di AppStore, Ikuti Google dan Meta

4 hari lalu

Ilustrasi Apple Inc. AP/Eric Risberg
Apple Uji AI untuk Iklan di AppStore, Ikuti Google dan Meta

Perusahaan Apple sedang menguji iklan otomatis yang didukung oleh kecerdasan buatan atau AI


Smartwatch Teranyar Garmin Bisa Tahan hingga 11 Hari Tanpa Dicas, Segini Harganya

4 hari lalu

Perempuan gunakan smartwatch/Garmin
Smartwatch Teranyar Garmin Bisa Tahan hingga 11 Hari Tanpa Dicas, Segini Harganya

Garmin hadirkan dua smartwatch olahraga baru dengan peningkatan fitur. Salah satu kemampuan menonjolnya adalah tahan menyala hingga 11 hari.