Marak Aplikasi Kuras Rekening di iPhone, Pakar Ungkap Faktanya

Jakarta, CNBC Indonesia - Celah keamanan yang tidak terdeteksi selama satu dekade membuat ribuan aplikasi iOS dan macOS rentan terhadap pembajakan hingga pembobolan rekening.

Bahkan kemungkinan peretas telah menambahkan kode yang dapat membahayakan keamanan jutaan atau miliaran orang yang menginstalnya.

Menurut para ahli, server "trunk" digunakan untuk mengelola CocoaPods, sumber terbuka yang dimanfaatkan sekitar 3 juta aplikasi macOS dan iOS.

Saat pengembang membuat perubahan pada salah satu "pod" mereka, aplikasi yang bergantung pada mereka menggabungkannya secara otomatis melalui pembaruan aplikasi. Hal ini biasanya dilakukan tanpa memerlukan persetujuan dari pengguna.

Padahal, banyak aplikasi dapat mengakses informasi paling sensitif milik pengguna seperti detail kartu kredit, catatan medis, catatan pribadi, dan banyak lainnya.

"Menyuntikkan kode ke dalam aplikasi ini memungkinkan penyerang mengakses informasi ini untuk hampir semua tujuan jahat yang dapat dibayangkan. Misalnya ransomware, penipuan, pemerasan, spionase perusahaan," kata peneliti dari EVA Information Security, firma yang menemukan kerentanan tersebut, dikutip dari ArsTechnica, Rabu (3/7/2024).

"Dalam prosesnya, hal itu dapat membuat perusahaan harus tanggung jawab terhadap hukum dan risiko reputasi," imbuh mereka.

Tiga kerentanan yang ditemukan EVA berasal dari mekanisme email verifikasi yang digunakan untuk mengotentikasi pengembang masing-masing pod. Pengembang kemudian memasukkan alamat email yang terkait dengan pod mereka.

Lalu, server trunk merespons dengan mengirimkan tautan ke alamat tersebut. Dan Ketika seseorang mengeklik tautan tersebut, mereka memperoleh akses ke akun korbannya.

Dalam satu kasus, penyerang dapat memanipulasi URL dalam tautan agar mengarah korban ke server yang berada di bawah kendali penyerang.

Pengelola CocoaPods mengungkapkan telah menambal kerentanan Oktober lalu. Pada saat itu, mereka mengatakan tidak menyadari adanya upaya aktif untuk mengeksploitasi kerentanan. Namun, mereka mengkonfirmasi bahwa skenario yang dijelaskan oleh para peneliti masuk akal.