Apple beri Rp1,4 miliar pada mahasiswa yang temukan potensi kerentanan pada Mac

Seorang mahasiswa keamanan siber menerima USD100.500 atau sekitar Rp1.4 miliar, setelah melaporkan kepada Apple kerentanan pada kamera Mac yang dapat membuka akses bagi peretas terhadap perangkat sepenuhnya. Apple Insider melaporkan (26/1), Ryan Pickren dianugerahi sejumlah uang dari program bug bounty perusahaan.

Menurut Pickren, kerentanan kamera Mac berkaitan dengan serangkaian masalah pada Safari dan iCloud yang diklaim sudah diperbaiki Apple. Sebelum diperbaiki, situs web jahat dapat meluncurkan serangan dengan memanfaatkan kelemahan ini.

Pickren menjelaskan serangan tersebut dapat memberi peretas akses penuh ke semua akun berbasis web, dari iCloud hingga PayPal, ditambah izin untuk menggunakan mikrofon, kamera, dan berbagi layar. 

Hacker yang sama pada akhirnya dapat memperoleh akses penuh ke seluruh sistem file perangkat. Dengan demikian, memungkinkan mereka untuk mengeksploitasi data arsip web Safari, sistem yang digunakan browser untuk menyimpan salinan situs web lokal.

“Fitur yang mengejutkan dari file-file ini adalah mereka menentukan asal web tempat konten harus di-render," tulis Pickren. "Ini adalah trik yang luar biasa untuk membiarkan Safari membangun kembali konteks situs web yang disimpan, tetapi seperti yang ditunjukkan oleh penulis Metasploit pada tahun 2013, jika penyerang entah bagaimana dapat memodifikasi file ini, mereka dapat secara efektif mencapai UXSS [skrip lintas situs universal] oleh desain", tambahnya.

Menurut Pickren, ini berarti Apple tidak menganggapnya sebagai skenario peretasan yang realistis ketika pertama kali mengimplementasikan arsip web Safari. Namun, Pickren menambahkan bahwa kelemahan tersebut dibuat satu dekade lalu, ketika model keamanan browser belum sematang sekarang.