Segera update iPhone Anda ke versi iOS 11 yang baru dirilis - kerentanan keamanan di iOS 10 sekarang ini menjadi target dari penjahat. Hal tersebut di ungkap oleh Gal Beniamini, seorang peneliti keamanan - Google Project Zero, ditemukan kerentanan keamanan (CVE-2017-11120) di iPhone Apple dan perangkat lain yang menggunakan chip Broadcom Wi-Fi dan menjadi sasaran eksploitasi.
Kelemahan ini mirip dengan yang ditemukan Beniamini di Internet SoC Broadcom (Software-on-Chip) pada bulan April, dan kerentanan BroadPwn diungkapkan oleh seorang peneliti Exodus Intelligence - Nitay Artenstein. Semua kerentanan yang ditemukan tersebut memungkinkan pengambilalihan jarak jauh smartphone melalui jaringan Wi-Fi lokal.
Kerentanan yang ditemukan pada perankgat Apple ini dapat memungkinkan peretas mengendalikan iPhone korban dari jarak jauh. Yang mereka butuhkan hanyalah alamat MAC iPhone atau network-port ID. Kerentanan tersebut dianggap sebagai ancaman serius bagi pengguna iPhone. Beniamini menginformasikan kepada pembuat chip WiFi Broadcom dan secara pribadi melaporkan kerentanan ini pada sistem pelaporan bug Google Chromium pada tanggal 23 Agustus. Sekarang, setelah rilis iOS 11, Beniamini menerbitkan sebuah konsep proof-of-concept (PoC) untuk membuktikan kerentanan yang telah ditemukannya tersebut untuk menunjukkan risiko pada pengguna iPhone.
Beniamini mengatakan kekurangan itu ada pada chip Broadcom yang menjalankan versi firmware BCM4355C0, yang tidak hanya digunakan oleh iPhone tapi juga smartphone Android, Apple TV dan smart TV. Setelah mengeksploitasi, Beniamini bisa memasukkan backdoor ke firmware chip Broadcom, "sehingga memungkinkan remote control yang mudah atas chip Wi-Fi." Setelah semua selesai, "Anda dapat berinteraksi dengan backdoor untuk mendapatkan akses R/W ke firmware dengan memanggil fungsi "read_dword" dan "write_dword"."
Para peneliti menguji eksploitasi mereka hanya terhadap firmware Wi-Fi di iOS 10.2 Namun eksploitasi tersebut juga bekerja pada semua versi iOS 10.3.3. "Namun, beberapa simbol mungkin perlu disesuaikan dengan berbagai versi iOS, lihat 'exploit/symbols.py' untuk informasi lebih lanjut," tulis Beniamini.
Karena tidak ada cara untuk mengetahui apakah perangkat Anda menjalankan versi firmware BCM4355C0, pengguna disarankan untuk mengupdate iPhone ke iOS 11. Apple juga telah menambal masalah ini di versi TVOS terbaru. Selain itu, Google telah membahas masalah ini di perangkat Nexus dan Pixel, serta perangkat Android awal bulan ini. Namun, pengguna Android diharuskan menunggu produsen handset mereka untuk mengeluarkan update pada perangkat mereka.
Kelemahan ini mirip dengan yang ditemukan Beniamini di Internet SoC Broadcom (Software-on-Chip) pada bulan April, dan kerentanan BroadPwn diungkapkan oleh seorang peneliti Exodus Intelligence - Nitay Artenstein. Semua kerentanan yang ditemukan tersebut memungkinkan pengambilalihan jarak jauh smartphone melalui jaringan Wi-Fi lokal.
Kerentanan yang ditemukan pada perankgat Apple ini dapat memungkinkan peretas mengendalikan iPhone korban dari jarak jauh. Yang mereka butuhkan hanyalah alamat MAC iPhone atau network-port ID. Kerentanan tersebut dianggap sebagai ancaman serius bagi pengguna iPhone. Beniamini menginformasikan kepada pembuat chip WiFi Broadcom dan secara pribadi melaporkan kerentanan ini pada sistem pelaporan bug Google Chromium pada tanggal 23 Agustus. Sekarang, setelah rilis iOS 11, Beniamini menerbitkan sebuah konsep proof-of-concept (PoC) untuk membuktikan kerentanan yang telah ditemukannya tersebut untuk menunjukkan risiko pada pengguna iPhone.
Beniamini mengatakan kekurangan itu ada pada chip Broadcom yang menjalankan versi firmware BCM4355C0, yang tidak hanya digunakan oleh iPhone tapi juga smartphone Android, Apple TV dan smart TV. Setelah mengeksploitasi, Beniamini bisa memasukkan backdoor ke firmware chip Broadcom, "sehingga memungkinkan remote control yang mudah atas chip Wi-Fi." Setelah semua selesai, "Anda dapat berinteraksi dengan backdoor untuk mendapatkan akses R/W ke firmware dengan memanggil fungsi "read_dword" dan "write_dword"."
Para peneliti menguji eksploitasi mereka hanya terhadap firmware Wi-Fi di iOS 10.2 Namun eksploitasi tersebut juga bekerja pada semua versi iOS 10.3.3. "Namun, beberapa simbol mungkin perlu disesuaikan dengan berbagai versi iOS, lihat 'exploit/symbols.py' untuk informasi lebih lanjut," tulis Beniamini.
Karena tidak ada cara untuk mengetahui apakah perangkat Anda menjalankan versi firmware BCM4355C0, pengguna disarankan untuk mengupdate iPhone ke iOS 11. Apple juga telah menambal masalah ini di versi TVOS terbaru. Selain itu, Google telah membahas masalah ini di perangkat Nexus dan Pixel, serta perangkat Android awal bulan ini. Namun, pengguna Android diharuskan menunggu produsen handset mereka untuk mengeluarkan update pada perangkat mereka.
0 comments:
Post a Comment