Ilustasi hacker. Foto: Shutterstock
Ryan Pickren, seorang remaja yang ahli keamanan siber, berhasil membobol kamera atau webcam di Mac. Peretasan ini malah membuatnya diganjar 100.500 dolar AS atau sekitar Rp 1,4 miliar oleh Apple.
Peretasan yang dilakukan mahasiswa Georgia Institute of Technology itu bukan untuk aksi kejahatan, melainkan upaya pengungkapan adanya bug atau celah keamanan di komputernya Apple. Itu mengapa perusahaan memberinya hadiah, karena apa yang dilakukan Pickren bagian dari program pencarian bug berhadiah (bug bounty program).
Bug ini memungkinkan hacker mengambil alih webcam Mac dengan mengeksploitasi celah keamanan di software browser Safari dan komputasi awan iCloud. Lewat kelemahan sistem tersebut, sebuah situs web mencurigakan berisi malware dapat melancarkan serangan.
Bahkan, celah tersebut tidak hanya mengambil alih kamera dan mikrofon saja. Pickren menjelaskan di blog pribadinya bahwa hacker juga dapat mengakses penuh ke semua akun berbasis web, mulai dari iCloud hingga PayPal.
“Peretasan saya berhasil mendapatkan akses kamera yang tidak sah (unauthorized) dengan mengeksploitasi serangkaian masalah di iCloud Sharing dan Safari 15. . . . Kali ini, bug memberikan penyerang akses penuh ke setiap situs web yang pernah dikunjungi oleh korban. Itu berarti selain menyalakan kamera Anda, bug saya juga dapat meretas akun iCloud, PayPal, Facebook, Gmail, dll.”- Ryan Pickren -Mac Pro. Foto: REUTERS/Mason Trinca
Detail bug hingga eksploitasinya cukup rumit. Sederhananya, salah satu kunci dari peretasan ini adalah kerentanan dalam aplikasi berbagi file iCloud yang disebut ShareBear.
Jika pengguna menerima undangan untuk berbagi dokumen dengan seseorang, Mac akan mengingat bahwa pengguna telah memberi izin, dan komputer tidak akan tanya lagi ketika pengguna membuka file yang sama ke depannya. Karena file tersimpan dalam cloud, pemilik dokumen masih bisa mengakses dan mengubahnya.
Tidak hanya nama, dokumen tersebut juga dapat diubah jenis ekstensinya (.doc, .jpg, hingga .mp4), termasuk ke tipe yang bisa dieksekusi (.exe). Dan file ini bisa dibuka secara diam-diam.
Ini yang membuat Pickren dan hacker bisa mengubah file dokumen atau gambar menjadi file malware yang berjalan di sistem Mac korban. Karena riwayat file sebelumnya sudah tersimpan di browser Safari, maka file yang kemudian diubah menjadi malware tidak akan terdeteksi.
Sebelumnya pada 2019, Pickren pernah menemukan serangkaian bug yang bisa dieksploitasi untuk mengaktifkan kamera dan mikrofon iPhone tanpa pengguna harus memberikan izin privasi. Temuan ini membuat produsen iPhone, Apple, memberinya hadiah sebesar 75.000 dolar AS atau sekitar Rp 1 miliar.
