Menuju konten utama

BuggyCow: Kelemahan Apple yang Dibongkar Google

Google menemukan BuggyCow, bug alias celah keamanan pada komputer Mac.

BuggyCow: Kelemahan Apple yang Dibongkar Google
Apple 15.4" MacBook Pro. Getty Images/iStock Editorial

tirto.id - “Kami selalu bekerja untuk melindungi privasimu juga keamananmu,” tegas Apple, menerangkan betapa amannya macOS, sistem operasi yang tersemat dalam lini komputer Mac.

Sial bagi Apple, Project Zero, tim peretas bikinan Google yang jadi “watchdoc” bagi keamanan produk-produk teknologi bikinan perusahaan lain, sukses membuka aib Apple. Project Zero menemukan bug alias celah keamanan bernama BuggyCow pada XNU (XNU is Not Unix), kernel alias inti sistem operasi yang tersemat pada Darwin, yaitu sistem operasi yang jadi pondasi penciptaan macOS hingga iOS.

Pada demonstrasi proof-of-concept, BuggyCow membuat malware atau aplikasi jahat menyuntikkan kode tertentu pada komputer Mac. Keistimewaan tersebut terjadi lantaran dalam tubuh XNU ada pengawasan yang tidak jelas pada memori komputer.

Misalnya, ketika ada aplikasi di macOS yang menggunakan data dalam jumlah besar, umumnya aplikasi menggunakan trik khusus untuk menghemat sumber daya komputer. Trik itu, meninggalkan data pada hard disk atau SSD alih-alih menyimpannya di memori. Namun, saat data disimpan pada hard disk, proses dari aplikasi lain bisa menggunakan data tersebut dan melakukan modifikasi. Ini bisa dijadikan celah malware.

“Jika malware dapat bermutasi pada file di disk tanpa memberitahu subsistem manajemen memori, ini adalah bug keamanan,” tulis Project Zero.

“Cow” dalam istilah “BuggyCow” merujuk pada makna Copy-on-Write, sebagai lokasi sistem Apple yang gagap mengamankan memori di komputer Mac.

Saat celah keamanan ditemukan, pada November 2018, tim memberikan waktu 90 hari bagi Apple memperbaiki lubang pada sistem mereka. Lewat dari 90 hari, mereka akan mempublikasikan temuan pada khalayak ramai, entah telah diperbaiki Apple ataupun tidak.

Sayangnya, hingga kini, selepas tiga bulan berjalan, Apple belum sukses "membunuh" BuggyCow yang menjangkiti lini Mac. Artinya, semua komputer Mac hari ini masuk pada masa “Zero Day Vulnerability”. Zero-Day Vulnerability merupakan saat di mana celah keamanan yang ditemukan dalam suatu produk belum diperbaiki oleh perusahaan pengembang atau pembuat. Di masa-masa seperti ini, produk akan sangat rawan disusupi oleh pihak-pihak yang tidak bertanggung jawab.

“Kami telah menghubungi Apple mengenai masalah ini. Sayangnya, saat ini tidak ada perbaikan yang tersedia,” klaim Project Zero.

Jake Williams, mantan peretas National Security Agency (NSA), pada laporan Wired, menyebutkan BuggyCow “adalah masalah yang sangat serius.” Thomas Reed, peneliti khusus Mac pada MalwareBytes, juga menyebut BuggyCow bisa dimanfaatkan malware lebih jauh, misalnya menulis kode khusus tertentu.

Penemuan BuggyCow menambah daftar kerentanan yang ada dalam produk-produk Apple dalam dua tahun belakangan. Pada 2017, Apple dihebohkan oleh bug yang memungkinkan password yang digunakan mengamankan suatu drive terkuat dan mudahnya siapapun untuk memperoleh hak akses Mac hanya dengan mengetik “root” pada kolom login.

Pada 2019, selain BuggyCow, Apple diperdaya oleh potensi peretas mendengarkan apapun kala "pembajak" melakukan panggilan via FaceTime, bahkan ketika "korban" pengguna gadget Apple tidak mengangkat panggilannya.

“Apple memiliki banyak bug yang berhubungan dengan keamanan, yang beberapa di antaranya terlihat sangat bodoh,” kata Reed.

“Akhirnya, ini membuat Anda bertanya-tanya proses QA (quality assurance) seperti apa yang dilakukan Apple. Apakah mereka melakukan pengujian yang cukup? Akhir-akhir ini, sepertinya tidak,” tegasnya.

Namun, di balik dibongkarnya celah keamanan Apple oleh tim peretas Google, muncul pandangan, bahwa Google sedang membuat pengguna produk-produk yang sistemnya mereka bongkar berada dalam bahaya.

Lamar Bailer, Kepala Litbang Tripwire, sebagaimana dilansir V3, menyebut Google tidak bertanggung jawab. Project Zero, "membuat pengguna Apple dan sebelumnya Microsoft, berjalan tanpa perlindungan apapun tatkala Google mengungkap kerentanan yang ada dalam produk-produk tersebut". Apalagi, perusahaan pemilik produk yang dibongkar kelemahannya oleh Google tidak mengeluarkan perbaikan.

“Mungkin, Google sebetulnya ingin membuat kerja perbaikan sistem menjadi lebih cepat, sayangnya mereka gagal,” tegas Bailer.

Salah satu alasan yang dikemukakan Bailer, ialah waktu 90 hari yang ditetapkan Google. Diperbaiki atau tidak, apabila telah lewat 90 hari selepas Google menemukan celah keamanan, mereka akan mengumumkannya pada publik. Menurut Bailer, peneliti keamanan yang berpengalaman pun butuh kerja yang sangat keras.

Aksi tim Project Zero membongkar kelemahan-kelemahan sistem merek lain tak terpisahkan dari sejarah pembentukan tim peretas elite milik Google ini.

Infografik Hama Apel

Infografik Hama Apel

Pembentukan Project Zero bisa ditarik jauh sejak 2007. Saat itu, George Hotz yang masih berusia 17 tahun sukses menjadi orang pertama yang mampu meretas iPhone. Dengan kemampuannya, iPhone 1st Generation, yang dikunci hanya bisa dijalankan AT&T, “dibebaskan” untuk menggunakan provider lain.

Hotz tak hanya mengangkangi Apple. Ia juga kemudian meretas PlayStation 3. Dan beberapa tahun kemudian meretas Google di salah satu produk andalannya: Chrome.

Tiga perusahaan IT yang diretas Hotz mengeluarkan respons berbeda. Apple hanya terdiam bagai tidak terjadi apa-apa. Sony menggugat Hotz di pengadilan. Sementara Google, melakukan tindakan 180 derajat, ia malah memberi uang tunai senilai $150 ribu kepada Hotz.

Google tak berhenti hanya mengirimkan uang pada Hotz. Perusahaan bentukan Sergey Brin dan Larry Page itu menawari Hotz pekerjaan, pekerjaan yang menyuruhnya untuk meretas produk-produk teknologi dunia, bikinan perusahaan apapun.

Melalui pengawasan Chris Evans, teknisi keamanan Google, Project Zero akhirnya lahir. Google lalu mengundang peretas-peretas wahid dunia untuk bergabung dalam tim elit ini.

Dalam tubuh Project Zero, selain Hotz, tersemat Ben Hawkes, peretas yang sukses mempecundangi Adobe hingga Microsoft. Ada pula Tavis Ormandy, yang ahli membuat anti-virus bertukar peran jadi virus itu sendiri. Juga ada Britt Beer, penemu celah keamanan di banyak tempat, seperti iOS, OSX, hingga Safari.

Jadi, apakah celah keamanan Apple yang berhasil dibongkar oleh Google menjadi Apple makin mawas, atau sebaliknya mengabaikan pukulan telak dari Google yang siap menemukan potensi kelemahan lainnya.

Baca juga artikel terkait APPLE atau tulisan lainnya dari Ahmad Zaenudin

tirto.id - Teknologi
Penulis: Ahmad Zaenudin
Editor: Suhendra