Menuju konten utama

Celah Keamanan Apple ID Ancam Privasi dan Data Pengguna

Sistem Single Sign On (SSO) yang diterapkan Apple ID memang memanjakan penggunanya. Sayang, celah keamanannya masih besar.

Konsumen mencoba iPhone XS Max di gerai Apple New York, AS (21/9/18). AP Photo/Patrick Sison

tirto.id - Pada era digital yang serba terkoneksi, orang kini sangat dimudahkan dengan adanya teknologi Single Sign On (SSO), salah satunya yang melekat pada Apple ID. Namun, dibalik segala kenyamanan yang ditawarkan, pengguna harus tetap mewaspadai sejumlah risiko kemanan yang menyertai layanan tersebut.

Teknologi Apple ID memang memanjakan. Belanja di toko online Apple, misalnya, akan jauh lebih cepat dan mudah sebab pembeli dapat menyimpan barang dan ‘tas’ belanjaan digital dan memeriksa status pesanan.

Namun, situs resmi perusahaan keamanan digital Kasperksy Lab memberikan peringatan pada para pemilik Apple ID untuk mewaspadai sejumlah skenario yang membuat Apple ID rentan untuk ‘dibajak’.

Kaspersky menyatakan bahwa prinsip kerja Apple ID pada dasarnya sama dengan paspor ketika digunakan untuk berpergian. Yang membedakan, Apple ID digunakan sebagai paspor digital untuk mengakses segala macam layanan yang disediakan oleh Apple.

Oleh karenanya, larangan utama terkait Apple ID juga serupa dengan paspor biasa: Jangan menggunakan Apple ID milik siapapun dan jangan meminjamkannya kepada siapapun.

Meminjamkan Apple ID pada orang jelas berbahaya, karena berarti memberikan orang lain akses ke gawai pintar pemilik akun beserta data digital pribadi dan layanan langganan berbayar.

Kendati demikian, Kaspersky juga mewanti-wanti agar para pemilik gawai pintar Apple, termasuk iPhone, iPad hingga MacBook untuk tidak memasukkan akun Apple ID orang asing pada gawai pribadi.

Kaspersky menekankan, ketika orang asing dibiarkan untuk memasukkan Apple ID pada gawai pribadi, orang asing itu dapat memegang kontrol penuh akan gawai pribadi tersebut. Skenario terburuknya adalah jika orang yang ‘membajak’ gawai pribadi itu adalah pelaku kejahatan siber.

Di tangan pelaku kejahatan, Apple ID yang semestinya berfungsi sebagai ‘tembok pengaman’ bagi data virtual pengguna dapat berbalik menjadi alat berbahaya yang dapat membeberkan data pribadi.

Ketika Apple ID dimasukkan ke dalam sebuah gawai pintar seperti iPhone, ponsel pintar tersebut secara otomatis dimasukkan ke dalam daftar gawai ‘sang pembajak’ di iCloud. Dari sinilah pelaku kejahatan dapat mengakses dan menggunakan data di iPhone itu sekehendak hatinya.

Di sisi lain, informasi akun Apple ID dan kata sandi sang pembajak yang dipegang oleh pemilik gawai pribadi, di sisi lain, tidak berguna untuk memulihkan akses akun yang dibajak. Pasalnya, sistem di iCloud menerapkan sistem autentifikasi dua faktor. Maksudnya, ketika pengguna ingin masuk ke dalam iCloud, ia harus mengisi kode yang dikirimkan ke salah satu gawainya.

“Pesan moral dari cerita ini: Jangan pernah memasukkan ID Apple orang lain di perangkat Anda. Bahkan jika mereka berkata tolong,” tulis Editor Kaspersky Daily Alex Perekalin, masih dari situs resmi perusahaan tersebut.

Risiko SSO

Terlepas dari celah keamanan pada ekosistem Apple, sistem SSO layaknya Apple ID hingga kini memang masih menyimpan banyak risiko. Selain Apple, sejumlah perusahaan teknologi seperti Google dan Facebook juga telah menerapkannya.

Melalui sistem ini, orang memang dapat dengan mudah mengakses akunnya pada sejumlah gawai pintar hanya dengan langkah yang sangat singkat, kerap hanya dengan satu sentuhan tombol.

Para pengguna produk Apple, misalnya, dapat menggunakan sistem SSO pada perangkat Apple TV mereka. Sementara itu, para pengguna Google dan Facebook dapat menggunakan akun Google atau Facebook mereka untuk masuk ke berbagai aplikasi atau situs digital di dunia maya.

Namun, studi yang dilakukan oleh sejumlah akademisi dari University of Illinois di Chicago, Amerika Serikat, membuktikan bahwa sistem SSO yang ada saat ini masih sangat rentan diretas. “Dengan menggunakan akun Facebook yang dibajak, seorang penyerang secara tidak langsung dapat membahayakan 226 [layanan lainnya],” tulis para peneliti tersebut.

Penelitian M Ghasemisharif berjudul “O Single Sign-Off, Where Art Thou? An Empirical Analysis of Single Sign-On Account Hijacking and Session Management on the Web” (2018) juga menyatakan bahwa tidak banyak yang bisa dilakukan oleh pengguna ketika akun dan sistem SSO mereka diretas.

Selain itu, dilansir dari Wired, sistem SSO juga memantik kekhawatiran terkait privasi data pengguna yang ditarik dan kemudian dikembalikan kepada penyedia layanan log-in yang ada.

“Situs tempat para pengguna masuk bisa mendapatkan banyak informasi dari profil mereka dari penyedia layanan login sosial itu,” kata Rowenna Fielding, seorang spesialis keamanan dan pimpinan perlindungan data senior di Protecture, seperti dilansir Wired.

infografik applegate

infografik applegate

End user tak selalu menyadari informasi apa saja yang dikirim bolak-balik, yang pada umumnya buruk untuk privasi, kebebasan dan otonomi.”

Seperti dikutip dari Wired, dalam sebuah studi yang dipublikasikan di situs Freedom to Tinker, para peneliti menemukan bahwa terkadang ketika pengguna memberikan izin untuk situs web untuk mengakses profil Facebook mereka, pelacak pihak ketiga yang tertanam pada situs yang dikunjungi juga memperoleh data pengguna yang menggunakan sistem SSO.

Data ini dapat mencakup nama pengguna, alamat email, usia, tanggal lahir, dan sejumlah informasi lainnya, tergantung pada info apa yang diminta situs yang dikunjungi untuk diakses.

Risiko ini sangat nyata. Pada 16 Januari lalu, Forbes melaporkan bahwa sejumlah analis keamanan digital dari Check Point menemukan titik-titik keamanan yang dapat memungkinkan pengambilalihan akun pengguna game populer Fortnite. Sebagai catatan, ada lebih dari 80 juta akun pemain Fortnite.

Salah satu celah yang rawan, sebut para peneliti, berkorelasi dengan penggunaan sistem SSO dalam game tersebut.

Baca juga artikel terkait APPLE atau tulisan lainnya dari Ign. L. Adhi Bhaskara

tirto.id - Teknologi
Penulis: Ign. L. Adhi Bhaskara
Editor: Windu Jusuf
-->