Key Takeaways
- Kerentanan yang baru terungkap di aplikasi pencari perangkat Apple dapat mengungkapkan lokasi dan identitas Anda.
- Aplikasi ini menggunakan jaringan jutaan perangkat yang bersumber dari kerumunan untuk menemukan perangkat yang "hilang" yang tidak terhubung menggunakan Bluetooth.
- Peretas bisa mendapatkan akses tidak sah ke riwayat lokasi Anda selama tujuh hari terakhir dan menghubungkannya dengan identitas Anda.
Sistem pelacakan lokasi yang membantu Anda menemukan perangkat Apple juga dapat mengungkap identitas Anda, kata para peneliti.
Penemuan Offline memungkinkan Anda menemukan perangkat Apple meskipun tidak terhubung ke internet. Apple mengatakan aplikasi melindungi privasi pengguna, tetapi kelemahan keamanan yang dilaporkan dalam perangkat lunak menunjukkan anonimitas sulit didapat di internet. Menurut makalah terbaru yang diterbitkan oleh para peneliti dari Universitas Teknik Darmstadt di Jerman, peretas bisa mendapatkan akses tidak sah ke riwayat lokasi Anda selama tujuh hari terakhir dan menghubungkannya dengan identitas Anda.
"Hal ini benar-benar menunjukkan kepada kita bahwa tidak ada yang 100% aman, dan bahkan setelah patch Apple, penyerang pada akhirnya akan menemukan kerentanan baru untuk dieksploitasi, " Jason Glassberg, salah satu pendiri perusahaan keamanan siber Casaba Security, mengatakan dalam wawancara email. "Masalah yang lebih besar di sini adalah bahwa privasi pengguna tidak pernah dapat dijamin, dan orang-orang perlu mengubah kerangka berpikir mereka dari gagasan menjadi 'pribadi' menjadi kenyataan 'kurang dieksploitasi.'"
Temukan dan Identifikasi
Tim Darmstadt menemukan bahwa "desain keseluruhan mencapai tujuan khusus Apple" untuk privasi, tetapi mereka menemukan dua kerentanan "yang tampaknya berada di luar model ancaman Apple" dan dapat memiliki konsekuensi yang parah.
Masalah yang lebih besar di sini adalah bahwa privasi pengguna tidak pernah dapat dijamin.
Para ahli mengatakan untuk tidak terlalu mengkhawatirkan kekurangan ini.
"Meskipun dua kelemahan keamanan ditemukan di fitur Pencarian Offline Apple, tak satu pun dari mereka yang sangat parah, dan tidak ada laporan insiden kerentanan ini yang dieksploitasi secara liar," Paul Bischoff, pakar privasi untuk Comparitech, kata dalam sebuah wawancara email. "Apple telah menambal yang lebih parah dari dua kerentanan, jadi pemilik iPhone harus memperbarui perangkat mereka sesegera mungkin."
Satu kelemahan dalam aplikasi akan memungkinkan Apple melacak lokasi pengguna, yang akan bertentangan dengan kebijakan privasinya, kata Bischoff. "Karena itu, tidak ada bukti yang menunjukkan Apple mengambil keuntungan dari kerentanan ini, dan para peneliti tidak mengatakan itu dapat dieksploitasi oleh penyerang pihak ketiga."
Bug lain memungkinkan penyerang mengakses riwayat lokasi yang tersimpan di iPhone, meskipun mereka perlu menginfeksi iPhone dengan malware terlebih dahulu. Meskipun Apple mungkin telah memperbaiki masalah ini, kelemahan pada aplikasi "Temukan Milik Saya" menyoroti bagaimana data lokasi dapat mengungkapkan tempat tinggal dan pekerjaan seseorang.
"Misalnya, jika pengguna memiliki aplikasi seluler tertentu untuk mobil mereka, aliran GPS mungkin mengidentifikasi tren pengguna tersebut saat mereka meninggalkan kantor yang dapat membuat mereka terkena pembajakan mobil, " Mark Pittman, CEO Blyncsy, sebuah perusahaan intelijen gerakan dan data, mengatakan dalam sebuah wawancara email. "Demikian pula, jika pengguna membagikan GPS dari aplikasi kencan, itu dapat digunakan oleh predator untuk melacak dan berpotensi menyerang pengguna."
Cara Melindungi Diri
Misalkan Anda khawatir identitas Anda terungkap. Dalam hal ini, Anda dapat memilih keluar dari jaringan "Temukan Saya" di pengaturan aplikasi Cari iPhone Saya, kata pakar keamanan siber Chris Hazelton, direktur solusi keamanan di Lookout, dalam sebuah wawancara email.
"Jika ingin memastikan dua kali lipat, pengguna dapat menonaktifkan Bluetooth yang digunakan untuk menyambungkan ke perangkat yang hilang," kata Hazelton. "Meskipun sulit untuk menghentikan pelacakan lokasi Anda secara keseluruhan, satu praktik terbaik adalah tidak mengizinkan aplikasi apa pun melacak lokasi Anda secara terus-menerus."
Keputusan apakah akan ikut serta dalam layanan "Temukan Milik Saya" tergantung pada pengguna, kata Hazelton. Mereka perlu memutuskan apakah manfaat dari layanan lokasi lebih besar daripada risiko berbagi lokasi mereka.
"Untuk layanan seperti Temukan iPhone Saya," tambahnya, "sebagian besar pengguna yang kehilangan perangkat kemungkinan besar akan menjawab ya."
