Para ahli keamanan digital telah
lama menduga bahwa iMessage, layanan pesan untuk sesama pengguna iOS,
tidak seaman seperti yang pernah Apple gembar-gemborkan. Sekelompok
peneliti mengatakan pihaknya telah memiliki bukti bahwa Appe bisa
menguping percakapan iMessage penggunanya dan berpoteni untuk manfaat
lembaga pemerintah, seperti Badan Keamanan Nasional (NSA) AS.
Tim peneliti tersebut telah mempelajari protokol iMessage secara menyeluruh. Pihaknya pun menyimpulkan, Apple memiliki kemampuan mencegat dan mendektripsi iMessages. Jadi, meskipun pesan di layanan tersebut telah dienkripsi atau diamankan secara end-to-end, Apple mengelola kunci digital khusus yang diperlukan untuk mengenkripsi pecakapan pesan di iMessage.
“Ya, memang ada enkripsi end-to-end yang diklaim Apple. Namun kelemahannya ada pada kunci infrastruktur yang dikelola oleh Apple. Mereka bisa mengubah sebuah kunci kapanpun mereka inginkan, sehingga mereka dapat membaca isi pesan iMessage anda,” tulis Cyril Cattiaux, seorang jailbreak hacker iOS di sebuah artikel di blog Quarkslab, perusahaan peneliti keamanan digital independen, seperti dilansir dari Mashable.
Artinya, Apple bisa menjadi fasilitator bila seandainya lembaga seperti NSA atau lembaga penegak hukum lainnya ingin membaca isi pesan iMessage seseorang. Namun, Apple pernah mengatakan sebelumnya bahwa pihaknya hanya merespon permintaan untuk penyadapan dari pihak luar, bila telah dilakukan evaluasi mendalam oleh tim kuasa hukumnya. Meski begitu, penelitian tersebut tidak menuduh Apple dengan sengaja ingin menyadap isi pesan penggunanya. Namun lebih tepatnya, mereka mungkin hanya bisa melakukan penyadapan bila seandanya ada permintaan dari pihak luar.
Justru ini bisa berbahaya bila dimanfaatkan oleh oleh hacker. Umumnya, ketika perangkat iOS, termasuk iPhone dan iPad saling bertukar pesan melalui server Apple, tak ada ‘certificare pinning’ yang bersifat mengikat. Dengan begitu, hacker bisa saja menggunakan sertifikat palsu guna mengelabui perangkat saat mengirimkan kunci dan pesan. Pasalnya pada 2011 silam, seoarang hacker telah berhasil menciptakan atau memperoleh sertifikat palsu yang memungkinkan mereka dapat membuat website tiruan seperti Google dan Microsoft, lalu mmbiarkan hacker mampu mencuri id dan password pengguna.
Sementara itu, Apple mengatakan, penemuan celah keamanan di iMessage yang dilakukan oleh tim keamanan tersebut hanyalah bersifat teoritis belaka. Pihaknya mengklaim, iMessage tidak dirancang untuk memungkinkan Apple dapat menguping komunikasi penggunanya.
Tim peneliti tersebut telah mempelajari protokol iMessage secara menyeluruh. Pihaknya pun menyimpulkan, Apple memiliki kemampuan mencegat dan mendektripsi iMessages. Jadi, meskipun pesan di layanan tersebut telah dienkripsi atau diamankan secara end-to-end, Apple mengelola kunci digital khusus yang diperlukan untuk mengenkripsi pecakapan pesan di iMessage.
“Ya, memang ada enkripsi end-to-end yang diklaim Apple. Namun kelemahannya ada pada kunci infrastruktur yang dikelola oleh Apple. Mereka bisa mengubah sebuah kunci kapanpun mereka inginkan, sehingga mereka dapat membaca isi pesan iMessage anda,” tulis Cyril Cattiaux, seorang jailbreak hacker iOS di sebuah artikel di blog Quarkslab, perusahaan peneliti keamanan digital independen, seperti dilansir dari Mashable.
Artinya, Apple bisa menjadi fasilitator bila seandainya lembaga seperti NSA atau lembaga penegak hukum lainnya ingin membaca isi pesan iMessage seseorang. Namun, Apple pernah mengatakan sebelumnya bahwa pihaknya hanya merespon permintaan untuk penyadapan dari pihak luar, bila telah dilakukan evaluasi mendalam oleh tim kuasa hukumnya. Meski begitu, penelitian tersebut tidak menuduh Apple dengan sengaja ingin menyadap isi pesan penggunanya. Namun lebih tepatnya, mereka mungkin hanya bisa melakukan penyadapan bila seandanya ada permintaan dari pihak luar.
Justru ini bisa berbahaya bila dimanfaatkan oleh oleh hacker. Umumnya, ketika perangkat iOS, termasuk iPhone dan iPad saling bertukar pesan melalui server Apple, tak ada ‘certificare pinning’ yang bersifat mengikat. Dengan begitu, hacker bisa saja menggunakan sertifikat palsu guna mengelabui perangkat saat mengirimkan kunci dan pesan. Pasalnya pada 2011 silam, seoarang hacker telah berhasil menciptakan atau memperoleh sertifikat palsu yang memungkinkan mereka dapat membuat website tiruan seperti Google dan Microsoft, lalu mmbiarkan hacker mampu mencuri id dan password pengguna.
Sementara itu, Apple mengatakan, penemuan celah keamanan di iMessage yang dilakukan oleh tim keamanan tersebut hanyalah bersifat teoritis belaka. Pihaknya mengklaim, iMessage tidak dirancang untuk memungkinkan Apple dapat menguping komunikasi penggunanya.
No comments:
Post a Comment