Internet Sehat : Apple secara diam-diam telah memperbaiki kerentanan zero-day dengan merilis iOS 15.0.2, pada hari Senin kemarin. Kerentanan ini adalah sebuah kelemahan keamanan yang dapat membuat penyerang mendapatkan akses ke informasi pengguna yang sensitif.

Apple mengatasi bug tersebut tanpa mengakui atau memberi kredit kepada pengembang perangkat lunak Denis Tokarev atas penemuan tersebut meskipun ia melaporkan kekurangan tersebut tujuh bulan sebelum iOS 15.0.2 dirilis.

Pada bulan Juli yang lalu Apple juga diam-diam menambal cacat zero-day analyticsd dengan rilis 14,7 tanpa mengkredit Tokarev, alih-alih berjanji untuk mengakui laporannya di penasihat keamanan untuk pembaruan yang akan datang. Sejak saat itu, Apple menerbitkan beberapa perbaikian keamanan (iOS 14.7.1, iOS 14.8, iOS 15.0, dan iOS 15.0.1) yang menangani kerentanan iOS, tetapi setiap kali pula mereka gagal memberi kredit pada laporan bug analyticsd-nya.

Apple mengatakan oleh karena masalah pemrosesan, kredit pengembang akan disertakan pada perbaikan keamanan dalam pembaruan yang akan datang.

Dua hari yang lalu, setelah iOS 15.0.2 dirilis, Tokarev mengirim email lagi tentang kurangnya kredit untuk kelemahan gamed dan analyticsd dalam perbaikan keamanan. Apple menjawab, memintanya untuk memperlakukan isi pertukaran email mereka sebagai sesuatu yang rahasia.

Ini bukan pertama kalinya tim keamanan Apple meminta kerahasiaan tersebut. Hal ini pertama kali terjadi pada bulan Agustus ketika mereka diberi tahu bahwa game zero-day akan diperbaiki dalam pembaruan keamanan di masa mendatang dan didesak untuk tidak mengungkapkan bug tersebut secara publik.

Pemburu hadiah bug dan peneliti keamanan lainnya juga melaporkan memiliki pengalaman serupa saat melaporkan kerentanan kepada tim keamanan produk Apple melalui Program Bounty Keamanan Apple. Beberapa mengatakan bug yang dilaporkan ke Apple diperbaiki secara diam-diam, dengan perusahaan gagal memberi mereka kredit, seperti yang terjadi dalam kasus ini.

Lainnya tidak dibayar sesuai jumlah yang tercantum di halaman bounty resmi Apple atau belum menerima pembayaran sama sekali, sementara beberapa telah disimpan dalam ketidakjelasan selama berbulan-bulan tanpa balasan ke email mereka.

Secara total, Tokarev menemukan empat iOS zero-days dan melaporkannya ke Apple antara 10 Maret dan 4 Mei. Pada bulan September, ia menerbitkan kode eksploit bukti konsep dan detail tentang semua kerentanan iOS setelah perusahaan gagal mengkreditnya setelah menambal gamed zero-day di bulan Juli.

Jika penyerang berhasil mengeksploitasi empat kerentanan pada perangkat iOS yang belum ditambal (yaitu, iPhone dan iPad), mereka dapat memperoleh akses dan memanen email ID Apple, nama lengkap, token otentikasi ID Apple, info aplikasi yang diinstal, info WiFi, dan log analitik (termasuk informasi medis dan perangkat).

Sumber : Bleeping Computer