.webp)
Seorang peneliti keamanan mengkritisi Apple karena membiarkan tiga buat celah keamanan zero day di iOS 15 yang tak ditambal sejak April lalu.
Peneliti keamanan anonim itu mengungkap tiga celah zero day itu ke publik minggu ini, setelah iOS 15 dirilis secara resmi. Ia mengkritisi Apple karena membiarkan keberadaan celah tersebut setelah ia melaporkan temuannya itu ke Apple sejak April lalu.
Celah ini menurutnya bisa mengungkap Apple ID, nama asli, informasi WiFi, dan lain sebagainya, demikian dikutip detikINET dari Techspot, Senin (27/9/2021).
SCROLL TO CONTINUE WITH CONTENT
Dalam postingan blognya, si peneliti keamanan mengaku melaporkan empat celah keamanan ke program Apple Security Bounty pada 29 April. Salah satu celah itu kemudian ditambal di iOS 14.7 yang dirilis pada Juni lalu, meski tak dituliskan dalam patch note-nya.
Ia mengeluhkan kelakuan Apple tersebut, yang tak mengakui celah yang ia temukan, menuliskannya di patch note, dan juga menambal tiga celah lain yang sudah ia laporkan.
Sebelumnya ia pun 'mengancam' Apple akan mempublikasikan hasil temuannya ini pada 13 September jika mereka tak kunjung menambal celah tersebut. Ia pun benar-benar mempublikasikan temuannya ini secara lengkap, termasuk tautan ke repositori GitHub-nya, karena celah ini masih ada di iOS 15.
Dalam salah satu celah itu, setiap aplikasi, tanpa sepengetahuan pengguna, bisa mengakses Apple ID lengkap dengan nama lengkap yang terhubung ke akun tersebut. Selain itu aplikasi juga bisa mengakses daftar kontak dari SMS, Mail, iMessage, dan aplikasi pengiriman pesan pihak ketiga.
Lalu mereka juga bisa mendapat metadata berisi bagaimana interaksi pengguna dengan kontak-kontak tersebut. Menurut si peneliti anonim itu, celah tersebut sudah ditambal sebagian.
Celah yang lain membuat aplikasi yang terinstal bisa mengetahui aplikasi lain yang terpasang di Apple ID tersebut. Lalu celah ketiga membuat aplikasi apa pun mengakses informasi WiFi yang seharusnya tak bisa diakses.
(asj/fay)
