Dalam konferensi keamanan Def Con 2019, Check Point telah menunjukkan kerentanan dalam format database SQLite standar industri yang bisa dieksploitasi oleh peretas, mengutip laporan Apple Insider, Senin.
Kerentanan pada sistem database SQLite itu, oleh Check Point, ditemukan pada semua perangkat Apple yang menjalankan iOS 8 hingga iOS 13 beta.
Ini berarti bahwa kerentanan pada sistem iOS telah terjadi sejak delapan tahun lalu ketika iOS 8 mendukung iPhone 4S pada 2011. Dan, jika merujuk pada pernyataan CEO Apple Tim Cook, selama periode itu ada 1,4 juta perangkat iOS aktif di seluruh dunia.
"SQLite adalah mesin basis data yang paling luas di dunia," kata para peneliti di Check Points. "Ini tersedia di setiap sistem operasi, desktop, dan ponsel. Windows 10, macOS, iOS, Chrome, Safari, Firefox, dan Android adalah pengguna SQLite yang populer."
Apa yang Check Point temukan adalah bahwa aplikasi Kontak yang ada di iOS dapat dieksploitasi menggunakan database SQLite standar industri sehingga setiap pencarian Kontak dapat menipu perangkat agar menjalankan kode jahat yang mampu mencuri data pengguna dan kata sandi.
Namun sayangnya, Apple tidak segera memperbaiki lubang kelemahan keamanan yang sudah ditemukan sejak empat tahun lalu.
"Tunggu, apa? Kenapa bug berusia empat tahun tidak pernah diperbaiki?" tulis para peneliti dalam dokumen mereka.
"Fitur ini hanya dianggap rentan dalam konteks program yang memungkinkan SQL sewenang-wenang dari sumber yang tidak dipercaya. Namun, penggunaan SQLite sangat fleksibel sehingga kita sebenarnya masih dapat memicunya dalam banyak skenario."
Dengan kata lain, bug tersebut dianggap tidak penting karena diyakini hanya dapat dipicu oleh aplikasi yang tidak dikenal yang mengakses database, dan dalam sistem tertutup seperti iOS, tidak ada aplikasi yang tidak dikenal.
Namun, peneliti Check Point kemudian berhasil membuat aplikasi terpercaya mengirim kode untuk memicu bug ini dan mengeksploitasinya.
"Kami membuktikan bahwa masalah kerusakan memori dalam SQLite sekarang dapat dieksploitasi secara andal."
"Penelitian dan metodologi kami semuanya telah diungkapkan secara bertanggung jawab kepada Apple," mereka menyimpulkan.
Ini bukan pertama kalinya bahwa masalah dalam database SQLite telah menghasilkan bug, atau salah satu yang tetap tidak diperbaiki selama bertahun-tahun.
Baca juga: 25 juta ponsel terinfeksi malware, termasuk di Indonesia
Baca juga: Apple tantang peneliti temukan cacat keamanan iPhone
Pewarta: Suryanto
Editor: Heppy Ratna Sari
Copyright © ANTARA 2019