Bug Apple Airdrop Bisa Bocorkan Nomor Telepon dan Email Pengguna

Hal tersebut diungkap oleh hasil temuan para peneliti Secure Mobile Networking Lab (SEEMOO) dan Cryptography and Privacy Engineering Group (ENCRYPTO) di Universitas Teknik Darmstadt, Jerman.

"Yang hacker butuhkan hanyalah perangkat dengan fitur Wi-Fi dan kedekatan fisik dengan target yang sedang menggunakan fitur AirDrop di perangkat iOS atau macOS," kata para periset di laman resminya.

Menurut para periset, masalah utama kerentanan yang ada pada AirDrop ini terletak pada mekanisme hashing lemah yang digunakan oleh Apple ketika AirDrop melakukan proses "pencarian" perangkat yang ingin dikirimi file.

Secara default, AirDrop hanya akan menampilkan perangkat penerima file yang pemiliknya sudah tercantum di daftar kontak saja.

Untuk menentukan apakah seseorang termasuk ke dalam kontak pengguna atau bukan, AirDrop menggunakan mekanisme otentikasi timbal balik yang membandingkan nomor telepon dan alamat e-mail pengguna dengan daftar kontak di phonebook perangkat penerima file. 

Proses otentikasi timbal balik ini disebutkan telah dienskripsi oleh Apple menggunakan metode hashing, sehingga seharusnya data yang dipertukarkan tidak bisa diintip oleh pihak lainnya.

Hash adalah suatu metode enkripsi yang dapat mengubah data input berupa teks (misalnya password) menjadi output seperti kode acak.

Namun para periset asal Jerman ini mengungkapkan bahwa mekanisme hashing yang digunakan Apple ternyata lemah sehingga bisa membocorkan nomor telepon dan alamat e-mail pengguna.

"Hashing ini bisa dengan mudah dikembalikan ke bentuk teks aslinya dengan teknik sederhana seperti serangan brute force," tulis para peneliti.

Ada lebih dari 1,5 miliar perangkat Apple yang dapat terkena dampak dari celah keamanan ini. Para peneliti diketahui telah menginformasikan kerentanan tersebut kepada Apple sejak Mei 2019 lalu.

Namun, sebagaimana dihimpun KompasTekno dari PhoneArena, Senin (26/4/2021), sejauh ini belum ada pernyataan resmi dari Apple mengenai celah keamanan yang bersangkutan ataupun upaya perbaikannya.

Tim peneliti Universitas Teknik Darmstadt mengusulkan solusi bernama "PrivateDrop" sebagai ganti AirDrop di perangkat iOS dan macOS. PrivateDrop disebut mampu melakukan proses contact discovery antar perangkat tanpa perlu bertukar hash value yang rawan dijebol.