Bug Apple Airdrop Bisa Bocorkan Nomor Telepon dan Email Pengguna

KOMPAS.com - AirDrop, fitur berbagi file secara nirkabel lewat Bluetooth dan Wi-Fi antar perangkat Apple, baru-baru ini dilaporkan memiliki celah keamanan (bug).

Hal tersebut diungkap oleh hasil temuan para peneliti Secure Mobile Networking Lab (SEEMOO) dan Cryptography and Privacy Engineering Group (ENCRYPTO) di Universitas Teknik Darmstadt, Jerman.

Para periset asal Jerman ini menyebut bug tersebut sebagai "kebocoran privasi parah", karena memungkinkan AirDrop membocorkan nomor telepon dan alamat e-mail pengguna iPhone kepada hacker.

Baca juga: Google Rilis Nearby Share di Android, Fitur Berbagi File Mirip Apple AirDrop

"Yang hacker butuhkan hanyalah perangkat dengan fitur Wi-Fi dan kedekatan fisik dengan target yang sedang menggunakan fitur AirDrop di perangkat iOS atau macOS," kata para periset di laman resminya.

Menurut para periset, masalah utama kerentanan yang ada pada AirDrop ini terletak pada mekanisme hashing lemah yang digunakan oleh Apple ketika AirDrop melakukan proses "pencarian" perangkat yang ingin dikirimi file.

Apple Support Ilustrasi fitur AirDrop pada iPhone.

Secara default, AirDrop hanya akan menampilkan perangkat penerima file yang pemiliknya sudah tercantum di daftar kontak saja.

Untuk menentukan apakah seseorang termasuk ke dalam kontak pengguna atau bukan, AirDrop menggunakan mekanisme otentikasi timbal balik yang membandingkan nomor telepon dan alamat e-mail pengguna dengan daftar kontak di phonebook perangkat penerima file. 

Proses otentikasi timbal balik ini disebutkan telah dienskripsi oleh Apple menggunakan metode hashing, sehingga seharusnya data yang dipertukarkan tidak bisa diintip oleh pihak lainnya.

Hash adalah suatu metode enkripsi yang dapat mengubah data input berupa teks (misalnya password) menjadi output seperti kode acak.

Baca juga: Pemasok Apple Diserang Ransomware, Peretas Ancam Sebarkan Desain MacBook

Namun para periset asal Jerman ini mengungkapkan bahwa mekanisme hashing yang digunakan Apple ternyata lemah sehingga bisa membocorkan nomor telepon dan alamat e-mail pengguna.

"Hashing ini bisa dengan mudah dikembalikan ke bentuk teks aslinya dengan teknik sederhana seperti serangan brute force," tulis para peneliti.

Ada lebih dari 1,5 miliar perangkat Apple yang dapat terkena dampak dari celah keamanan ini. Para peneliti diketahui telah menginformasikan kerentanan tersebut kepada Apple sejak Mei 2019 lalu.

Namun, sebagaimana dihimpun KompasTekno dari PhoneArena, Senin (26/4/2021), sejauh ini belum ada pernyataan resmi dari Apple mengenai celah keamanan yang bersangkutan ataupun upaya perbaikannya.

Tim peneliti Universitas Teknik Darmstadt mengusulkan solusi bernama "PrivateDrop" sebagai ganti AirDrop di perangkat iOS dan macOS. PrivateDrop disebut mampu melakukan proses contact discovery antar perangkat tanpa perlu bertukar hash value yang rawan dijebol.