Ada Celah Keamanan, Ribuan Aplikasi iOS dan MacOS Berisiko Dibajak

KOMPAS.com - Ribuan aplikasi iPhone (iOS) dan Macbook (macOS) berisiko kena serangan hacker (peretas). Hal ini disampaikan firma keamanan siber E.V.A. Information Security (E.V.A.) dalam laporan terbaru yang dirilis awal pekan ini.

Dalam laporan itu, disebutkan bahwa ada celah keamanan (bug) yang menjangkit Cocoapods, suatu perangkat lunak (software) gratis (open source) yang biasa dipakai pengembang (developer) untuk merampungkan proses pembuatan aplikasi mereka.

Secara teknis, Cocoapods berperan sebagai dependency manager untuk berbagai aplikasi iOS dan macOS yang dibuat menggunakan bahasa pemrograman Swift atau Objective-C.

Dependency manager bisa dibilang merupakan software yang bisa membantu pengembang (developer) aplikasi menyelesaikan dua tahap vital dalam pembuatan suatu aplikasi iOS atau macOS.

Kedua tahap ini adalah validation dan cryptographic signing, dan keduanya intinya merupakan tahap untuk memverifikasi bahwa software buatan developer sudah siap untuk disebar di toko aplikasi App Store.

Baca juga: Huawei HarmonyOS Lahir 2021 karena Diblokir AS, Kini Sudah Kalahkan Apple iOS

Nah, jika ada celah keamanan dalam software dependency manager seperti apa yang ditemukan di Cocoapods di atas, maka akan ada banyak aplikasi iOS dan macOS yang terancam bisa dibajak oleh para hacker. 

Sebab, hacker bisa saja menyelipkan berbagai kode berbahaya (malicious) ke dalam paket kode pemrograman di Cocoapods, dan ini berujung pada adanya risiko celah keamanan dalam berbagai aplikasi iOS atau macOS yang mengandalkan Cocoapods.

Bagaimana hacker bisa mengeksploitasi Cocoapods? 

Evasec.io Ilustrasi alur serangan hacker melalui celah keamanan Cocoapods.

Untuk mengekspolitasi Cocoapods, hacker mengambil alih sejumlah paket kode pemrograman (libraries), atau bisa disebut sebagai "Pods", "terbengkalai" yang tersebar sejak 2014 lalu. 

Saat itu, migrasi server Cocoapods kabarnya tidak berjalan dengan sempurna, sehingga membuat banyak Pods bebas diakses siapa saja alias tidak dimiliki oleh siapapun (disebut "Orphaned Pods".

Karena bersifat open source, Cocoapods konon memiliki kelemahan dalam sistem keamanannya, sehingga aneka Pods dapat diklaim dan dieksploitasi bebas oleh para hacker.

Ketika sudah diklaim, maka beragam Pods ini, secara teori, bisa disusupi oleh aneka kode berbahaya, seperti kode-kode untuk melancarkan serangan dan pembajakan pada suatu perangkat, dalam hal ini perangkat Apple (iPhone, Macbook, dll). 

Nah, kode untuk menjalankan serangan ke perangkat-perangkat Apple tersebut disisipi lewat aplikasi yang mengandalkan Pods yang sudah disusupi kode berbahaya tadi.

Dengan kata lain, aplikasi buatan developer dan perusahaan yang menggunakan Pods terbengkalai tadi bisa saja sudah disusupi oleh para hacker, yang sebelumnya sudah memanfaatkan celah keamanan di Cocoapods sejak 2014 lalu.

Baca juga: Menanti Janji Hacker Brain Cipher Beri Kunci PDN Gratis, Sekarang atau Rabu 8,5 Tahun Lagi?

Seperti disebutkan di atas, E.V.A. menyebut ada sekitar ribuan aplikasi yang mengandalkan Orphaned Pods, dan beberapa di antaranya merupakan aplikasi populer macam Facebook, WhatsApp, TikTok, Snapchat, Netflix, dan lain sebagainya. 

Kabar baiknya, celah keamanan di Cocoapods ini diklaim sudah diperbaiki pada 2023 lalu, sehingga para pengembang aplikasi saat ini bisa menggunakan ratusan ribu Pods yang ada di Cocoapods dengan aman.

Meski demikian, para perusahaan dan pengembang aplikasi yang memakai Cocoapods sebagai dependency manager beberapa tahun belakangan disarankan melakukan pengecekan keamanan aplikasi, sebagaimana dirangkum KompasTekno dari Gizmodo, Kamis (4/7/2024). 

Hal ini perlu dilakukan supaya aplikasi mereka aman dari berbagai kode berbahaya yang mungkin saja tersemat di dalam aplikasi tersebut, sebagai efek dari penggunaan Cocoapods yang sempat memiliki celah keamanan.