PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Apple pada awal tahun ini memperbaiki kerentanan keamanan di iOS dan macOS yang berpotensi memungkinkan penyerang mendapatkan akses tidak sah ke akun iCloud pengguna.

Diungkap pada bulan Februari oleh Thijs Alkemade, spesialis keamanan di perusahaan keamanan Computest, kelemahan tersebut terletak pada penerapan fitur biometrik TouchID (atau FaceID) Apple yang mengautentikasi pengguna untuk masuk ke situs web di Safari, khususnya yang menggunakan login ID Apple.

Setelah masalah tersebut dilaporkan ke Apple secara bertanggung jawab, perusahaan mengatasi kerentanan dalam pembaruan sisi server.

Kerentanan Otentikasi

Saat pengguna mencoba masuk ke situs web yang membutuhkan Apple ID, perintah yang akan ditampilkan untuk mengotentikasi proses masuk itu menggunakan Touch ID. Yang mana melewati proses 2FA (verifikasi dua langkah) karena sudah memanfaatkan faktor kombinasi untuk identifikasi, seperti dari perangkat dan informasi biometrik.

Bandingkan itu selama login ke domain Apple (misalnya “icloud.com”) dengan cara biasa menggunakan ID dan kata sandi, di mana situs web menyematkan iframe yang mengarah ke server validasi login Apple (“https://idmsa.apple.com”), yang menangani proses otentikasi.

(Gambar: Computest)
(Gambar: Computest)

Seperti yang diperlihatkan dalam demonstrasi video, URL iframe juga berisi dua parameter lain – “client_id” yang mengidentifikasi layanan (mis., ICloud) dan “redirect_uri” yang memiliki URL untuk pengalihan setelah verifikasi berhasil.


Namun dalam kasus di mana pengguna divalidasi menggunakan TouchID, iframe ditangani secara berbeda karena berkomunikasi dengan daemon AuthKit (akd) untuk menangani otentikasi biometrik dan kemudian mengambil token (“grant_code”) yang digunakan oleh halaman icloud.com untuk melanjutkan proses login.

Untuk melakukan ini, daemon berkomunikasi dengan API di “gsa.apple.com,” di mana ia mengirimkan detail permintaan dan dari mana ia menerima token.

Kelemahan keamanan yang ditemukan oleh Computest berada di API gsa.apple.com yang disebutkan di atas, yang secara teoritis memungkinkan penyalahgunaan domain tersebut untuk memverifikasi ID klien tanpa otentikasi.

Meskipun client_id dan redirect_uri disertakan dalam data yang dikirimkan oleh akd, itu tidak memeriksa apakah URI pengalihan cocok dengan ID klien,” kata Alkemade. “Sebaliknya, hanya ada white-list yang diterapkan oleh AKAppSSOExtension di domain. Semua domain yang diakhiri dengan apple.com, icloud.com, dan icloud.com.cn diizinkan.”

Ini berarti bahwa penyerang dapat mengeksploitasi kerentanan cross-site scripting di salah satu subdomain Apple untuk menjalankan cuplikan kode JavaScript berbahaya yang dapat memicu permintaan masuk menggunakan ID klien iCloud, dan menggunakan token untuk mendapatkan sesi di icloud.com.

Baca Juga: “Kerentanan Fitur ‘Sign in with Apple’ Memungkinkan Penyerang Mengambil Alih Akun Siapapun

Hotspot Palsu Untuk Mengambil Alih Akun iCloud

Dalam skenario terpisah, serangan dapat dilakukan dengan menyematkan JavaScript di halaman web yang ditampilkan saat menghubungkan ke jaringan Wi-Fi untuk pertama kalinya (melalui “captive.apple.com”), sehingga memungkinkan penyerang mengakses akun pengguna hanya dengan menerima permintaan TouchID dari halaman itu.

Jaringan Wi-Fi berbahaya dapat merespons dengan halaman JavaScript yang menginisiasi OAuth sebagai iCloud,” kata Alkemade. “Pengguna menerima prompt TouchID, tetapi sangat tidak jelas apa maksudnya. Jika pengguna mengotentikasi pada prompt itu, token sesi mereka akan dikirim ke situs berbahaya, memberikan penyerang sesi untuk akun mereka di iCloud.

Dengan menyiapkan hotspot palsu di lokasi pengguna berada (misalnya di bandara, hotel, atau stasiun kereta api), akan memungkinkan untuk mendapatkan akses ke sejumlah besar akun iCloud,” tambahnya.


Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.