September 29, 2022

Pada konferensi keamanan siber Black Hat USA dan peretas DEF CON di Las Vegas minggu lalu, banyak perkembangan dan pembaruan menarik dalam keamanan siber diumumkan. Peneliti keamanan menunjukkan bahwa mereka dapat melakukan jailbreak pada traktor John Deere dan membajak satelit yang dinonaktifkan, sementara perusahaan teknologi besar menemukan cara baru agar alat keamanan yang ada dapat bekerja sama.

Satu cerita menyoroti kelemahan dalam perangkat lunak sistem operasi utama: Pada tahun 2020, peneliti Belanda Thijs Alkemade menemukan kerentanan yang merusak setiap lapisan keamanan di macOS. Sudah ditambal, tetapi aplikasi lama yang berjalan di macOS mungkin masih rentan. Penelitian ini sangat menarik mengingat rilis terbaru pembaruan keamanan Apple untuk memperbaiki kelemahan yang memungkinkan peretas mengambil kendali penuh atas perangkat.

Penemuan Alkemade adalah kerentanan dalam fitur “status tersimpan” macOS. Saat mematikan Mac, Anda memiliki opsi untuk mencentang kotak yang akan membuka kembali semua aplikasi dan jendela secara otomatis saat Anda menyalakannya kembali. Ini menciptakan status sistem yang disimpan di hard drive Anda tempat sistem operasi memuat ulang aplikasi Anda. (Ini juga digunakan sebagai bagian dari “App Nap”, di mana aplikasi yang sedang digunakan ditangguhkan untuk membebaskan sumber daya sistem.)

Dengan berulang kali menggunakan teknik yang disebut “injeksi proses” terhadap fitur status tersimpan, Alkemade mampu menghindari semua perlindungan sistem yang dimiliki macOS dan mengambil alih Mac yang rentan, membaca file apa pun di disk, menginstal malware lain, dan bahkan mengaktifkan webcam tanpa pengguna mengetahui. Ini termasuk “App Sandbox” macOS, yang dirancang untuk membatasi kode berbahaya ke satu aplikasi dan menghentikan peretas agar tidak dapat menggunakan satu kerentanan (seperti ini) untuk mengambil alih seluruh sistem.

See also  Anda memiliki kekuatan untuk melindungi data Anda. Memilikinya.

Injeksi proses bekerja dengan mengelabui sistem operasi agar menjalankan kode berbahaya dengan menyamarkannya sebagai bagian dari proses lain yang diizinkan untuk dijalankan. Secara umum, ini berarti memasukkan kode berbahaya ke dalam aplikasi dan alat sistem yang memiliki banyak izin untuk mengakses sudut paling aman dari sistem operasi. Meskipun ini adalah mode serangan yang umum, hanya sedikit yang tersebar luas atau berbahaya seperti ini.

Dalam hal ini, Alkemade mampu membuat “objek serial” berbahaya—yang merupakan jenis struktur data yang umum digunakan di macOS yang dapat diubah menjadi string kode komputer mentah dan kembali lagi (ini biasanya dilakukan untuk mendapatkan data siap untuk disimpan atau dibagikan). Dia kemudian menyimpannya di sistem file macOS sehingga akan dimuat oleh fitur status tersimpan jika aplikasi yang ditargetkan sedang berjalan saat pengguna memulai sistem dimatikan. (Spesifikasi dari semua ini dibahas secara mendalam di posting blog Alkemade yang merinci eksploitasi.)

[Related: How digital bounty hunters search for software bugs—and money]

Untuk menghindari App Sandbox, Alkemade menyalahgunakan panel Buka dan Simpan macOS. Ini adalah salah satu dari sedikit proses yang dapat berjalan di dalam aplikasi Sandbox yang memungkinkannya melihat file yang tidak dapat diaksesnya. Izin panel memungkinkan Alkemade menjalankan kode berbahayanya di luar App Sandbox dan kemudian, dengan membonceng izin Utilitas Akses Beta Publik macOS untuk mendapatkan akses root (pada dasarnya, izin tingkat administrator) ke sistem.

Lapisan terakhir keamanan macOS yang harus dilewati Alkemade disebut “Perlindungan Integritas Sistem” atau SIP. Ini secara eksplisit dirancang untuk mencegah aktor jahat dengan akses root mengambil alih sistem Anda, mengontrol webcam Anda, atau mengakses file tertentu yang dilindungi. Dia dapat menyiasatinya dengan menggunakan serangan injeksi proses pada Asisten Pembaruan macOS, yang memiliki izin untuk membaca dan menulis data ke semua lokasi yang dilindungi SIP.

See also  Keamanan aplikasi berbeda-beda tergantung tempat pengunduhannya

Dengan itu, Alkemade memiliki kendali penuh atas Mac. Dia berada dalam posisi di mana dia dapat menginstal alat berbahaya apa pun—seperti keylogger dan spyware lainnya—atau mencuri data apa pun di sistem. Dan semuanya menggunakan satu kerentanan di macOS. Alkemade memberi tahu Apple pada tahun 2020 dan menerima pembayaran melalui program Bounty Keamanan Apple. Dua pembaruan untuk menambal berbagai aspek kerentanan dirilis, pada bulan April dan Oktober 2021. Dan sementara sejauh ini tidak ada bukti bahwa itu digunakan di alam liar, karena sifat serangannya, aplikasi lama (atau aplikasi yang diperbarui yang dapat diturunkan secara jahat) akan tetap rentan di masa mendatang.