Skip to main content

Celah Pengamanan Mail Client Bawaan iOS 8.3

Kabar kurang menyenangkan terpaksa kami sampaikan kepada para pengguna iOS 8.3. Ada celah pengamanan yang terdeteksi pada aplikasi mail client bawaan iOS. Celah pengamanan ini memungkinkan penyerang untuk
  1. Menguasai iCloud korban
  2. Berlaku seolah-olah korban dan melakukan pengiriman e-mail ke kontak dari korban untuk mencari korban berikutnya atau untuk kepentingan lain.

Celah pengamanan ini diketemukan oleh peneliti pengamanan, Jan Souček, Januari tahun ini (2015). Menurutnya bug yang dia ketemukan pada iOS 8.3 ini masih memungkinan untuk menjalankan external HTML dan css code sederhana sebagai password 'collector', meskipun JavaScrpt telah dinontaktifkan. Bug ini telah dilaporkan kepada Apple semenjak Januari (saat dia ketemukan) namun belum ada perbaikan hingga sekarang.
Celah ini mengindikasikan Apple telah mengabaikan (ignored) beberapa baris kunci pada incoming mail, sehingga iOS device bisa menjalankan embedded code. HTML code ini meniru secara meyakinkan message box yang menanyakan username dan password dari iCloud. Sebenarnya ini adalah message box palsu dan bisa diabaikan, namun umumnya orang akan tunduk/mengikuti maunya (yang dianggap dari) aplikasi begitu saja tanpa rasa curiga. Karena password telah dikuasai, melalui celah pengamanan ini, seorang penyerang bisa beraksi secara meyakinkan untuk melakukan phising (berpura-pura sebagai pemilik akun) untuk melakukan penipuan (scamming) dalam rangka mencari target berikutnya.

Tidak jelas, mengapa Apple tidak cepat tanggap terhadap laporan ini. Setelah 6 bulan berlalu, belum ada langkah jelas dari Apple untuk melakukan patch terhadap celah ini. Hal ini membuat Jan Souček merasa tidak puas sehingga dia kemudian mengupload code malware itu ke public untuk mendukung social engineering awareness sehingga orang lebih berhati-hati dalam menggunakan iOS device mereka. Meskipun hal ini bagi saya adalah pedang bermata dua. Dimana bila Apple tidak segera menerbitkan patchnya, maka justeru akan semakin banyak orang yang menggunakan celah ini untuk kepentingan mereka, disamping semakin banyak pula orang yang lebih berhati-hati.

Hal hal yang disarankan karena adanya celah pengamanan ini adalah:
  1. Jangan menggunakan e-mail client bawaan dari IOS 8.3
  2. Lebih berhati-hati untuk menginput nama user dan password yang ditanyakan oleh message box. Yakinkan dulu bahwa itu memang berasal aseli dari device, bukan merupakan kode asing.(HAR/110615)
Proof of Concept celah pengamanan iOS 8.3 


Sumber:
http://www.effecthacking.com/2015/06/ios-mail-app-flaw.html
http://www.idownloadblog.com/2015/06/10/ios-mail-icloud-spoof/
Labels:

Popular posts from this blog

Awal Perjalanan

Jalan di dusun Pedhudutan pagi ini masih sangat sepi. Meskipun adzan Shubuh telah berkumandang, dan jama’ah Shubuh telah kembali dari langgar, namun aktifitas penduduk masih belum terlihat bergeliat. Hanya beberapa penduduk yang terlihat telah mendahului pergi ke pasar menjemput pagi. Menjemput rezeki pagi ini. Wadasputih, lintasan pegunungan yang melingkupi dusun Pohkumbang, masih nampak hitam di ujung timur seakan mencanda mentari agar tetap dalam peraduannya meski semburat tangan sinarnya telah menggapai awan yang masih malas-malasan di atas sana. Padepokan Gagak Wulung, pagi ini, terasa sangat sepi. Tidak seperti hari-hari sebelumnya. Tidak ada suara cantrik mengalunkan pesan-pesan ilahi, maupun yang gladen, olah kanuragan. Bahkan dapur-dapur padepokan yang biasanya diisi oleh para simbok, istri-istri cantrik senior maupun para cantrik perempuan, pagi ini sepi. Hanya ada sedikit sisa asap pedhangan bekas menanak nasi tadi, sebelum subuhan. Semua cantrik berkumpul di depan pendo...
Read more

Analisis Interaktif Kerentanan PHP

Dasbor Analisis Kerentanan PHP 2025 Analisis Interaktif Kerentanan PHP CVE-2025-1735 (pgsql) & CVE-2025-6491 (SOAP) CVE-2025-1735 CVE-2025-6491 Ringkasan CVE-2025-1735: Ekstensi `pgsql` Kerentanan ini berasal dari penanganan kesalahan yang tidak memadai dalam ekstensi PostgreSQL PHP, yang berpotensi menyebabkan Injeksi SQL dan Penolakan Layanan (DoS). Bagian ini memvisualisasikan data kunci untuk memahami risikonya. Detail Kerentanan ...
Read more

Niken Landjar Sekar Kenongo

Model: Naziyah Mahmood Credit: ada-arts13 "Ndhuk, lihat, perhatikan, pikirkan dan berundinglah dengan hati dan akal sehatmu. Semua ajar yang pernah Bopo berikan sudah cukup untukmu mengambil keputusan yang terbaik!" Niken Landjar Sekar Kenongo, putri kesayangan Ki Ageng Gagak Pergola dengan takzim mendengar petuah boponya. Dara cantik berkerudung hitam yang duduk berhadapan dengan Ki Ageng berujar, "Inggih Bopo! Saya akan selalu mengingat sedoyo pawiyatan kang sampun dipun wedhar déning Bopo. Benjang, enjang-enjang, dalem badhe miwiti lampah, perjalanan yang sangat jauh Bopo. Padepokan Nyi Ajar Nismara  sungguh teramat jauh, berat hati dalem untuk memulai perjalanan ini. Berat hati dalem meninggalkan bopo meski para cantrik di padhepokan ini akan selalu bersama bopo. Nyuwun pangestunipun bopo agar yang akan saya mulai besok akan bisa saya jalani dengan selamat!" Ki Ageng Gagak Pergola menarik nafas panjang. Ingatannya kembali ke masa lalu ketika anak pe...
Read more