Menurut The Hacker News, pada tahun 2018 mungkin ada kebocoran data, di mana informasi pengguna layanan iCloud diungkapkan. Namun, Apple belum secara resmi mengumumkan masalah seperti itu.
Apa masalahnya?
Seorang peneliti keamanan informasi Turki, Melih Sevim, menghubungi wartawan. Dia menyatakan bahwa dia dapat mendeteksi kerentanan di iCloud, yang memungkinkannya untuk melihat beberapa data akun orang lain dalam layanan - misalnya, catatan dalam akun. Peneliti dapat mengakses data akun acak dan secara sengaja mengungkapkan informasi pengguna tertentu - untuk ini ia perlu mengetahui nomor telepon yang terkait dengan layanan.
Menurut Melikh, ia menemukan bug pada Oktober 2018 dan sudah pada November, sebagai bagian dari kebijakan pengungkapan yang bertanggung jawab, melaporkannya ke Apple, melampirkan instruksi untuk mereproduksi kesalahan dan demonstrasi video tentang penggunaan kerentanan.
Perwakilan Apple juga pada November 2018 mengatakan kepada peneliti bahwa kesalahan telah diperbaiki, tetapi mengatakan bahwa perusahaan telah menemukannya sebelum pesannya. Setelah itu, tiket langsung ditutup.
Menurut peneliti, kemungkinan kerentanan muncul karena koneksi nomor telepon yang disimpan dalam informasi pembayaran akun Apple ID Anda dengan akun iCloud Anda. Koneksi semacam itu muncul ketika menggunakan layanan pada perangkat dengan nomor yang sesuai.
Manipulasi tertentu dari peneliti memungkinkannya untuk menyimpan nomor yang terkait dengan akun lain di iCloud, dan kemudian mendapatkan akses parsial ke data akun ini.
"Misalkan nomor ponsel untuk akun abc@icloud.com adalah 12345. Jika saya memasukkan 12345 nomor ponsel di ID Apple saya, yang terdaftar di xyz@icloud.com, saya dapat melihat informasi akun abc tertentu di xyz."
Menurut peneliti, selama percobaan ia dapat mengakses catatan pengguna iCloud, yang berisi banyak informasi penting - termasuk informasi akun di rekening bank.
Karena kerentanan itu terdapat di area pengaturan iCloud untuk perangkat iOS, Apple dapat memperbaikinya di latar belakang melalui Internet. Tidak perlu merilis pembaruan iOS terpisah untuk ini.
Reaksi Apple
Melikh memberikan korespondensi kepada wartawan, di mana karyawan Tim Keamanan Apple mengkonfirmasi masalah dan melaporkan bahwa masalah tersebut sudah diperbaiki.
Dalam menanggapi surat dari The Hacker News, Apple juga mengkonfirmasi kerentanan dan mengatakan bahwa itu "diperbaiki pada November 2018," mengabaikan pertanyaan tentang berapa lama kerentanan hadir dalam sistem, perkiraan jumlah pengguna yang datanya diungkapkan, dan apakah ada bukti eksploitasi oleh peretas.
Juga minggu ini diketahui tentang bug di FaceTime, yang memungkinkan penelepon mengakses mikrofon dan kamera orang lain, bahkan jika mereka tidak menjawab panggilan. Pengembang terpaksa menonaktifkan Group FaceTime untuk melindungi pengguna.
Belakangan diketahui bahwa ibu dari remaja yang menemukan kerentanan itu
mencoba memberi tahu Apple seminggu sebelum diketahui. Tidak ada yang menanggapi pesannya di jejaring sosial dan laporan bug.
Peneliti Positive Technologies juga menemukan kerentanan dalam produk Apple. Jadi pada musim panas 2018, perusahaan
merilis pembaruan untuk macOS High Sierra 10.13.4, yang menghilangkan kerentanan dalam firmware komputer pribadi (CVE-2018-4251), ditemukan oleh Maxim Goryachy dan Mark Ermolov. Kerentanan memungkinkan mengeksploitasi kesalahan berbahaya dalam subsistem Mesin Manajemen Intel.