Telset.id, Jakarta – Apple resmi merilis update iOS dan iPadOS versi 14.4 untuk perangkat iPhone dan iPad. Kaspersky pun mengimbau pengguna untuk segera instal pembaruan ini secepat mungkin.
Kaspersky menjelaskan, update iOS versi 14.4 ditujukan untuk menambal kerentanan yang secara aktif dieksploitasi oleh para pelaku kejahatan siber.
Apple telah merilis pembaruan keamanan untuk menutup tiga kerentanan zero-day, yakni CVE-2021-1780, CVE-2021-1781, dan CVE-2021-1782.
APple meyakini terdapat pelaku kejahatan siber yang tidak disebutkan namanya telah mengeksploitasi kerentanan tersebut. Perusahaan keamanan siber global turut menyarankan semua pengguna iOS dan iPadOS untuk memperbarui sistem operasi mereka.
Celah Keamanan yang Ditemukan
CVE-2021-1780 dan CVE-2021-1781 adalah kerentanan di mesin peramban WebKit yang digunakan browser Safari. Menurut Apple, keduanya dapat menyebabkan eksekusi kode arbitrer pada perangkat yang terpengaruh.
Pengguna browser lain juga masih memerlukan pembaruan ini untuk mencegahnya. Meskipun jika sistem berisi browser lainnya, aplikasi lain dapat memanggil mesin Safari untuk penelusuran dalam aplikasi (in-app). Kerentanan mesin dalam sistem itulah yang berbahaya.
{Baca Juga: Apple Gulirkan Update iOS 14.4, Ini Daftar Fitur Barunya}
CVE-2021-1782 adalah kerentanan di kernel sistem. Apple menggambarkannya sebagai kesalahan kondisi pacu (race condition) yang berpotensi dimanfaatkan seseorang untuk meningkatkan hak istimewa suatu proses.
Menurut informasi yang ada, aktor ancaman tidak dikenal mungkin sudah memanfaatkan kerentanan tersebut. Mereka mungkin menggunakan tiga kerentanan sebagai rantai eksploitasi, namun seiring dengan penyelidikan yang sedang berlangsung.
Sementara untuk perlindungan pengguna, Apple berencana untuk menunda rilis detail selengkapnya. Basis data CVE juga masih kekurangan informasi yang akurat saat ini.
{Baca Juga: iPhone 12 dan MagSafe Bisa Ganggu Alat Pacu Jantung}
“Adalah fakta umum bahwa menginfeksi iPhone atau iPad dan melakukan rooting perangkat untuk mencegat data darinya merupakan tugas yang sangat sulit,” ujar Victor Chebyshev, analis keamanan di Kaspersky.
Namun, ada satu metode infeksi yang efektif yang disebut dengan serangan Drive-By-Download. Target hanya perlu mengunjungi halaman web yang telah dirancang khusus dan berisikan eksploit yang menggunakan kerentanan di browser untuk mengeksekusi kode si aktor ancaman.
“Ini berbahaya karena para aktor ancaman tersebut kemudian dapat mengakses data berharga pengguna di browser,” sambung Chebyshev.
Namun, skenario ini telah berkembang lebih jauh di mana muatan eksploitasi lainnya dapat dikirimkan untuk memanipulasi kerentanan di kernel OS.
{Baca Juga: DxOMark: Kamera iPhone 12 Mini Setara iPhone 12}
Ini dapat memungkinkan para aktor ancaman untuk masuk lebih dalam ke sistem dan mendapatkan akses ke seluruh data, mulai dari obrolan di aplikasi messenger dan jejaring sosial, geolokasi, riwayat panggilan, hingga surat perusahaan.
Skenario ini sangat berbahaya dan update keamanan pada sistem operasi iOS 14.4 ditujukan untuk melawan upaya tersebut.
Mengapa sangat penting untuk melakukan pembarauan sesegera mungkin? Karena para aktor ancaman cenderung menginfeksi platform web populer dengan audiens yang besar untuk serangan semacam ini.
“Sehingga kemungkinan untuk jatuh ke dalam perangkap dan skenario tersebut sangat tinggi. Dan semakin tinggi, semakin besar kemungkinan Anda atau orang terdekat Anda akan terpengaruh,” tambahnya.
{Baca juga: Spesifikasi dan Harga HP Apple Terbaru}
Segera update iPhone apa pun yang mendukungnya ke iOS atau iPadOS 14.4. Menurut situs web Apple, pembaruan telah tersedia untuk iPhone 6s dan versi terbaru, iPad Air 2 dan versi terbaru, iPad mini 4 dan versi terbaru, dan iPod touch generasi ke-tujuh.
Jika perangkat Anda berusia lebih lama dan tidak mendukung iOS atau iPadOS versi 14.4, instal browser lain sebagai alternatif dari Safari, dan jadikan itu sebagai browser default.
Misalnya, mulai dengan iOS 11, Anda dapat menggunakan Firefox atau DuckDuckGo, dan mulai dengan iOS 12, Anda juga dapat memilih Google Chrome. (HR/MF)
