Seorang pria asal New Delhi, India mendapat hadiah spesial dari Apple. Bhawuk Jain seorang developer berusia 27 tahun itu diganjar dengan hadiah sekitar Rp 1,5 miliar karena berhasil menemukan bug Zero Day di aplikasi milik Apple. Celah keamanan itu dia temukan dalam sebuah aplikasi pendaftaran member yang terhubung dengan akun Apple.
Bug tersebut kemudian diberi nama Zero Day dan kini sudah diperbaiki oleh pihak keamanan siber Apple. Celah keamanan itu cukup fatal, karena memungkinkan orang jahat untuk bisa mengambil alih akun Apple seseorang, yang terhubung melalui aplikasi pihak ketiga seperti Dropbox, Spotify, AirBnB, dll.
Jain yang memiliki gelar sarjana dalam bidang elektronik dan telekomunikasi menemukan bug Zero Day dalam fitur “Sign in with Apple” pada sejumlah aplikasi pihak ketiga yang terhubung. Terlebih dalam bug itu sama sekali tidak ada jaminan fitur keamanan sama sekali. Sehingga orang jahat bisa mengambil alih akun Apple, tanpa harus tahu sama sekali identitas dari pemilik akun.
Bhawuk Jain sendiri saat ini adalah seorang developer yang sangat tertarik pada perburuan bug di aplikasi-aplikasi mobile ternama. Dia berharap bisa menjadikan internet sebagai tempat yang aman bagi banyak penggunanya.
Fitur Sign in with Apple sendiri merupakan fitur autentikasi yang menghubungkan akun Apple pada sejumlah aplikasi pihak ketiga, untuk memudahkan proses pendaftaran member. Fitur itu terhitung masih cukup muda, karena baru diluncurkan pada tahun 2019 lalu.
Bagaimana Bug Zero Day Bisa Muncul
Jain menjelaskan jika fitur Sign in with Apple konsep kerjanya persis dengan ‘OAuth 2.0’. Ada dua cara yang memungkinan pengguna untuk melakukan autentikasi, yakni menggunakan JSon Web Token (JWT) atau sebuah kode yang di generate secara otomatis oleh server milik Apple.
Selama proses autentikasi itu, Apple memberikan pilihan kepada pengguna untuk membagikan email ID Apple kepada aplikasi pihak ketiga atau tidak. Jika kemudian pengguna memilih untuk tidak menggunakan, maka Apple akan memberikan kode yang sudah ter-enkripsi.
Selanjutnya ketika proses autentikasi selesai, Apple akan menggenerate JWT yang berisi email Apple, kemudian menjadikannya sebuah token yang divalidasi oleh Apple Public Key. Jika proses validasi berhasil, maka proses autentikasi itu akan dinyatakan valid.
Dari situlah bug Zero Day itu bisa muncul. Attacker bisa memalsukan JWT dengan email apapun dan bisa masuk ke akun korban. Tentunya, bug ini benar-benar sangat krusial, karena banyak sekali pengembang aplikasi yang telah menggunakan fitur Sign in with Apple untuk mendukung fitur social login mereka. [br/tn]
Editor: Muchammad Zakaria
Download berbagai jenis aplikasi terbaru, mulai dari aplikasi windows, android, driver dan sistem operasi secara gratis hanya di Nesabamedia.com: