Pornografi dan Judi Secara Terbuka Rambah Program Apple 'Enterprise'
Rabu, 13 Februari 2019 - 18:33 WIB
Pornografi dan Judi Secara Terbuka Rambah Program Apple 'Enterprise'
A
A
A
CUPERTINO - Facebook dan Google diduga secara terbuka menyalahgunakan program Apple Enterprise Certificate untuk mengakses data pribadi pengguna iPhone.
Raksasa media sosial khususnya, ungkap laman Phone Arena, Rabu (13/2/2019), menggunakan celah ini untuk mendapatkan izin root yang memungkinkan perusahaan menggali data tentang yang ada di iPhone.
Termasuk mengakses foto-video pribadi dan trafik internet. Hal ini bisa digunakan perusahaan untuk mendapatkan keunggulan kompetitif atas para pesaingnya.
Hari ini, terungkap bahwa bukan hanya Facebook dan Google yang bisa mengakses data tersebut. Ternyata puluhan aplikasi pornografi hardcore dan perjudian menggunakan celah yang sama untuk mengelak dari App Store. Lalu membawa aplikasi ke iPhone yang tidak akan pernah melewati aturan Apple sendiri.
Apple telah secara terbuka kritis terhadap pelanggaran keamanan perusahaan lain, tapi mereka terbukti memberlakukan kontrol yang buruk terhadap program Enterprise Certificate-nya sendiri. Hal ini menciptakan kemungkinkan segala macam pelanggaran yang berbeda.
Dilansir dari laman Tech Crunch, mereka menjelaskan bagaimana cara aplikasi merusak ini menginvasi ponsel para penggemar produk iPhone.
Apple menjalankan program Enterprise Certificate dengan tujuan awal untuk mendistribusikan aplikasi internal. Kebijakan program ini secara eksplisit menyatakan "Anda tidak boleh menggunakan, mendistribusikan, atau membuat Aplikasi Penggunaan Internal Anda tersedia untuk Pelanggan Anda". Apple pun dinilai telah gagal menegakkan aturannya sendiri dengan benar.
Tampaknya ada dua cara untuk mengeksploitasi program Enterprise yang digunakan. Pertama, menggunakan standar longgar Apple untuk menerima bisnis baru ke program.
Pemgembang diwajibkan mengisi formulir online dengan cara membayar Rp4,2 juta kepada Apple. Metode kedua sebenarnya membonceng pada sertifikat sah yang dikeluarkan untuk suatu perusahaan. Tidak jelas bagaimana persisnya, tapi pengembang bisa mendapatkan 'sertifikat jahat' dari perusahaan sah untuk menandatangani aplikasi terlarangnya dan membuatnya tersedia untuk publik.
Kode sertifikat tersebut kemudian dijual di berbagai pasar China. Anda dapat memiliki sertifkat ini hingga menempatkan 12 aplikasi terlarang yang membonceng satu sertifikat yang sah.
Peneliti keamanan Guardian Mobile Firewall, Will Strafach, mengatakan, semua itu bisa dengan mudah dicegah seandainya ada aturan yang lebih ketat untuk mendaftarkan bisnis di bawah program ini. Selain itu, harus ada audit yang tepat.
"Mengingat penyalahgunaan yang merajalela, seharusnya Apple dapat dengan mudah menambahkan proses verifikasi yang lebih kuat dan lebih banyak pemeriksaan ke program Sertifikat Perusahaan. Pengembang harus melakukan lebih banyak untuk membuktikan koneksi aplikasi mereka dengan pemegang Sertifikat, dan Apple harus secara teratur mengaudit sertifikat untuk. lihat jenis aplikasi apa yang mereka pakai," tutur Will.
Apple tidak tinggal diam. Mereka telah menghapus beberapa aplikasi berbahaya ini di platform-nya. Namun perusahaan belum memberikan tanggapan resmi untuk masalah ini.
Raksasa media sosial khususnya, ungkap laman Phone Arena, Rabu (13/2/2019), menggunakan celah ini untuk mendapatkan izin root yang memungkinkan perusahaan menggali data tentang yang ada di iPhone.
Termasuk mengakses foto-video pribadi dan trafik internet. Hal ini bisa digunakan perusahaan untuk mendapatkan keunggulan kompetitif atas para pesaingnya.
Hari ini, terungkap bahwa bukan hanya Facebook dan Google yang bisa mengakses data tersebut. Ternyata puluhan aplikasi pornografi hardcore dan perjudian menggunakan celah yang sama untuk mengelak dari App Store. Lalu membawa aplikasi ke iPhone yang tidak akan pernah melewati aturan Apple sendiri.
Apple telah secara terbuka kritis terhadap pelanggaran keamanan perusahaan lain, tapi mereka terbukti memberlakukan kontrol yang buruk terhadap program Enterprise Certificate-nya sendiri. Hal ini menciptakan kemungkinkan segala macam pelanggaran yang berbeda.
Dilansir dari laman Tech Crunch, mereka menjelaskan bagaimana cara aplikasi merusak ini menginvasi ponsel para penggemar produk iPhone.
Apple menjalankan program Enterprise Certificate dengan tujuan awal untuk mendistribusikan aplikasi internal. Kebijakan program ini secara eksplisit menyatakan "Anda tidak boleh menggunakan, mendistribusikan, atau membuat Aplikasi Penggunaan Internal Anda tersedia untuk Pelanggan Anda". Apple pun dinilai telah gagal menegakkan aturannya sendiri dengan benar.
Tampaknya ada dua cara untuk mengeksploitasi program Enterprise yang digunakan. Pertama, menggunakan standar longgar Apple untuk menerima bisnis baru ke program.
Pemgembang diwajibkan mengisi formulir online dengan cara membayar Rp4,2 juta kepada Apple. Metode kedua sebenarnya membonceng pada sertifikat sah yang dikeluarkan untuk suatu perusahaan. Tidak jelas bagaimana persisnya, tapi pengembang bisa mendapatkan 'sertifikat jahat' dari perusahaan sah untuk menandatangani aplikasi terlarangnya dan membuatnya tersedia untuk publik.
Kode sertifikat tersebut kemudian dijual di berbagai pasar China. Anda dapat memiliki sertifkat ini hingga menempatkan 12 aplikasi terlarang yang membonceng satu sertifikat yang sah.
Peneliti keamanan Guardian Mobile Firewall, Will Strafach, mengatakan, semua itu bisa dengan mudah dicegah seandainya ada aturan yang lebih ketat untuk mendaftarkan bisnis di bawah program ini. Selain itu, harus ada audit yang tepat.
"Mengingat penyalahgunaan yang merajalela, seharusnya Apple dapat dengan mudah menambahkan proses verifikasi yang lebih kuat dan lebih banyak pemeriksaan ke program Sertifikat Perusahaan. Pengembang harus melakukan lebih banyak untuk membuktikan koneksi aplikasi mereka dengan pemegang Sertifikat, dan Apple harus secara teratur mengaudit sertifikat untuk. lihat jenis aplikasi apa yang mereka pakai," tutur Will.
Apple tidak tinggal diam. Mereka telah menghapus beberapa aplikasi berbahaya ini di platform-nya. Namun perusahaan belum memberikan tanggapan resmi untuk masalah ini.
(mim)
