VANCOUVER, KOMPAS.com — Di tangan hacker, iPhone 4 buatan Apple dan BlackBerry Torch buatan Research In Motion (RIM) ternyata masih bisa dijebol sistem keamanannya. Para hacker yang berpartisipasi dalam kontes Pwn2Own di Vancouver, Kanada, 9-11 Maret 2011, itu berhasil menaklukkan dua smartphone tersebut.
Tiga peneliti dengan nama Team Anon sukses menembus sistem keamanan BlackBerry Torch lewat banyak kelemahan yang ditemukan di Webkit atau mesin rendering browser bawaannya. Mereka berhasil membuktikan dapat menyusupkan program ke perangkat tersebut dengan mengeksploitasi sejumlah kelemahan itu untuk mencuri daftar kontak dan database foto.
Meski banyak kelemahan, tidak mudah menembus BlackBerry. Hal ini karena tidak ada dokumentasi untuk publik mengenai sistem operasi tersebut. Karena itu, hacker harus melakukan teknik trial and error untuk mencoba menembus.
Webkit memang salah satu bagian yang menjadi potensi sasaran empuk. BlackBerry Torch merupakan perangkat BlackBerry pertama yang menggunakan Webkit di browser-nya. Namun, browser tersebut masih belum dilengkapi address space layout randomization (ASLR) dan data execution prevention (DEP). Menurut Iozzo, meski masih dibilang ketinggalan ketimbang iPhone dari sisi keamanan, ketertutupan BlackBerry jadi hambatan tersendiri.
"Akan sulit menyerang sistemnya jika Anda tidak punya dokumentasi dan informasi apa pun," kata Iozzo.
Sementara untuk menyerang iPhone 4, hacker juga memanfaatkan kelamahan pada browser Safari versi mobile. Charlie Miller, seorang peneliti keamanan dari Independent Security Evaluators dan koleganya Dion Blazakis, berhasil menyusupkan program untuk mencuri daftar nama kontak. Ia menggunakan teknik return oriented programming (ROP) dengan mem-bypass DEP.
Target yang diserang adalah iPhone 4 yang menggunakan sistem operasi iOS 4.2. Pada versi terbaru iOS 4.3, kelemahan tersebut belum juga diperbaiki. Namun, tambahan ASLR mungkin akan sanggup menahan teknik yang digunakan untuk menyerang.
"Meski demikian, hanya perlu sedikit modifikasi untuk menembus lapisan keamanan dan perangkat tersebut masih rentan dari serangan sampai MobileSafari ditambal," kata Miller.
Ketiga peneliti, yaitu Vincenzo Iozzo, Willem Pinckaers, dan Ralf Phillip Weinmann, berhak menggondol hadiah 15.000 dollar AS dan perangkat yang ditaklukkannya itu. Hal yang sama untuk tim yang dipimpin Miller.
Sampai kontes berakhir, dua sistem lainnya, Android 2.3 yang berjalan di Samsung Nexus S dan Windows Phone 7 pada Dell Venue Pro belum dapat ditembus. Namun, hal ini bukan karena tingkat keamanannya berhasil bertahan, tetapi karena tidak ada peserta yang menjajalnya.
Untuk kontes menjebol browser, hanya Chrome 9 dan Firefox 3.6 yang bertahan dari serangan. Safari dan Internet Explorer 8 berhasil ditaklukkan hacker sejak hari pertama.
👽
2 bulan yang lalu
0 terbaik