Djawanews.com – Perusahaan asal Israel pembuat spyware Pegasus, NSO Group, telah membuat dirinya dalam kesulitan lagi. Perangkat lunak ini digunakan untuk mengintai sekelompok orang, karena nomor ponsel mereka ditemukan dalam database yang bocor.
Spyware NSO Group sudah terkenal karena memberikan pintu belakang ke ponsel entitas yang ditargetkan. Baik Android dan iPhone adalah target, tetapi yang terakhir lebih mudah untuk diawasi melalui Pegasus. Menurut sebuah laporan, eksploitasi zero-click Apple di iMessage membuat pekerjaan ini jauh lebih mudah.
Menurut laporan metodologi forensik oleh Lab Keamanan Amnesty International, iPhone Apple adalah yang paling mudah untuk diintip menggunakan perangkat lunak Pegasus. Basis data yang bocor menunjukkan bahwa iPhone yang menjalankan iOS 14.6 mengandung eksploitasi iMessage tanpa klik dan eksploitasi ini dapat digunakan untuk menginstal perangkat lunak Pegasus pada perangkat iPhone dari entitas yang ditargetkan.
Eksploitasi ini ditemukan oleh Citizen Labs sebelumnya. Hal itu dikenal sebagai KISMET dan memungkinkan instalasi perangkat lunak Pegasus untuk tujuan pengawasan lengkap. Eksploitasi telah ditambal melalui pembaruan perangkat lunak mendesak yang dirilis Apple, tetapi sepertinya eksploitasi tetap tidak aktif sampai klik nol dipecat.
Peneliti Citizen Lab Bill Marczak mengatakan bahwa Apple memiliki masalah besar dengan keamanan iMessage bahkan setelah patch, yang membawa BlastDoor Framework sebagai bagian dari pembaruan iOS 14.
Kerangka BlastDoor Apple seharusnya membuat eksploitasi tanpa klik menjadi lebih sulit, sehingga membuat pemasangan spyware Pegasus akan sulit. Namun, Kerangka BlastDoor mungkin tidak berfungsi sebagaimana mestinya.
Contoh kasus: skandal pengawasan Pegasus baru, yang melibatkan tidak hanya jurnalis terkemuka dari seluruh dunia, tetapi juga menteri dan entitas terkenal lainnya. Peneliti telah mencatat bahwa spyware yang dipasang melalui eksploitasi zero-click tidak lagi “persisten”.
Menurut Marczak, Apple hanya menggunakan sandboxing di iMessage tidak menyelesaikan apa yang idealnya dijalankan oleh BlastDoor Framework. Ini berarti bahwa properti apa pun yang dimiliki BlastDoor agak dilemahkan oleh proses sandboxing, dan bisa memberikan akses ke eksploitasi tanpa klik.
“Bagaimana dengan: “jangan secara otomatis menjalankan parsing yang sangat kompleks dan buggy pada data yang didorong orang asing ke ponsel Anda?!” kata Marczak dalam tweet.
Basis data yang bocor dari iPhone yang ditargetkan memiliki log panggilan dan Pegasus dapat mengambilnya dan menggunakan exploit di ImageIO di iOS 13 dan iOS 14 dengan mem-parsing gambar JPEG dan GIF. Marczak mengatakan bahwa ada "selusin" bug tingkat tinggi di ImageIO Apple.
Sementara itu, pihak WhatsApp telah mengecam NSO Group karena menyediakan alat yang membuat privasi menjadi aspek yang sangat tidak penting.
Tetapi pertanyaan yang lebih besar justru membayangi klaim Apple yang berulang kali menyebut jika ponsel mereka dibuat untuk melindungi privasi para penggunanya. Jika eksploitasi tanpa klik tunggal dapat memungkinkan pengawasan massal, bayangkan apa yang dapat dilakukan oleh kerentanan lainnya. Apple belum mengatakan apa-apa tentang insiden itu.