Jika Anda memiliki perangkat keras Apple, inilah waktunya untuk memperbarui perangkat lunak secara cepat. Para peneliti di The Citizen Lab telah menemukan eksploitasi zero-day yang memungkinkan peretas memasang malware di iPhone tanpa interaksi apa pun dari korban. Eksploitasi ini telah digunakan untuk mendistribusikan spyware Pegasus milik NSO Group. Untuk mengatasi kerentanan tersebut, Apple mendorong pembaruan keamanan ke iPhone, Mac, iPad, dan Apple Watch.
“Rantai eksploitasi” khusus ini memanfaatkan API PassKit Apple. Oleh karena itu, The Citizen Lab menyebutnya sebagai “BLASTPASS”, meskipun terdaftar di bawah CVE-2023-41064 dan CVE-2023-41061. Meskipun detail kotor dari BLASTPASS tidak diketahui, The Citizen Lab mengonfirmasi bahwa ini adalah eksploitasi zero-click — gambar berbahaya dikirim ke korban melalui iMessage, dan tanpa interaksi apa pun, gambar tersebut memasang malware di iPhone korban.
The Citizen Lab menemukan BLASTPASS saat menyelidiki asal usul spyware Pegasus pada perangkat pekerja “organisasi masyarakat sipil yang berbasis di Washington DC”. Seperti yang Anda ketahui, Pegasus adalah spyware tentara bayaran yang dikembangkan oleh NSO Group yang berbasis di Israel dan dijual ke organisasi pemerintah. Ini digambarkan sebagai alat anti-terorisme atau masa perang, meskipun sering digunakan untuk menargetkan para pembangkang, jurnalis, aktivis, politisi, dan orang-orang berkepentingan lainnya. Apple telah berulang kali mengkritik (dan bahkan menggugat) NSO Group karena menjual spyware ini, dan mereka menciptakan Mode Lockdown untuk melindungi calon korban Pegasus di iPhone, Mac, iPad, dan Apple Watch. (Dalam percakapan dengan The Citizen Lab, Apple mengklaim bahwa BLASTPASS tidak dapat melewati Mode Lockdown.)
Orang awam tidak perlu terlalu khawatir tentang spyware Pegasus—ini hanya digunakan untuk menargetkan “musuh” pemerintah tertentu. Dan sebagai catatan, Mode Lockdown membuat perangkat Anda hampir tidak berguna dan tidak boleh digunakan di luar keadaan ekstrem. Namun eksploitasi BLASTPASS mengkhawatirkan, karena dapat digunakan oleh peretas skala kecil untuk mendistribusikan segala bentuk malware. Memperbarui perangkat Apple Anda akan menambal BLASTPASS dan melindungi Anda dari eksploitasi tanpa klik ini.
Pada saat penulisan, tambalan ini hanya tersedia pada rilis firmware Apple generasi saat ini (iOS 16, macOS 13, dll). Versi pembaruannya adalah sebagai berikut—iOS 16.6.1, macOS 13.5.2, iPadOS 16.6.1, dan watchOS 9.6.2—jika perangkat Apple Anda tidak meminta Anda untuk memperbarui, Anda harus memicu pembaruan manual dengan masuk ke Pengaturan, mengklik “Umum”, dan memilih “Pembaruan Perangkat Lunak”.
Sumber: The Citizen Lab melalui Ars Technica