Mengkhawatirkan! 3 Juta Aplikasi iOS dan macOS Ternyata Sudah 10 Tahun Rentan Disusupi Malware
- Apple
Digital, VIVA – Dunia keamanan siber kembali dikejutkan oleh temuan terbaru yang berpotensi mengancam jutaan pengguna perangkat Apple di seluruh dunia. Sebuah laporan dari peneliti keamanan EVA Information Security mengungkap bahwa sekitar 3 juta aplikasi iOS dan macOS secara tidak sadar telah terpapar pada serangan rantai pasokan berbahaya yang berakar pada kerentanan lama dalam sistem pengelolaan dependensi populer bernama CocoaPods.
Masalah ini bahkan telah berlangsung hampir satu dekade sebelum akhirnya diperbaiki pada Oktober 2024. CocoaPods sendiri merupakan alat yang sangat banyak digunakan oleh para pengembang untuk mengelola pustaka eksternal berbasis Swift dan Objective-C.
Lewat sistem ini, aplikasi yang dikembangkan dapat secara otomatis menyertakan pembaruan dari pustaka pihak ketiga hanya dengan satu baris konfigurasi sederhana. Namun, kenyamanan tersebut ternyata menyimpan bom waktu.
Berikut ini penjelasan lengkap mengenai bagaimana jutaan aplikasi Apple bisa menjadi sasaran empuk serangan siber selama bertahun-tahun.
Tiga Kerentanan Utama dalam CocoaPods
Pertama, kerentanan CVE-2024-38367
Masalah ini berasal dari sistem verifikasi email yang tidak aman. Penyerang dapat mengeksploitasinya untuk menyisipkan kode berbahaya ke dalam pustaka atau paket open source yang digunakan dalam jutaan aplikasi. Celah ini memungkinkan manipulasi langsung terhadap distribusi kode tanpa diketahui oleh pengembang maupun pengguna.
Kedua, kerentanan CVE-2024-38368
Kerentanan ini memungkinkan aktor jahat mengambil alih kepemilikan pustaka atau pods yang sudah tidak lagi dipelihara oleh pengembang aslinya. Dengan menguasai pustaka tersebut, penyerang dapat menyebarkan kode berbahaya secara massal melalui pembaruan aplikasi yang tampaknya sah.
Ketiga, kerentanan CVE-2024-38366
Ini adalah celah paling serius karena memungkinkan eksekusi kode langsung di server utama CocoaPods, yakni server trunk. Artinya, penyerang bisa mendapatkan akses penuh ke server dan berpotensi mengubah atau menyusupi paket-paket lain yang diunduh oleh para pengembang ke dalam proyek mereka.
Potensi Dampak Serangan
Meskipun belum ditemukan bukti bahwa ketiga kerentanan ini telah dimanfaatkan secara aktif di dunia nyata, peneliti memperingatkan bahwa dampaknya bisa sangat merugikan. Informasi sensitif seperti data kartu kredit, rekam medis, hingga data pribadi pengguna bisa saja terekspos. Bahkan, serangan ini dapat dimanfaatkan untuk kejahatan berat seperti penyebaran ransomware, penipuan finansial, hingga spionase korporasi.
Dampaknya bukan hanya pada individu pengguna, tetapi juga bisa menyeret perusahaan pengembang ke dalam masalah hukum serta merusak reputasi mereka secara global.
Langkah Pencegahan yang Disarankan
Sebagai bentuk mitigasi, peneliti EVA Information Security mendorong para pengembang untuk segera melakukan hal-hal berikut:
Memperbarui file podfile.lock secara berkala agar selalu mendapat versi pustaka yang paling aman
Melakukan validasi checksum atau CRC terhadap pustaka yang digunakan dari CocoaPods
Menjalankan audit keamanan secara menyeluruh terhadap semua kode dan pustaka pihak ketiga yang digunakan dalam aplikasi
Menghapus dependensi yang tidak lagi digunakan dan memastikan semua pustaka aktif masih dikelola dengan baik oleh komunitas atau pengembang aslinya
Peringatan Keras bagi Komunitas Developer
Temuan ini menjadi pengingat penting bagi komunitas pengembang perangkat lunak bahwa keamanan tidak boleh dianggap enteng, terutama ketika menggunakan dependensi open source yang dikelola pihak ketiga. Kerap kali, kerentanan seperti ini tersembunyi di balik kenyamanan dan efisiensi yang ditawarkan oleh sistem otomatisasi modern.
Dengan makin meningkatnya kompleksitas dalam ekosistem pengembangan aplikasi, tanggung jawab untuk menjaga integritas kode juga harus meningkat. Pengembang, perusahaan teknologi, dan penyedia layanan pihak ketiga perlu memperkuat kolaborasi demi membangun ekosistem digital yang lebih aman.
