Apple Shortcuts adalah aplikasi otomatisasi yang kuat untuk perangkat macOS dan iOS, yang memungkinkan pengguna membuat alur kerja pribadi untuk menyederhanakan tugas dan meningkatkan produktivitas. Dengan antarmuka yang intuitif, Shortcuts memungkinkan pengguna mengotomatiskan berbagai macam tindakan, mulai dari tugas sederhana seperti mengirim pesan hingga operasi kompleks yang melibatkan beberapa aplikasi. Dengan menggunakan pendekatan pemrograman visual, pengguna dapat menggabungkan berbagai tindakan bawaan dan kustom untuk membuat urutan rumit yang disesuaikan dengan kebutuhan mereka.
.
Namun, aplikasi yang berguna ini ternyata memiliki kerentanan kritis yang dapat membahayakan privasi pengguna. Menurut laporan Bitdefender, ada celah keamanan di Apple Shortcuts yang memungkinkan penyerang potensial mengakses data sensitif dengan tindakan tertentu tanpa meminta izin pengguna. Kerentanan ini dinilai 7,5 dari 10 dan memengaruhi perangkat Mac OS dan iOS yang menjalankan versi sebelum macOS Sonoma 14.3 dan versi sebelum iOS 17.3 dan iPadOS 17.3, masing-masing. Kerentanan ini telah dilaporkan secara bertanggung jawab dan sekarang telah diperbaiki. Pembaruan perangkat lunak telah tersedia untuk pengguna yang terdampak.
Namun, aplikasi yang berguna ini ternyata memiliki kerentanan kritis yang dapat membahayakan privasi pengguna. Menurut laporan Bitdefender, ada celah keamanan di Apple Shortcuts yang memungkinkan penyerang potensial mengakses data sensitif dengan tindakan tertentu tanpa meminta izin pengguna. Kerentanan ini dinilai 7,5 dari 10 dan memengaruhi perangkat Mac OS dan iOS yang menjalankan versi sebelum macOS Sonoma 14.3 dan versi sebelum iOS 17.3 dan iPadOS 17.3, masing-masing. Kerentanan ini telah dilaporkan secara bertanggung jawab dan sekarang telah diperbaiki. Pembaruan perangkat lunak telah tersedia untuk pengguna yang terdampak.
.
Bagaimana Kerentanan Ini Bekerja?
Bagaimana Kerentanan Ini Bekerja?
Shortcuts didistribusikan melalui berbagai saluran, dan Apple memiliki galeri tempat pengguna dapat menemukan alur kerja otomatisasi untuk mempercepat tugas. Selain itu, Shortcuts dapat diekspor dan dibagikan di antara pengguna, praktik umum di komunitas Shortcuts. Mekanisme berbagi ini memperluas jangkauan potensial kerentanan, karena pengguna tanpa sadar mengimpor shortcut yang mungkin mengeksploitasi kerentanan ini.
.
Shortcuts seharusnya tunduk pada beberapa aturan yang ditetapkan oleh Apple. Misalnya, mereka semua seharusnya mematuhi Transparansi, Persetujuan, dan Kontrol (TCC) Apple, kerangka keamanan yang “mengatur akses ke data pengguna dan sumber daya sistem yang sensitif oleh aplikasi”, kata Bitdefender. Dengan demikian, meskipun Shortcuts dapat melakukan banyak hal, ada pemeriksaan untuk menjaga privasi Anda tetap utuh.
Shortcuts seharusnya tunduk pada beberapa aturan yang ditetapkan oleh Apple. Misalnya, mereka semua seharusnya mematuhi Transparansi, Persetujuan, dan Kontrol (TCC) Apple, kerangka keamanan yang “mengatur akses ke data pengguna dan sumber daya sistem yang sensitif oleh aplikasi”, kata Bitdefender. Dengan demikian, meskipun Shortcuts dapat melakukan banyak hal, ada pemeriksaan untuk menjaga privasi Anda tetap utuh.
.
Namun, ternyata ada cara untuk mengelabui TCC dengan menggunakan fungsi “Expand URL” di Shortcuts. Fungsi ini dapat digunakan untuk mengubah URL pendek menjadi URL asli, tetapi juga dapat digunakan untuk mengirim permintaan HTTP ke situs web tertentu. Dengan cara ini, penyerang dapat menyisipkan URL jahat ke dalam Shortcuts dan menggunakannya untuk mengirim data pengguna ke situs web tersebut tanpa meminta izin pengguna.
Namun, ternyata ada cara untuk mengelabui TCC dengan menggunakan fungsi “Expand URL” di Shortcuts. Fungsi ini dapat digunakan untuk mengubah URL pendek menjadi URL asli, tetapi juga dapat digunakan untuk mengirim permintaan HTTP ke situs web tertentu. Dengan cara ini, penyerang dapat menyisipkan URL jahat ke dalam Shortcuts dan menggunakannya untuk mengirim data pengguna ke situs web tersebut tanpa meminta izin pengguna.
.
Data yang dapat dicuri oleh Shortcuts jahat ini meliputi foto, kontak, data papan klip, dan file lainnya. Data tersebut kemudian dikodekan dalam base64 dan diunggah ke situs web di mana dapat disalin dan dicuri. Video YouTube berikut menunjukkan bagaimana eksploitasi ini terlihat bagi pengguna akhir dan penyerang.
Data yang dapat dicuri oleh Shortcuts jahat ini meliputi foto, kontak, data papan klip, dan file lainnya. Data tersebut kemudian dikodekan dalam base64 dan diunggah ke situs web di mana dapat disalin dan dicuri. Video YouTube berikut menunjukkan bagaimana eksploitasi ini terlihat bagi pengguna akhir dan penyerang.
.
Bagaimana Cara Menghindari Kerentanan Ini?
Cara termudah untuk menghindari masalah dengan kerentanan ini adalah dengan memperbarui. Sistem operasi terbaru memperbaiki masalah dengan pemeriksaan izin tambahan. Perbarui ke iOS 17.3, iPadOS 17.3, atau macOS Sonoma 14.3 untuk memperbaiki kerentanan Shortcuts.
.
Selain itu, Anda juga dapat mengambil langkah-langkah pencegahan berikut untuk melindungi diri Anda dari Shortcuts jahat:
Selain itu, Anda juga dapat mengambil langkah-langkah pencegahan berikut untuk melindungi diri Anda dari Shortcuts jahat:
- Hanya unduh dan impor Shortcuts dari sumber tepercaya, seperti galeri resmi Apple atau situs web terkenal.
- Periksa ulasan dan komentar pengguna lain sebelum mengunduh atau mengimpor Shortcuts dari sumber yang tidak dikenal.
- Tinjau tindakan yang termasuk dalam Shortcuts sebelum menjalankannya, dan waspadai tindakan yang mencurigakan, seperti “Expand URL”, “Get Contents of URL”, atau “Run Script Over SSH”.
- Jangan berikan izin akses apa pun kepada Shortcuts yang tidak Anda percayai atau yang tidak memerlukan akses tersebut untuk berfungsi dengan benar.
- Gunakan solusi keamanan yang dapat mendeteksi dan mencegah aktivitas jahat di perangkat Anda, seperti Bitdefender Mobile Security untuk iOS.
.
Kesimpulan
Kesimpulan
Kerentanan Apple Shortcuts menyoroti pentingnya kewaspadaan keamanan yang berkelanjutan. Aplikasi Shortcuts, yang dirancang untuk meningkatkan otomatisasi pengguna, dapat tanpa disadari menjadi vektor potensial untuk pelanggaran privasi. Analisis ini bertujuan untuk memberikan pengguna, pengembang, dan profesional keamanan dengan wawasan tentang sifat kerentanan, dampak potensialnya, dan langkah-langkah mitigasi yang direkomendasikan.