
Apple telah menambal dua bug unik yang mungkin menyinggung pemilik iPhone dan iPad yang berorientasi pada privasi.
Yang pertama – masalah dengan fitur aksesibilitas VoiceOver Apple – dapat menyebabkan iPhone atau iPad mengumumkan kata sandi sensitif dengan lantang. Masalah lainnya – yang mempengaruhi pesan suara pada model iPhone baru – dapat merekam pengguna selama beberapa detik sebelum mereka menyadari bahwa mereka sedang direkam.
Versi sistem operasi baru tersedia untuk iOS dan iPadOS (18.0.1), memperbaiki setiap bug dengan peningkatan validasi dan pemeriksaan, masing-masing. Pengguna harus memperbarui perangkat mereka agar tidak rentan.
Michael Covington, wakil presiden strategi portofolio untuk Jamf, menyatakan, “Kabar baiknya adalah bahwa tidak satu pun dari isu-isu yang disorot ini melibatkan eksploitasi jarak jauh. Faktanya, isu-isu tersebut adalah masalah yang akan muncul dengan penggunaan perangkat, dan privasi penggunalah yang menjadi perhatian. pada akhirnya beresiko.”
Namun, ia mengatakan bahwa “untuk bisnis yang menggunakan ponsel dalam kapasitas apa pun untuk bekerja, saya menyarankan agar mereka memperhatikan baik-baik masalah keamanan tersebut dan mengambil tindakan yang tepat untuk memperbarui perangkat sesegera mungkin.”
Bug #1: Membaca Kata Sandi dengan Keras
Masalah pertama melibatkan VoiceOver, fitur aksesibilitas yang memberikan deskripsi suara kepada pengguna tunanetra tentang berbagai elemen di layar mereka — teks, tombol, gambar, dll. VoiceOver juga memungkinkan pengguna menavigasi perangkat mereka menggunakan perintah suara dan gerakan.
Mungkin tidak semua yang ada di perangkat harus dibacakan, seperti kata sandi. Bulan lalu, sebagai bagian dari iOS dan iPadOS 18, Apple merilis aplikasi baru, “Kata Sandi”, yang memungkinkan pengguna menyimpan dan mengelola login dengan mudah di perangkat mereka. CVE-2024-44204 adalah masalah logika yang memungkinkan VoiceOver membacakan kata sandi pengguna tersebut. Ini pada dasarnya memengaruhi setiap model iPhone dan iPad yang dirilis sejak 2018.
VoiceOver dinonaktifkan secara default, artinya hanya pengguna iPhone tertentu yang berpotensi terpengaruh.
Covington mencatat, “Ini bukan pertama kalinya kami melihat fitur aksesibilitas disalahgunakan. Contoh sebelumnya termasuk teknologi pembaca layar yang digunakan oleh aplikasi yang berperilaku buruk untuk menangkap detail di layar dan mengambil data dari perangkat. Untungnya, sebagian besar fitur aksesibilitas mengalami proses ekstensif pengujian keamanan dan privasi, sehingga skenario ini cenderung tidak sering muncul.”
Bug #2: Memulai Pesan Audio Terlalu Dini
Jika pengguna iPhone sedang bepergian, memiliki banyak hal untuk dikatakan, atau mungkin hanya merasa lelah, mereka mungkin memilih untuk merekam pesan audio di iMessagebukan teks biasa. Setelah mereka menekan tanda tambah di sisi kiri kotak pesan dan memilih “Audio”, perangkat akan menunjukkan bahwa perangkat telah mulai merekam dengan gelombang suara yang disorot merah sebagai pengganti kotak pesan, dan titik oranye kecil di kotak pesan. Pulau Dinamis seukuran pil di bagian atas layar.
Seorang peneliti keamanan baru-baru ini menemukan bahwa pesan audio dapat menangkap audio selama beberapa detik sebelum pengguna diberi tahu bahwa mikrofon mereka panas. Masalah ini diberi label CVE-2024-44207, dan memengaruhi semua model iPhone 16 baru.
Meskipun tampaknya – dan, dalam banyak kasus, akan menjadi – masalah yang relatif kecil, Covington menunjukkan, “keterputusan antara fungsi perangkat dan indikator visual terkait adalah sesuatu yang telah dihubungkan dengan tim riset ancaman Jamf. teknik persistensi yang digunakan oleh penyerang untuk mempertahankan kehadiran di perangkat setelah eksploitasi berhasil. Mengatasi bug ini sebelum disalahgunakan adalah kemenangan besar bagi Apple.”
Baik kerentanan VoiceOver maupun pesan audio belum menerima peringkat dalam Sistem Penilaian Kerentanan Umum (CVSS), dan rincian lebih lanjut juga tidak dipublikasikan saat ini.