Credit image: Freepix
Pengguna iPhone kebal serangan siber. Pola pikir ini banyak dianut oleh pengguna smartphone keluaran Apple ini di belahan dunia manapun. Tapi benarkah demikian? Mari kita bahas.
Harus diakui kontrol Apple atas perangkat dan ekosistem aplikasinya memang secara historis ketat, dengan pendekatannya yang ketat memberikan lebih sedikit peluang bagi peretas untuk menemukan titik lemah.
Ada juga berbagai fitur keamanan bawaan seperti enkripsi dan kontainerisasi yang kuat, yang terakhir membantu mencegah kebocoran data dan membatasi penyebaran malware. Dan login berbasis kunci sandi dan berbagai pengaturan privasi secara default juga membantu.
Salah satu keuntungan keamanan terbesar dari ekosistem iOS adalah fakta bahwa aplikasi biasanya bersumber dari App Store resmi Apple dan harus lulus berbagai pengujian ketat agar disetujui untuk didaftarkan.
Hal ini sebagian besar mengekang risiko aplikasi yang berbahaya, berisiko, dan tidak aman. Namun, ini tidak menghilangkan risiko sepenuhnya.
|
Baca juga: iPhone Bisa Diretas |
Undang-undang Antimonopoli
Selain itu, segala macam penipuan sehari-hari dan ancaman lainnya membombardir tidak hanya pengguna Android, tetapi juga pengguna iOS. Beberapa lebih umum daripada yang lain, tetapi semuanya menuntut perhatian.
Yang semakin memperkeruh keadaan, mengingat undang-undang antimonopoli Uni Eropa yang dikenal sebagai Digital Markets Act (DMA), Apple harus mengizinkan:
- Pengembang untuk menawarkan aplikasi iOS kepada pengguna melalui pasar non-App Store. Hal ini dapat meningkatkan kemungkinan pengguna mengunduh aplikasi berbahaya. Bahkan aplikasi yang sah mungkin tidak diperbarui sesering aplikasi App Store resmi.
- Mesin peramban pihak ketiga, yang mungkin menawarkan peluang baru untuk serangan yang tidak dimiliki mesin WebKit Apple (centang).
- Produsen perangkat pihak ketiga dan pengembang aplikasi untuk mengakses berbagai fitur konektivitas iOS, seperti konektivitas Wi-Fi peer-to-peer dan pemasangan perangkat. Raksasa teknologi tersebut berpendapat bahwa ini berarti mereka mungkin terpaksa mengirim data pengguna yang sensitif termasuk pemberitahuan yang berisi pesan pribadi, detail jaringan Wi-Fi, atau kode satu kali, kepada pengembang ini. Secara teoritis, mereka dapat menggunakan informasi tersebut untuk melacak pengguna, demikian peringatannya.
Di mana lagi ancaman iOS mengintai
Meskipun hal di atas mungkin “hanya” memengaruhi warga negara Uni Eropa, ada juga masalah lain yang mungkin lebih mendesak bagi pengguna iOS di seluruh dunia. Ini termasuk:
Perangkat yang di-jailbreak
Jika Anda sengaja membuka kunci perangkat untuk mengizinkan apa yang disebut Apple sebagai “modifikasi tidak sah”, hal itu dapat melanggar Perjanjian Lisensi Perangkat Lunak dan dapat menonaktifkan beberapa fitur keamanan bawaan seperti Secure Boot dan Data Execution Prevention.
Ini juga berarti perangkat Anda tidak lagi menerima pembaruan otomatis. Dan dengan dapat mengunduh aplikasi dari luar App Store, Anda akan terpapar pada perangkat lunak berbahaya dan/atau bermasalah.
Aplikasi berbahaya
Meskipun Apple melakukan pekerjaan yang baik dalam memeriksa aplikasi, itu tidak selalu berhasil 100%. Aplikasi berbahaya yang terdeteksi di App Store baru-baru ini meliputi:
- Versi palsu pengelola kata sandi LastPass yang dirancang untuk mengumpulkan kredensial
- Malware pembaca tangkapan layar yang dijuluki “SparkCat”, yang disamarkan dalam aplikasi AI dan pengiriman makanan
- Aplikasi dompet kripto palsu berjudul “Rabby Wallet & Crypto Solution”
|
Baca juga: Penipuan iPhone 11 Rajai Media Sosial |
Unduhan aplikasi berbasis situs web
Anda juga perlu berhati-hati mengunduh aplikasi iOS langsung dari situs web dengan browser yang didukung. Seperti yang dijelaskan secara rinci dalam Laporan Ancaman terbaru ESET, Aplikasi Web Progresif (PWA) memungkinkan penginstalan langsung tanpa mengharuskan pengguna memberikan izin eksplisit, yang berarti unduhan dapat luput dari perhatian. ESET menemukan teknik ini digunakan untuk menyamarkan malware perbankan sebagai aplikasi perbankan seluler yang sah.
Phising/Sosial Engineering
Serangan phising melalui email, teks (atau iMessage), dan bahkan suara merupakan kejadian umum. Serangan ini meniru merek yang sah dan mengelabui Anda agar menyerahkan kredensial atau mengeklik tautan berbahaya/membuka lampiran untuk memicu unduhan malware.
ID Apple merupakan salah satu login yang paling berharga karena dapat memberikan akses ke semua data yang tersimpan di akun iCloud Anda dan/atau memungkinkan penyerang melakukan pembelian iTunes/App Store. Waspadai:
- Pop-up palsu yang mengklaim perangkat Anda memiliki masalah keamanan
- Panggilan telepon penipuan dan panggilan FaceTime yang menyamar sebagai Dukungan Apple atau organisasi mitra
- Promosi palsu yang menawarkan hadiah dan undian berhadiah
- Spam undangan kalender yang berisi tautan phising
Situs web penipuan iOS
Dalam satu kampanye yang sangat canggih, pelaku ancaman menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar mengunduh profil manajemen perangkat seluler (MDM), yang memberi mereka kendali atas perangkat korban.
Dengan ini, mereka menyebarkan malware GoldPickaxe yang dirancang untuk mengumpulkan data biometrik wajah dan menggunakannya untuk melewati login perbankan.
Risiko Wi-Fi publik
Jika Anda menghubungkan iPhone ke hotspot Wi-Fi publik, berhati-hatilah. Itu mungkin hotspot palsu yang dibuat oleh pelaku ancaman yang dirancang untuk memantau lalu lintas web, dan mencuri informasi sensitif yang Anda masukkan seperti kata sandi perbankan.
Meskipun hotspot itu sah, banyak yang tidak mengenkripsi data saat transit, yang berarti bahwa peretas dengan alat yang tepat dapat melihat situs web yang Anda kunjungi dan kredensial yang Anda masukkan.
Di sinilah VPN berguna, menciptakan terowongan terenkripsi antara perangkat Anda dan internet.
|
Baca juga: Tips Mencadangkan Data Berlapis untuk iPhone dan Android |
Eksploitasi kerentanan
Meskipun Apple mencurahkan banyak waktu dan upaya untuk memastikan kodenya bebas dari kerentanan, bug terkadang dapat menyusup ke dalam produksi. Ketika hal itu terjadi, peretas dapat menerkam jika pengguna belum memperbarui perangkat mereka tepat waktu, misalnya, dengan mengirimkan tautan berbahaya dalam pesan yang memicu eksploitasi jika diklik.
Tahun lalu, Apple terpaksa menambal kerentanan yang dapat memungkinkan pelaku ancaman mencuri informasi dari perangkat yang terkunci melalui perintah suara Siri
Terkadang pelaku ancaman dan perusahaan komersial sendiri meneliti kerentanan baru (zero day) untuk dieksploitasi. Meskipun jarang dan sangat tertarget, serangan yang memanfaatkan ini sering digunakan untuk secara diam-diam memasang spyware untuk menguping perangkat korban
Tetap Aman dari Ancaman iOS
Ini mungkin tampak seperti ada malware yang mengintai di setiap sudut bagi pengguna iOS. Itu mungkin benar, sampai pada titik tertentu, tetapi ada banyak hal yang dapat dilakukan untuk meminimalkan risiko Anda terhadap ancaman. Berikut ini beberapa taktik utama:
Pastikan iOS dan semua aplikasi Anda selalu diperbarui. Ini akan memperkecil peluang bagi pelaku kejahatan siber untuk mengeksploitasi kerentanan apa pun di versi lama guna mencapai tujuan mereka.
Selalu gunakan kata sandi yang kuat dan unik untuk semua akun, mungkin menggunakan pengelola kata sandi ESET untuk iOS, dan aktifkan autentikasi multifaktor jika tersedia. Ini mudah dilakukan di iPhone karena memerlukan pemindaian Face ID sederhana. Ini akan memastikan bahwa, meskipun orang jahat berhasil mendapatkan kata sandi Anda, mereka tidak akan dapat mengakses aplikasi Anda tanpa wajah Anda.
Sumber berita:
