Komputer Apple Mac dan tablet iPad berpotensi rentan terhadap kerentanan serius yang dapat mengekspos kunci kriptografi dan kata sandi pada perangkat tertentu.
Cacat pada chip seri M Apple dapat digunakan oleh peretas melalui serangan malware untuk mencuri kunci kriptografi, termasuk kunci yang mengamankan dompet mata uang kripto, menurut peneliti dari berbagai universitas.
Meskipun risiko eksploitasi di dunia nyata mungkin rendah, hal ini bukanlah sesuatu yang ingin Anda abaikan jika Anda menyimpan kripto dalam jumlah besar di dompet perangkat lunak pada Mac yang berpotensi rentan. Berikut gambaran singkat mengenai situasi ini, berdasarkan apa yang telah dilaporkan dan diungkapkan hingga saat ini.
apa masalahnya?
Peneliti mengumumkan minggu lalu bahwa mereka menemukan kerentanan kritis dalam chip seri M Apple yang digunakan di Mac dan iPad yang berpotensi memungkinkan penyerang mendapatkan akses ke kunci dan kode yang aman secara kriptografis.
Masalahnya bermuara pada teknik yang disebut “prefetching,” yang dimungkinkan oleh chip seri M milik Apple untuk mempercepat interaksi Anda dengan perangkat Anda. Dengan pengambilan awal, perangkat bertujuan untuk mempercepat interaksi dengan mengawasi aktivitas paling umum Anda dan menyimpan data di dekat Anda. Namun teknik itu rupanya kini bisa dieksploitasi.
Para peneliti mengatakan bahwa mereka mampu membuat sebuah aplikasi yang berhasil “menipu” prosesor untuk memasukkan beberapa data yang diambil sebelumnya ke dalam cache, yang kemudian dapat diakses dan digunakan oleh aplikasi tersebut untuk merekonstruksi kunci kriptografi. Ini berpotensi menjadi masalah besar.
Siapa yang berisiko?
Jika Mac atau iPad Anda memiliki prosesor Apple seri M—M1, M2, atau M3—maka perangkat Anda berpotensi rentan terhadap kerentanan ini. Prosesor M1 diluncurkan pada akhir tahun 2020 dengan MacBook Air, MacBook Pro, dan Mac Mini, dan kemudian diperluas ke desktop Mac dan bahkan tablet iPad.
Prosesor M2 dan prosesor M3 saat ini juga rentan di komputer dan tablet, dan chip M2 bahkan digunakan di dalamnya Apple Visi Pro headset. Namun dengan chip M3, prefetcher yang bergantung pada memori data yang terkena dampak kerentanan “memiliki bagian khusus yang dapat diminta oleh pengembang untuk menonaktifkan fitur tersebut,” Technica laporan, meskipun dengan tingkat kinerja tertentu yang terpukul sebagai hasilnya.
Bagaimana jika saya memiliki Mac atau iPad lama?
Jika Anda memiliki Mac lama dengan prosesor Intel, yang digunakan Apple selama bertahun-tahun sebelum mengembangkan silikonnya sendiri, Anda baik-baik saja. Chip Intel tidak terpengaruh.
Demikian pula, jika Anda memiliki iPad (lama atau baru) yang menggunakan salah satu chip seri A Apple, yang juga terdapat di iPhone perusahaan, maka tampaknya tidak ada risiko. Hanya chip M1, M2, dan M3 yang rentan karena desainnya. Chip Apple A14, A15, dan A16 dari iPhone dan iPad terbaru memang merupakan varian dari chip seri M, namun laporan penelitian dan laporan media tidak menyebut chip tersebut rentan pada tulisan ini.
Apa yang bisa saya lakukan?
Apa yang bisa kamu lakukan untuk memperbaiki masalah tersebut? Sayangnya tidak ada apa-apa. Ini adalah kerentanan tingkat chip yang berkaitan dengan arsitektur unik chip Apple. Artinya, ini bukan sesuatu yang bisa diperbaiki Apple dengan patch. Apa yang dapat dilakukan oleh pengembang aplikasi adalah menerapkan perbaikan untuk menghindari kerentanan, namun hal ini tampaknya mengakibatkan penurunan kinerja, sehingga aplikasi tersebut akan terasa jauh lebih lamban setelah diperbarui.
Yang dapat Anda lakukan untuk menghilangkan risiko, tentu saja, adalah dengan melepaskan dompet kripto apa pun yang Anda miliki dari perangkat Apple Anda yang rentan. Migrasikan perangkat tersebut ke perangkat lain, baik itu PC Windows, iPhone, ponsel Android, dll. Jangan menunggu sampai terjadi bencana.
Hal itulah yang diungkapkan oleh CEO Errata Security, Robert Graham mengatakan Nol Day penulis Kim Zetter untuk berbagi dengan pembaca: Keluarkan dompet kripto dari perangkat Anda, setidaknya untuk saat ini. “Saat ini ada orang yang berharap untuk melakukan [serangan] ini dan sedang berupaya mengatasinya, saya kira,” katanya kepada blog tersebut.
Bisakah kripto saya diambil begitu saja?
Meskipun perangkat dengan chip M1-M3 memang rentan, bukan berarti peretas bisa begitu saja mengambil dana Anda kapan saja. Biasanya Anda perlu memasang malware di perangkat Anda, lalu penyerang perlu menggunakan perangkat lunak yang dieksploitasi untuk menarik kunci pribadi dan mengakses dompet terkait.
MacOS Apple juga demikian cukup tahan terhadap malware, karena Anda harus mengizinkan aplikasi semacam itu dipasang di perangkat Anda secara manual. Mac memblokir perangkat lunak pihak ketiga yang tidak ditandatangani secara default. Namun, jika Anda adalah tipe petualang dan telah menginstal aplikasi dari pengembang yang “tidak dikenal”, Anda sebaiknya bermain aman jika Anda menggunakan perangkat M-chip yang berpotensi rentan.
Serangan semacam ini juga dapat dilakukan pada server cloud bersama yang menyimpan kunci Anda, jadi itulah vektor serangan potensial lainnya, menurut Nol Day. Serangan semacam ini juga dapat dilakukan pada situs web melalui kode Javascript, yang akan jauh lebih efektif dalam memengaruhi rata-rata pengguna—mereka tidak perlu menginstal apa pun. Tapi itu hanya teori untuk saat ini.
Kerentanan tersebut juga berpotensi digunakan untuk mendekripsi konten cookie browser web, menurut Zero Day, yang memungkinkan penyerang mendapatkan akses ke sesuatu seperti akun email—yang memungkinkan pengguna masuk ke akun sensitif.
Bagaimana dengan dompet perangkat keras?
Dompet perangkat keras seperti Ledger dan Trezor tampaknya tidak berisiko, berdasarkan laporan terkini seputar kerentanan tersebut, karena kunci pribadi harus ada di perangkat Apple Anda dengan chip M1-M3 agar dapat terkena dampaknya. Meskipun demikian, mungkin bukan ide yang buruk untuk menghindari menghubungkan dompet perangkat keras ke perangkat yang rentan, untuk berjaga-jaga.
Bagaimana dengan pertukaran terpusat?
Pertukaran terpusat seperti Coinbase menyimpan dana Anda di dompet kustodian, dan karena Anda tidak memiliki kunci pribadi di perangkat Anda, mereka tidak berisiko secara langsung. Namun, jika Anda menyimpan kata sandi akun Coinbase Anda di pengelola kata sandi yang aman secara kriptografis di perangkat Apple Anda yang rentan, Anda mungkin ingin mengubah kata sandi Anda dan tidak perbarui di dalam manajer. Lebih baik aman daripada menyesal.
Dan seperti yang disebutkan, secara teoritis penyerang mungkin saja mendekripsi kata sandi akun dari cookie browser menggunakan kerentanan ini.
Seberapa seriuskah hal ini sebenarnya?
Tidak diragukan lagi, ini adalah kerentanan yang serius—tetapi kemungkinan dampaknya terhadap rata-rata pengguna kripto tampaknya cukup rendah. Bergantung pada jenis enkripsi yang dibobol melalui kerentanan ini, diperlukan waktu sekitar satu jam untuk secara bertahap menarik cukup data dari cache untuk merekonstruksi kunci… atau paling lama 10 jam.
Hal ini tidak berarti bahwa hal ini tidak mungkin terjadi atau tidak dapat terjadi pada Anda, namun hal ini bukanlah serangan yang bersifat serangan cepat dan langsung. Anda tetap harus mengambil tindakan pencegahan untuk memastikan bahwa Anda tidak berisiko, namun jika laporannya akurat, maka sepertinya hal ini tidak akan menjadi ancaman yang meluas bagi rata-rata pengguna.
Diedit oleh Guillermo Jimenez
Tetap di atas berita crypto, dapatkan pembaruan harian di kotak masuk Anda.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://decrypt.co/223582/apple-chip-exploit-steals-crypto-what-you-need-know
