Tiga peneliti dengan nama Team Anon sukses menembus sistem keamanan BlackBerry Torch lewat banyak kelemahan yang ditemukan di Webkit atau mesin rendering browser bawaannya. Mereka berhasil membuktikan dapat menyusupkan program ke perangkat tersebut dengan mengeksploitasi sejumlah kelemahan itu untuk mencuri daftar kontak dan database foto.
Meski banyak kelemahan, tidak mudah menembus BlackBerry. Hal ini karena tidak ada dokumentasi untuk publik mengenai sistem operasi tersebut. Karena itu, hacker harus melakukan teknik trial and error untuk mencoba menembus.
Webkit memang salah satu bagian yang menjadi potensi sasaran empuk. BlackBerry Torch merupakan perangkat BlackBerry pertama yang menggunakan Webkit di browser-nya. Namun, browser tersebut masih belum dilengkapi address space layout randomization (ASLR) dan data execution prevention (DEP). Menurut Iozzo, meski masih dibilang ketinggalan ketimbang iPhone dari sisi keamanan, ketertutupan BlackBerry jadi hambatan tersendiri.
"Akan sulit menyerang sistemnya jika Anda tidak punya dokumentasi dan informasi apa pun," kata Iozzo.
Sementara untuk menyerang iPhone 4, hacker juga memanfaatkan kelamahan pada browser Safari versi mobile. Charlie Miller, seorang peneliti keamanan dari Independent Security Evaluators dan koleganya Dion Blazakis, berhasil menyusupkan program untuk mencuri daftar nama kontak. Ia menggunakan teknik return oriented programming (ROP) dengan mem-bypass DEP.
Android dan WP 7 Sama-sama Beruntung
Platform Android dan Windows Phone 7 memang tak berhasil dijebol hacker dalam kontes Pwn2Own yang berlangsung di Vancouver, Kanada, 9-11 Maret 2011 lalu. Namun, hal tersebut mungkin bisa disebut keberuntungan karena tak ada hacker yang mencoba menembus keamanannya.
Satu-satunya hacker yang mendaftar tantangan untuk menjebol Windows Phone 7 di smartphone Dell Venue Pro adalah George Hotz atau geohot. Namun, ia mengundurkan diri karena mengaku akan berkonsentrasi menyelesaikan masalah hukum dengan Sony. Geohot adalah hacker yang tenar setelah menjebol keamanan PS3 dan dituntut Sony karena membeberkannya ke publik.
Sementara untuk Android 2.3 di Nexus S, satu-satunya hacker yang mendaftar adalah Jon Oberheide. Ia juga mengundurkan niatnya untuk mencoba menjebol Android. Alasannya mungkin cukup menyakitkan buat Jon Oberheide kerana kesempatan menggondol hadiah 15.000 dollar AS sebenarnya sudah di depan matanya.
Ia tak mengira kalau lolos kualifikasi untuk berpartisipasi dalam kontes berhadiah ribuan dollar AS itu. Maka, saat menemukan kelemahan pada Android sebelum kontes berlangsung, ia langsung memberitahukan kepada Google untuk mendapatkan imbalan 1.337 dollar yang dijanjikan lewat program yang memang dirancang Google. Nah, sebelum kontes berlangsung, kelemahan itu sudah diperbaiki Google.
"Saya terlalu dini melaporkan kelemahan itu kepada Google. Di samping besarnya selisih imbalan (1.337 dollar AS dari Google vs 15.000 dollar AS dari ZDI), saya sangat menyesal karena saya kira akan supersenang memenangkan Pwn2Own dengan satu kelemahan XSS," katanya di blog pribadinya.
sumber: kompas tekno
No comments:
Post a Comment