Kelemahan itu berakar pada Webkit, engine browser Open Source yang digunakan BlackBerry. Dalam sebuah kontes hacking di Kanada, kelemahan itu bisa dimanfaatkan untuk mengakses data kontak, koleksi gambar dan remote code execution.
Dikutip dari SearchSecurity, Jumat (18/3/2011), dalam kontes bernama Pwn2Own, kelemahan Webkit itu dimanfaatkan bersamaan dengan celah lainnya.
Meski bisa digunakan untuk mengakses data di penyimpanan eksternal perangkat BlackBerry, celah itu tak bisa digunakan untuk mengakses email dan data kalender.
Kelemahan itu memang bukan pada Javascript, namun untuk mengeksploitasinya butuh Java. Sehingga, salah satu cara untuk menghindari celah itu adalah mematikan Javascript pada browser BlackBerry.
Sistem operasi yang terpengaruh celah ini adalah BlackBerry Device Software version 6.0 ke atas.
Di Pwn2Own, perangkat yang dibobol adalah BlackBerry Torch 9800. Selain itu, di hari yang sama, peserta berhasil membobol iPhone 4.
Di situs resminya, Research In Motion (RIM) mengklasifikasi celah ini dengan angka Common Vulnerability Scoring System (CVSS) 6.8 (dari skala 1-10). RIM menegaskan, belum ada bukti bahwa celah ini telah bisa dimanfaatkan oleh pihak lain di luar acara Pwn2Own.
Hal lain yang dianggap sensitip adalah metode penyaringan konten.
Metode penyaringan konten yang dilakukan Research In Motion disinyalir memiliki dampak negatif yang cukup membahayakan, yakni pencurian data situs yang diakses melalui browser BlackBerry.
RIM memanfaatkan DNS Nawala untuk melakukan penyaringan situs yang diakses melalui BlackBerry. Namun dikhawatirkan cara tersebut bisa dimanfaatkan dedemit maya untuk melakukan kejahatan, semisal pencurian data.
"Kalau ada hacker yang berhasil menghack DNS Nawala, maka semua data bisa saja diambil. Misalnya username dan password, entah itu akun internet banking atau lainnya," ujar Irvan Nasrun, praktisi internet dan Ketua Bidang Domain Asosiasi Penyelenggara Jasa Internet Indonesia (APJII).
Adapun metode yang digunakan RIM dalam melakukan filtering situs porno menggunakan DNS Nawala yakni DNS Spoofing, mengalihkan IP dari suatu web ke lokasi lain. Meski sudah menerapkan sistem keamanan berlapis, namun tetap saja pengguna masih khawatir sejauh mana Nawala bisa bertahan.
"Sistem keamanan Nawala memang sudah bagus, namun itu sebenarnya dirancang untuk warnet, bukan perusaan besar seperti RIM. Lagi pula Nawala itu kan dikembangkan oleh komunitas dengan dana terbatas, jadi sistem keamanannya tidak bisa disamakan dengan perusahaan besar.
0 comments:
Posting Komentar