Teknik peretasan iPhone kerap digambarkan bak hewan langka yang sulit ditemui: Para peretas menggunakannya dengan begitu tersembunyi dan hati-hati terhadap target-target terpilih yang jumlahnya terbatas, sehingga sangat jarang terlihat di alam bebas. Namun, belakangan ini, serangkaian kampanye spionase dan kejahatan siber justru menggunakan alat-alat pengambilalihan ponsel yang sama, yang disisipkan dalam situs web terinfeksi, untuk meretas ribuan ponsel secara serampangan. Satu teknik baru khususnya—yang mampu mengambil alih ratusan juta perangkat iOS—telah muncul di web dalam bentuk yang mudah digunakan kembali, membahayakan bagian signifikan dari pengguna iPhone di dunia.
Peneliti dari Google serta perusahaan keamanan siber iVerify dan Lookout pada Rabu secara bersama mengungkap penemuan teknik peretasan iPhone canggih bernama DarkSword yang mereka temukan digunakan di situs web terinfeksi, mampu meretas perangkat iOS yang mengunjungi situs tersebut secara instan dan diam-diam. Meski teknik ini tidak memengaruhi versi iOS terbaru yang telah diperbarui, ia bekerja pada perangkat iOS yang menjalankan rilis sistem operasi sebelumnya Apple, iOS 18, yang hingga bulan lalu masih digunakan oleh hampir seperempat pengguna iPhone, menurut data Apple sendiri.
“Sejumlah besar pengguna iOS bisa saja mengalami pencurian seluruh data pribadi mereka hanya karena mengunjungi sebuah situs web populer,” ujar Rocky Cole, salah satu pendiri dan CEO iVerify. “Ratusan juta orang yang masih menggunakan perangkat Apple lama atau versi sistem operasi lawas tetap rentan.”
Kampanye peretasan iPhone yang menggunakan DarkSword terungkap hanya dua pekan setelah pengungkapan perangkat peretasan lain yang lebih canggih dan lengkap bernama Coruna, yang ditemukan digunakan oleh apa yang dideskripsikan Google sebagai kelompok spionase didukung negara Rusia serta kelompok peretas lain. Meski DarkSword tampaknya dibuat oleh pengembang berbeda dari Coruna, para peneliti menemukan bahwa alat ini digunakan oleh mata-mata Rusia yang sama. Seperti Coruna, ia juga disisipkan dalam komponen situs web Ukraina yang sah, termasuk portal berita daring dan situs lembaga pemerintah, untuk mengumpulkan data dari ponsel pengunjung.
Namun yang tak kalah mencemaskan, menurut Matthias Frielingsdorf, salah satu pendiri dan peneliti iVerify, adalah bahwa para peretas yang menjalankan kampanye spionase itu meninggalkan kode DarkSword utuh dan tidak tersamarkan—lengkap dengan komentar penjelas dalam bahasa Inggris yang mendeskripsikan setiap komponen dan mencantumkan nama “DarkSword” untuk alat tersebut—tersedia di situs-situs itu untuk diakses dan digunakan ulang oleh siapa saja. Kecerobohan itu, katanya, praktis mengundang kelompok peretas lain untuk mengadopsinya dan menargetkan pengguna iPhone lain. “Siapa pun yang secara manual mengambil semua bagian berbeda dari eksploit itu bisa menempatkannya di server web mereka sendiri dan mulai menginfeksi ponsel. Sesederhana itu,” kata Frielingsdorf. “Semuanya terdokumentasi dengan baik pula. Ini terlalu mudah.”
WIRED menghubungi Apple untuk meminta tanggapan atas temuan para peneliti, tetapi perusahaan tersebut tidak memberikan komentar. Google menolak berkomentar lebih lanjut di luar postingan blog yang mereka rilis tentang temuan DarkSword.
Menurut Lookout, DarkSword dirancang untuk mencuri data dari iPhone yang rentan, termasuk kata sandi dan foto; log dari iMessage, WhatsApp, dan Telegram; riwayat peramban; data Kalender dan Catatan; bahkan data dari aplikasi Kesehatan Apple. Terlepas dari fokus spionase yang tampak dari kampanye peretasan ini, DarkSword juga mencuri kredensial dompet kripto pengguna, mengisyaratkan bahwa para peretas mungkin menjalankan bisnis sampingan yang berorientasi keuntungan dalam kejahatan siber.
Alih-alih memasang perangkat lunak mata-mata yang menetap di ponsel pengguna, DarkSword menggunakan teknik yang lebih tersembunyi yang lebih sering terlihat dalam malware “tanpa file” yang biasanya menargetkan perangkat Windows, yaitu dengan membajak proses-proses sah dalam sistem operasi iPhone untuk mencuri data. “Daripada menggunakan muatan spyware untuk menerobos sistem file dengan paksa—yang meninggalkan banyak artefak eksploitasi yang cukup mudah dideteksi—ini hanya menggunakan proses sistem sebagaimana mestinya,” kata Cole dari iVerify. “Dan ia meninggalkan jejak yang jauh lebih sedikit.”