Dengan perilisan iOS 7 minggu ini, komunitas keamanan telah merefleksikan dampak dari mekanisme otentikasi sidik jari baru Apple yang datang sebagai bagian dari hardware iPhone 5s, beratnya konsekuensi bagi integritas data dan privasi pribadi yang akan tergantung pada data biometrik sang pengguna.
Seperti banyak industri lainnya, Apple menyajikan teknologi di panggung gelap awal bulan ini dan mengutus Phil Shiller, senior vice president of worldwide marketing pada Apple untuk memperkenalkan logika keamanan terbaru dari Apple ini. Pesan inti Apple tidak rumit: Lebih dari setengah dari pengguna ponsel mereka yang disurvei mengaku tidak menggunakan semua jenis kode kunci pada perangkat mereka, mengutip ketidaknyamanan sebagai alasan untuk memungkinkan mereka selalu dekat dengan data mereka tanpa harus melakukan kontak fisik keamanan dengan perangkatnya. Dengan mengintegrasikan scanner ke tombol utama pada perangkat, itu direncanakan untuk meningkatkan keamanan mobile bagi para pengguna memanfaatkan apa yang digambarkan sebagai "kunci yang kita miliki kemanapun kita pergi."
Bagaimanapun ada alasan untuk berhenti sejenak dan mempertimbangkan apa artinya. Dua pernyataan yang penting untuk ditanyakan yang muncul selama pidato utama pada saat Apple memperkenalkan produk ini, pertama, Apple mengklaim bahwa data biometrik disimpan secara tidak langsung dan penyimpanan pada ponsel terbaru dapat dipercaya, dan kedua, adalah motivasi perusahaan untuk menerapkan teknologi ini sebagai teknologi terapan terbaru untuk smartphone. Bagaimana Apple menjadikan para calon pengguna iPhone 5s yakin atau percaya akan pernyataan tersebut?
Kesalahan dari Keamanan Fisik
Kunci keamanan USB baru diperkenalkan pada tahun 2000, dan salah satu ide awal untuk aplikasi mereka adalah untuk menyimpan data kriptografi dan sensitif pada mereka, yang memungkinkan informasi yang akan dihapus dari komputer saat tidak digunakan, cara ini memang efektif. Dalam hal ini, produsen perangkat telah membangun sejumlah fitur pemeriksaan, seperti lapisan chip dalam epoxy khusus untuk mencegah hackermengidentifikasi itu, serta seperangkat kuat kontrol perangkat lunak yang konon membuat mustahil untuk hacker untuk mendapatkan hak akses dari data kriptografi yang tersimpan pada chip. Satu-satunya hal yang dapat merusak data yang disimpan di dalamnya adalah dengan cara merusakkan sistem hardware yang digunakanannya.
Sama seperti keamanan fisik, keamanan software pun dapat dipotong dalam beberapa menit dengan kombinasi hardware dan software yang tersedia, seluruh file dapat dideskripsi dan dapat langsung diekspor.
Ini adalah kelemahan dalam strategi pertahanan iPhone bahwa Apple tidak dapat dengan mudah mengabaikan hal ini. Dalam menunjukkan bahwa data sidik jari pengguna akan aman karena akan disimpan dalam hash yang dienkripsi dalam prosesor, Apple membuka diri untuk jumlah yang luar biasa dari potensi kelemahan yang ditampilkan dari implementasi yang miskin dan lemah terhadap serangan pemotongan enkripsi yang sederhana. Sementara spesifik di mana celah-celah dalam jenis pertahanan akan muncul dalam waktu tambahan, penelitian dan perhatian, logika Apple bergantung pada argumen yang tidak pernah benar. Apalagi dengan perangkat keras fisik, sangat mungkin bahwa setiap dan semua perangkat keras dan kerentanan akan perangkat lunak akan sangat mudah untuk ditemukan dan dieksploitasi dalam waktu singkat.
Tentu saja, itu mungkin terjadi untuk para hacker licik yang tidak perlu bersusah payah untuk menemukan cacat dalam chip A7 ini. Pada bulan Juli, Juniper Networks menerbitkan laporan mencatat kenaikan 614 persen sejak 2012 dalam jumlah aplikasi malware di pasar ponsel yang menargetkan perangkat Android. Tentu hal ini juga dapat menyerang perangkat Apple yang bersua bahwa sistem keamanan sidik jarinya ini sangat unggul dan mampu menyimpan data secara aman. Apple mengklaim bahwa penggunaan sidik jari akan aman, data biometrik pengguna akan disimpan dalam sebuah chip yang aman, dan hanya dalam bentuk hash. Kedengarannya bagus, tapi setiap orang hanya mendapat satu set sidik jari dalam seumur hidup nya. Tidak ada yang tahu apakah nantinya di masa depan penggunaan sidik jari hanya sebagai bukti otentikasi, atau mungkin menggunakan mereka untuk keamanan perangkat akan semakin rendah dan keliru tidak peduli seberapa tekun produsen perangkat berpendapat untuk mempertahankan teori ini.
Cukup mudah untuk dibayangkan sebuah game jahat dapat menyelinap di bawah dinding Apple App Store, yang, dalam prakteknya, dapat membaca sidik jari secara langsung dan kocokan mereka ke bagian yang tidak diketahui.
Diskusi keamanan dan privasi telah berubah selama beberapa bulan terakhir. Sementara informasi semacam ini pernah akan mensyaratkan penyelidikan teoritis atau akademis dalam membalikkan hash kriptografi atau mengeksploitasi desain chip yang tidak aman, sekarang harus dilihat melalui lensa kemauan politik dan kredibilitas perusahaan. [PY]
