Apple Mengirim Peringatan ke Pengembang Alat Exploit yang iPhone-nya Menjadi Target Spyware Pemerintah

 (techcrunch.com)
2 poin oleh GN⁺ 2025-10-23 | 1 komentar | Bagikan ke WhatsApp
  • Apple mengirimkan peringatan kepada seorang pengembang exploit bahwa iPhone miliknya menjadi target spyware pemerintah
  • Pengembang tersebut sebelumnya adalah ahli yang mengembangkan alat dan kerentanan zero-day iOS di Trenchant
  • Dalam beberapa bulan terakhir terkonfirmasi lagi adanya pengembang exploit·spyware lain yang juga menerima peringatan spyware serupa dari Apple
  • Penyebaran spyware dan alat serangan zero-day menyebabkan lingkup korban meluas hingga mencakup berbagai profesional keamanan
  • Kemungkinan bahwa kecurigaan kebocoran alat peretasan di dalam perusahaan dan proses pemecatan yang menyertainya membuatnya berpotensi dijadikan kambing hitam

Gambaran Kasus

  • Pada awal tahun ini, seorang pengembang alat peretasan menerima kejutan besar setelah melihat di iPhone pribadinya pesan: "Apple telah mendeteksi bahwa iPhone Anda menjadi target serangan spyware mercenary terarah"
  • Ia memilih menyebut diri dengan nama samaran Jay Gibson karena khawatir akan kemungkinan pembalasan dan tidak menyebutkan identitas sebenarnya
  • Gibson baru-baru ini bertanggung jawab di Trenchant, perusahaan pengembang alat peretasan yang menangani pemerintah Barat, untuk mengembangkan zero-day iOS dan exploit
  • Ia adalah orang pertama di industrinya yang terdokumentasi sebagai kasus seorang pengembang spyware dan exploit yang langsung menjadi target serangan seperti ini

Setelah Terjadi Insiden

  • Gibson mengatakan bahwa ia merasa sangat kebingungan karena tidak memahami apa yang terjadi, disertai rasa takut yang ekstrem, lalu langsung mematikan ponselnya dan membeli ponsel baru
  • Ia juga menyebut melakukan respons panik seperti menelepon ayahnya, menegaskan situasi saat itu sangat kacau
  • Dalam wawancara dengan TechCrunch, Gibson menyatakan, "Jika situasi sudah berkembang sampai tahap ini, tidak ada yang tahu apa yang akan terjadi ke depan"

Kemunculan Korban Serupa di Industri

  • Selain kasus Gibson, melalui liputan terungkap bahwa ada pengembang spyware·exploit lain yang baru-baru ini menerima peringatan spyware dari Apple
  • Apple tidak menanggapi permintaan komentar dari TechCrunch

Dampak Penyebaran Spyware dan Alat Zero-Day

  • Kasus Gibson menunjukkan bahwa dengan penyebaran alat zero-day dan spyware, target serangan semakin beragam
  • Perusahaan pengembang spyware dan zero-day secara resmi selama ini menyatakan bahwa alat mereka hanya digunakan oleh lembaga pemerintah tepercaya untuk menargetkan kriminal atau teroris
  • Namun, beberapa grup penelitian, termasuk Citizen Lab di bawah Universitas Toronto dan Amnesty International, telah mengonfirmasi puluhan kasus dalam 10 tahun terakhir di mana pemerintah secara berulang menggunakan alat ini terhadap tokoh oposisi, wartawan, pembela HAM, pesaing politik, dan lainnya
  • Sebelumnya pernah ada kasus di mana peneliti keamanan menjadi target kelompok peretas (termasuk kasus Korea Utara), tetapi insiden di mana pengembang spyware itu sendiri menjadi target masih cukup jarang

Penyidikan Dugaan Kebocoran dan Investigasi Internal

Setelah Peringatan Apple

  • Setelah menerima peringatan, Gibson menghubungi seorang ahli yang berpengalaman dalam analisis forensik serangan spyware
  • Hasil analisis awal tidak menemukan jejak infeksi yang jelas, tetapi ahli tersebut menyarankan analisis forensik yang lebih mendalam
  • Untuk analisis yang akurat, dibutuhkan backup penuh dari perangkat Gibson, namun ia menolak penyelidikan lanjutan karena kekhawatiran privasi dan keamanan
  • Kasus-kasus serangan spyware belakangan ini di mana analisis forensik tidak menemukan jejak yang jelas juga semakin sering

Pemecatan dan Konflik Internal

  • Sekitar sebulan sebelum menerima peringatan Apple, Gibson mengunjungi kantor Trenchant London untuk menghadiri acara pertemuan tim di dalam perusahaan
  • Seketika setelah masuk, ia diberitahu oleh manajer perusahaan bahwa karena kecurigaan pekerjaan ganda, ia diberhentikan sementara dan seluruh perangkat perusahaan disita serta akan dianalisis
  • Sekitar dua minggu kemudian, Gibson menerima pemberitahuan pemecatan resmi dari perusahaan dan tawaran penyelesaian
  • Gibson berargumen bahwa perusahaan menargetkannya sebagai kambing hitam dalam kasus dugaan kebocoran alat peretasan mereka
  • Gibson dan tiga rekannya menyatakan bahwa mereka tidak terkait dengan pengembangan zero-day terkait Chrome, dan tim internal dipisahkan secara ketat berdasarkan platform
  • Pengusutan independen oleh tiga mantan rekan Trabenching mengonfirmasi bahwa pemecatan Gibson beserta motif, kecurigaan, dan rumor internal tersebut adalah fakta

Implikasi dan Informasi Tambahan

  • Kasus ini berfungsi sebagai sinyal awal bahwa penyebaran teknologi spyware kini menempatkan para profesional di industri keamanan sendiri pada ancaman serangan
  • Menyediakan sejumlah wawasan mengenai pemanfaatan kelemahan keamanan sebagai senjata oleh pemerintah dan institusi, risiko keamanan internal, serta isu perlindungan pengembang
  • Juru bicara L3Harris (perusahaan induk Trenchant) menolak memberikan komentar resmi
  • Gibson dan mantan rekannya berpendapat bahwa ia bukan pelaku kejadian kebocoran tersebut dan bahwa penilaian perusahaan salah

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-23
Komentar Hacker News

  • Saya pernah mewawancarai perusahaan-perusahaan sejenis ini (bukan perusahaan yang disebut di artikel). Setelah saya menerima tawaran, saya juga sempat melihat mereka memanfaatkan kerentanan, jadi saya menduga konteks kasus ini juga sama. Saya sulit membayangkan ini bisa dikerjakan dengan nurani jika tujuannya memang menjual ulang kerentanan. Kalau perusahaan-perusahaan seperti ini berani memakai alat serang terhadap karyawannya sendiri, maka tak akan ada pembatasan saat menargetkan kongres, pengadilan, bank investasi, atau pemimpin IT yang punya kuasa nyata—yang berarti mereka bisa memeras orang paling berpengaruh di dunia. Oh ya, saya juga rasa mereka belum menyinggung kemungkinan dipakai untuk menargetkan tokoh oposisi atau jurnalis.

    • Secara umum, perusahaan-perusahaan ini menyaring orang yang beretika kuat, dan dalam kasus terburuk merekrut orang yang berpikir, "saya ingin memata-matai orang lain secara diam-diam." Realitas inilah yang menakutkan.

    • Kalau ditanya apakah ini bisa dikembangkan dengan hati nurani, saya akan bilang aktivitas intelijen semacam ini akan terjadi dalam bentuk apa pun, dan CNE (Computer Network Exploitation) biasanya lebih murah serta dampaknya lebih kecil dibanding HUMINT. Memang, secara global fakta bahwa teknologi ini disalahgunakan terhadap tokoh oposisi dan jurnalis adalah masalah besar. Saya sendiri tidak ingin bekerja di bidang ini (dan sekarang saya pun tak punya kemampuan itu).

    • Namun, orang-orang yang merasa aman bekerja di sektor ini untuk negara anggota NATO punya pembenaran logis. Tidak percaya pada lembaga yudisial dan intelijen secara prinsip adalah minoritas, dan banyak keluarga yang bangga punya anggota bekerja di bidang ini. Titik pentingnya adalah "opini kita tidak berarti apa-apa". Di harga pasar saat ini, hampir semua negara bisa membeli teknologi CNE, dan vendor non-NATO pun mampu memasok pasar ini dengan cukup.

  • Bahwa mereka benar-benar sampai mencoba menyerang benar-benar mengejutkan. Saya penasaran bagaimana bentuk serangan itu; apakah kiriman link lewat SMS, atau cara lain.

  • Mungkin saja ini sebenarnya bagian dari proses interview.

  • Karena hal-hal begitu, saya tidak ingin bekerja di industri keamanan siber; terlalu berisiko, benar-benar zona liar.

  • Saya membaca bagian artikel yang menulis, "Kasus ini mungkin yang pertama terdokumentasi di mana Gibson sendiri mengembangkan kerentanan/spionware lalu menjadi target serangan spionware," tetapi dalam beberapa bulan terakhir sepertinya ada pengembang spionware dan kerentanan lain yang juga diserang, tidak hanya Gibson.

  • Saya lebih tertarik pada bagaimana Apple membuat keputusan ini dibandingkan dramanya antara pengembang dan mantan tempat kerjanya.

    • Mungkin saja perusahaan sebelumnya memakai sandbox Wi-Fi atau perangkat tipe Stingray, tapi di Apple lalu-lintas ini bisa terdeteksi lewat kanal resmi iMessage/PushNotification.

  • Dari kalimat Gibson, "Saya panik," saya sempat tertawa membayangkan mungkin namanya sebenarnya Jay Gibson dan jurnalis menuliskannya karena tak tahu.

  • Judul "Apple sends notification to exploit developer" harus saya baca beberapa kali supaya paham. Awalnya saya baca sebagai "Apple, lewat notifikasi, menyerang pengembang entah bagaimana", baru setelah itu tersirat bahwa notifikasi Apple dikirim ke pengembang pembuat celah keamanan.

    • Jadi maksudnya Apple memberi tahu pengembang soal "kerentanan"? :)

  • Akhirnya terasa seperti ada orang yang membocorkan kerentanan Chrome di dalam organisasi itu, dan orang ini dipilih sebagai semacam kambing hitam. Tentu saja seluruh alur ini lebih terasa seperti skenario daripada kenyataan.

  • Orang ini punya alat untuk mengecek apakah dirinya—atau klien besar di level atasnya—mem-bocorkan sesuatu. Namun ia mengira mereka tidak akan benar-benar memverifikasi secara serius, "apakah memang begitu." Terlihat sangat naif; mungkin juga ada gerakan simbolis untuk sekadar menunjukkan peringatan.

  • Melihat kutipan "Saya panik" dari Gibson, alurnya lalu jadi: "Tanpa analisis forensik presisi kita tak bisa tahu kenapa diserang," dan "dia percaya peringatan ancaman dari Apple berkaitan dengan pengunduran dirinya dari Trenchant."

    • Yang menarik adalah: (1) ia tidak pernah menyangka hal ini akan terjadi pada dirinya, (2) saat kondisi seperti itu ia memberi wawancara ke media sambil takut akan balasan. Terus terang, orang yang ingin tahu serius mungkin sudah tahu nama aslinya.

    • Cerita ini jelas berbau fiksi, kecuali memang dia itu orang yang tidak terlalu terkenal di industri sebagai penembak jitu.

    • Kalau biasanya kerja di riset kerentanan, Anda harus memetakan semua vektor serangan dengan jelas. Kalau Anda di perusahaan sensitif seperti Trenchant, Anda tentu tak akan memakai perangkat Apple untuk kerja (atau setidaknya tidak sepenuhnya).

    • Biasanya saya pakai ponsel publik untuk penggunaan biasa, plus ponsel pribadi dengan pengamanan sangat ketat.

    • Dengan iPhone terpasang ke router, ketika melihat lalu-lintas paket akan muncul banyak data ke Apple yang tidak bisa dikendalikan.

    • Sebaliknya, kalau pakai Android rooted yang saya bawa saat bepergian—yang sudah di-root dan de-googled—dalam eksperimen yang sama, yang tersisa hampir hanya lalu-lintas NTP, itu pun untuk mencegah perbedaan waktu sertifikat.

    • Dalam kondisi seperti itu, keluar ke media pun bisa jadi pilihan strategis demi menghindari agar tidak "hilang".

  • Dari baris "kasus terdokumentasi pertama pengembang spyware yang justru menjadi target spyware yang ia ciptakan," saya teringat meme "leopards ate my face". Pada akhirnya alat-alat ini memang dibuat agar benar-benar dipakai.

    • Sudah lebih dari 20 tahun pengembang kerentanan sudah lama jadi target utama spyware; ini fakta yang sangat dikenal di industri. Jurnalisnya terlihat tidak begitu paham kondisi industri.

    • Kalau penasaran meme "leopards ate my face," bisa lihatnya di sini.

    • Seluruh artikel ini terasa seperti polemik "kata Anda, kata saya" yang muncul setelah Gibson keluar dari Trenchant/L3Harris.

  • Saya pun punya empati sedikit pada Gibson karena dulu pernah mengalami hal serupa di kontrak pertahanan. Perusahaan-perusahaan begini merekrut orang dengan gaji menarik dan janji "pekerjaan bagus," lalu memeras energi karyawan habis-habisan untuk meraup profit, dan saat ada masalah langsung menumpahkan semua tanggung jawab ke sana—terutama jika laporan yang berlandaskan nurani soal korupsi internal atau kesalahan muncul, orang itu segera dipecat dan dihapuskan namanya dari industri. Paling aman bagi kita adalah tidak bekerja untuk orang-orang ini, tetapi karena ada pemikiran naif "mengerjakan hal baik" atau "menangkap orang jahat," orang tetap terus terjebak. Akhirnya lagi-lagi muncul meme "leopards ate my face".

    • Saya mulai karena percaya, "Kalau kamu masuk dinas militer, dapat clearance top-secret, mengelola LAN, dan mengajari perwira cara memasukkan gambar ke PowerPoint, kamu tak akan kehilangan pekerjaan." Tapi akhirnya peran yang saya dapat hanyalah dianggap komponen yang mudah diganti dalam perang PowerPoint orang lain.

    • Semua rapat jadi seperti drama berisiko tinggi dengan repetisi "ya, tentu saja," rasa tanggung jawab bersifat opsional, dan kalau bersuara langsung dipotong. Kesalahan bernilai miliaran dolar pun ditiadakan sebagai "pelajaran berharga", sementara bagi saya itu malah jadi retorika kejujuran.

    • Ini seperti permainan "raja itu telanjang," di mana semua orang seolah menahan leher dengan tali dan hanya panik karena rasa tidak aman soal kebocoran rahasia.