idNSA.id - Kelemahan baru yang belum diperbaiki dalam fitur Relay Private iCloud Apple dapat membocorkan alamat IP, kelemahan ini berada dipengguna perangkat iOS yang menggunakan sistem operasi versi terbaru.
Diperkenalkan dengan iOS 15, yang secara resmi dirilis minggu ini, iCloud Private Relay bertujuan
untuk meningkatkan anonimitas di web dengan menggunakan arsitektur
dual-hop yang secara efektif melindungi alamat IP, lokasi, dan
permintaan DNS pengguna dari situs web dan penyedia layanan jaringan.
iCloud Private Relay memberikan alur lalu lintas internet pengguna di browser Safari, melalui dua proxy untuk menutupi siapa yang menjelajah dan dari mana data itu berasal. Tindakan tersebut membuat data terlihat sebagai versi Tor yang disederhanakan, namun, fitur ini hanya tersedia untuk pelanggan iCloud+ yang menjalankan iOS 15 atau macOS 12 Monterey ke atas.
"Jika Anda membaca alamat IP dari permintaan HTTP maka akan diterima oleh server Anda, Anda akan mendapatkan alamat IP dari proxy ke jalur yang keluar," kata Sergey Mostsevenko peneliti FingerprintJS. "Namun demikian, Anda bisa mendapatkan IP klien yang sebenarnya melalui WebRTC."
WebRTC, kependekan dari Web Real-Time Communication, adalah inisiatif sumber terbuka yang ditujukan
untuk menyediakan browser web dan aplikasi seluler dengan komunikasi
real-time melalui API yang memungkinkan komunikasi audio dan video
peer-to-peer tanpa perlu menginstal plugin khusus atau aplikasi.
Pertukaran waktu pada sebuah media melalui dua titik akhir yang dibuat dalam proses penemuan dan negosiasi yang disebut pensinyalan yang melibatkan penggunaan kerangka kerja bernama Interactive Connectivity Establishment (ICE), yang merinci metode (alias kandidat) yang dapat digunakan oleh dua pengguna. Untuk menemukan dan membangun koneksi satu sama lain, terlepas dari topologi jaringan.
Kerentanan
yang digali oleh FingerprintJS ada hubungannya dengan kandidat tertentu
yang dijuluki "Kandidat Refleksif Server" yang dihasilkan oleh server
STUN ketika data dari titik akhir perlu ditransmisikan di sekitar NAT
(Penerjemah Alamat Jaringan). STUN — yaitu, Session Traversal Utilities
for NAT — adalah alat yang digunakan untuk mengambil alamat IP publik
dan nomor port komputer jaringan yang terletak di belakang NAT.
Secara khusus, kecacatan muncul
dari fakta bahwa permintaan STUN tersebut tidak diproksi melalui Relay
Pribadi iCloud, yang mengakibatkan skenario alamat IP klien yang
sebenarnya terekspos disaat ICE ditukarkan melalui proses pensinyalan. "De-anonymizing Anda kemudian menjadi masalah dalam penguraian alamat IP asli Anda dari kandidat ICE," menurut Mostsevenko.
Menurut FingerprintJS memberi tahu Apple tentang masalah tersebut, perusahaan iPhone
telah meluncurkan perbaikan dalam versi beta terbaru dari macOS
Monterey. Namun, kebocoran tersebut tetap tidak ditambal saat
menggunakan Relay Pribadi iCloud di iOS 15.
ICloud Private Relay tidak akan pernah bisa menjadi pengganti VPN, dan pengguna yang khawatir tentang visibilitas alamat IP mereka harus menggunakan VPN asli atau menjelajahi internet melalui jaringan Tor, dan menonaktifkan sepenuhnya JavaScript dari Safari untuk mematikan fitur terkait WebRTC.
