Kerentanan iPhone Zero-Click Membuka Aset Kripto Terhadap Penyerang Canggih – Berikut yang Perlu Anda Ketahui

Pada pertengahan Agustus 2025, Apple merilis patch keamanan mendesak yang menangani kerentanan kritis yang sedang dieksploitasi secara aktif oleh aktor ancaman canggih terhadap individu yang menjadi target. Kerentanan tersebut, yang diberi nama CVE-2025-43300, mempengaruhi iPhone, iPad, dan sistem Mac secara global, dengan implikasi khusus bagi pengguna cryptocurrency yang menyimpan aset digital di perangkat mereka. Ini merupakan kerentanan zero-day yang digunakan sebagai senjata ketujuh yang telah diperbaiki oleh Apple sejak awal 2025, menandai meningkatnya lanskap ancaman terhadap keamanan perangkat mobile.

Mekanisme Serangan: Eksploitasi Zero-Click

Kerentanan ini terdapat dalam sistem pemrosesan Image I/O milik Apple—kerangka kerja yang bertanggung jawab untuk menampilkan gambar di semua perangkat Apple. Penyerang memanfaatkan kondisi tulis di luar batas dalam kerangka kerja ini, memungkinkan manipulasi memori tanpa izin. Serangan ini tidak memerlukan tindakan dari pengguna sama sekali: satu gambar berbahaya yang dikirim melalui iMessage atau email akan memicu proses otomatis, langsung mengompromikan perangkat.

Menurut spesialis keamanan siber, mekanisme pengiriman yang mulus membuat serangan ini sangat berbahaya. “Penerima sama sekali tidak menyadari bahwa mereka menjadi target,” jelas peneliti keamanan yang menganalisis insiden ini. Setelah perangkat dikompromikan, penyerang mendapatkan akses penuh ke kredensial yang disimpan, kunci privat, dan token otentikasi pertukaran. Bagi pengguna crypto, ini berarti potensi paparan konfigurasi dompet multi-tanda tangan, frasa pemulihan yang diambil melalui tangkapan layar, dan pemantauan transaksi secara real-time.

Mengapa Kepemilikan Cryptocurrency Menghadapi Risiko Tidak Proporsional

Sektor crypto mengalami krisis keamanan yang signifikan pada paruh pertama 2025, dengan aktor ancaman dan operator penipuan menarik lebih dari $2,2 miliar dari akun pengguna—pengingat suram bahwa pencurian aset digital memiliki konsekuensi yang tidak dapat dibatalkan. Berbeda dengan lembaga keuangan tradisional di mana transaksi penipuan dapat dibatalkan dan dana dikembalikan, transaksi blockchain bersifat permanen dan tidak dapat dipulihkan setelah dikonfirmasi di jaringan.

Kepemilikan crypto menjadi target yang sangat menarik bagi aktor ancaman tingkat lanjut: pengguna biasanya menyimpan saldo besar dalam dompet mobile dan aplikasi pertukaran, insentif ekonomi membenarkan teknik eksploitasi yang canggih, dan aset terdesentralisasi tidak memiliki mekanisme pemulihan akun seperti yang tersedia melalui sistem perbankan konvensional.

Perangkat yang Terpengaruh dan Jadwal Patching

Kerentanan ini mempengaruhi basis pengguna yang besar:

• Perangkat iPhone dari model XS ke atas (rilis 2018 dan yang lebih baru)
• iPad Pro, iPad Air, dan model iPad standar dari generasi terbaru
• Komputer Mac yang menjalankan macOS Sequoia, Sonoma, atau Ventura

Apple mendistribusikan perbaikan melalui iOS 18.6.2, iPadOS 18.6.2, dan rilis macOS yang sesuai. Badan Keamanan Siber dan Infrastruktur AS (CISA) mewajibkan penerapan patch di seluruh lembaga federal paling lambat 11 September 2025, menegaskan tingkat ancaman berdasarkan penilaian keamanan pemerintah.

Tindakan Keamanan Segera untuk Pengguna Crypto

Praktisi keamanan merekomendasikan kerangka respons prioritas:

Prioritas Mendesak: Terapkan patch segera daripada menunggu instalasi otomatis. Buka Pengaturan > Umum > Pembaruan Perangkat Lunak di iOS, atau Pengaturan Sistem di macOS, dan lakukan instalasi secara manual.

Verifikasi dan Penilaian: Pantau perilaku perangkat untuk indikator kompromi termasuk penurunan kinerja, koneksi jaringan yang tidak terduga, atau ketidaksesuaian saldo dompet versus catatan transaksi lokal. Penilaian lengkap sulit dilakukan oleh pengguna non-teknis; anomali perilaku memerlukan penyelidikan lebih lanjut.

Relokasi Aset: Pengguna yang mencurigai perangkat mereka dikompromikan harus mentransfer cryptocurrency ke dompet yang baru dibuat menggunakan perangkat terpisah yang tidak terkompromi. Ini memerlukan pembuatan kunci baru di perangkat yang terisolasi dan tidak terhubung ke sistem yang berpotensi terinfeksi.

Penguatan Akun: Reset kata sandi untuk akun email dan penyimpanan cloud, yang menjadi vektor pemulihan untuk reset kata sandi pertukaran dan upaya pengambilalihan akun. Aktifkan kunci keamanan perangkat keras jika didukung oleh penyedia layanan.

Perangkat yang tidak mendukung versi OS terbaru tetap rentan dan harus dihentikan penggunaannya untuk penyimpanan cryptocurrency.

Konteks Historis: Kerentanan ImageIO Berulang

Insiden ini mengingatkan pola eksploitasi tahun 2023. Grup NSO memanfaatkan kerentanan framework ImageIO dalam kampanye yang dikenal sebagai BLASTPASS, mengirimkan perangkat lunak pengawasan Pegasus melalui gambar berbahaya berbasis iMessage. Serangan tersebut juga tidak memerlukan interaksi pengguna, menargetkan individu bernilai tinggi dengan sumber daya negara-negara tertentu. Eksploitasi berulang terhadap komponen sistem yang sama menunjukkan adanya kelemahan arsitektur yang berkelanjutan dalam model keamanan pemrosesan gambar Apple.

Lanskap Ancaman yang Berkembang

CVE-2025-43300 menunjukkan bahwa bahkan pengguna yang sadar keamanan dan beroperasi secara optimal tetap rentan terhadap eksploitasi zero-click yang tidak memerlukan rekayasa sosial atau kesalahan pengguna. Insiden ini menegaskan perlunya strategi keamanan aset berlapis: pembaruan perangkat secara rutin, penggunaan dompet perangkat keras untuk kepemilikan besar, distribusi dana secara geografis melalui berbagai metode penyimpanan, dan pengakuan bahwa tidak ada satu perangkat atau platform yang memberikan jaminan keamanan lengkap.

Ke depan, pengguna cryptocurrency harus mengantisipasi penemuan dan eksploitasi berkelanjutan dari kerentanan zero-day serupa sambil tetap waspada terhadap siklus pembaruan perangkat dan arsitektur penyimpanan yang beragam.