La keamanan siber di ekosistem Apple Ini bukan hanya tentang memiliki antivirus yang bagus atau menggunakan kata sandi yang kuat. Ketika kita berbicara tentang Mac, iPhone, dan iPad, kita berbicara tentang lingkungan yang sangat terintegrasi di mana perangkat keras, sistem operasi, aplikasi, dan layanan cloud bekerja sama untuk menjaga keamanan data Anda. Memahami bagaimana semua bagian ini saling terkait membantu Anda memanfaatkan manfaatnya dan meminimalkan risiko. Panduan Keamanan Apple untuk Mac, iPhone, dan iPad.
Selain itu, Apple menerbitkan secara berkala. panduan teknis dan dokumen resmi Di situ dijelaskan bagaimana mekanisme perlindungannya bekerja, baik untuk pengguna akhir maupun untuk para profesional keamanan dan pengembang. Berdasarkan informasi ini dan praktik terbaik saat ini, kita akan melihat secara detail apa yang dilakukan Apple untuk melindungi Mac, iPhone, dan iPad Anda, dan apa yang dapat Anda lakukan untuk memanfaatkan perlindungan ini.
Perangkat keras yang aman dan biometrik: fondasi dari segalanya
Lapisan pertahanan pertama dari perangkat Apple mana pun terletak pada... perangkat keras yang dirancang dengan mempertimbangkan keamanan. Sejak menit pertama. Ini bukan hanya soal daya: chip Apple mengintegrasikan komponen spesifik yang mengontrol proses booting, enkripsi, manajemen kunci, dan data biometrik.
Salah satu bagian kuncinya adalah Enklave AmanSecure Enclave adalah subsistem keamanan terpisah dari prosesor utama yang terdapat di sebagian besar perangkat modern merek tersebut. Subsistem ini dirancang sedemikian rupa sehingga meskipun seseorang berhasil mengeksploitasi kerentanan sistem yang serius, kunci dan data yang tersimpan di dalam Secure Enclave tetap terlindungi.
Subsistem ini memiliki ROM boot kustom sebagai root tepercayaMesin enkripsi AES khusus dan memori yang terlindungi. Kombinasi ini memungkinkan perangkat untuk melakukan booting dengan kode yang diverifikasi secara kriptografis dan mengelola kunci tanpa sistem operasi dapat membacanya secara langsung, sehingga mengurangi dampak kompromi pada bagian perangkat lainnya.
Di bidang otentikasi, Apple bertaruh pada... Biometrik sebagai faktor keamanan Praktis dan andal: Face ID dan Touch ID. Kedua sistem ini terintegrasi dengan Secure Enclave sehingga data biometrik tidak pernah meninggalkan perangkat atau disimpan sebagai gambar atau templat yang dapat dibalik.
Face ID menggunakan kamera. TrueDepth untuk mendapatkan peta 3D wajah. Dengan menggunakan proyeksi titik inframerah, penginderaan kedalaman, dan kamera konvensional, jaringan saraf yang dilatih Apple menilai kecocokan dan beradaptasi dengan perubahan bertahap pada penampilan Anda (jenggot, kacamata, gaya rambut, dll.) tanpa mengorbankan keamanan terhadap foto atau topeng sederhana.
Touch ID, yang terdapat pada model iPhone sebelumnya, beberapa iPad, dan keyboard seperti Magic Keyboard dengan sensor terintegrasi, didasarkan pada pembacaan rinci garis-garis sidik jariSistem ini tidak menyimpan gambar sidik jari Anda, melainkan representasi matematis yang tidak dapat direkonstruksi sebagai sidik jari yang terlihat. Selain itu, sensor ini mempelajari detail baru dengan penggunaan rutin.
Apple juga menawarkan layanan kepada para pengembang. API resmi untuk menggunakan Face ID dan Touch ID di dalam aplikasi mereka, tanpa memberi mereka akses langsung ke data biometrik. Aplikasi hanya menerima hasil autentikasi berhasil atau gagal, yang meningkatkan keamanan login atau operasi sensitif tanpa mengekspos informasi penting.
Sistem operasi: boot aman dan pembaruan
Sistem operasi berada di atas perangkat keras, dan di situlah Apple membangunnya. rantai starter yang aman dan terverifikasi Ini berlaku untuk macOS, iOS, dan iPadOS. Idenya sederhana: setiap tahap booting secara kriptografis memeriksa tahap berikutnya dan hanya melepaskan kendali jika lolos validasi.
Desain ini mencegah, atau setidaknya mempersulit, penyerang untuk menyuntikkan kode berbahaya dan mempertahankan hak akses maksimum sebelum sistem sepenuhnya dimuat. Jika ada bagian dari rantai tersebut yang dirusak atau mengalami kerusakan, perangkat akan menolak untuk melakukan booting secara normal atau mencoba memulihkan versi yang aman.
Setelah berjalan, pembaruan sistem memainkan peran pentingApple mendesain sistemnya untuk mencegah, sebisa mungkin, penurunan versi ke versi yang lebih lama dan rentan. Ini berarti bahwa setelah Anda menginstal versi baru yang telah ditandatangani dan divalidasi, pengembalian ke versi sebelumnya tidaklah mudah, justru untuk mencegah penyerang memaksa instalasi sistem dengan kelemahan keamanan yang diketahui.
Di macOS, mulai dari versi 11, Apple melangkah lebih jauh dan menerapkan enkripsi dan perlindungan partisi sistemSistem ini disimpan pada volume baca-saja yang disegel secara kriptografis; jika ada modifikasi yang tidak sah terdeteksi pada file-nya, tanda tangan tidak lagi cocok dan sistem dapat memblokir proses booting atau memulai proses pemulihan.
Volume data yang besar, baik internal maupun eksternal, merupakan titik masuk umum lainnya bagi malware dan pencurian data. Pada titik ini, Apple menggabungkan kontrol akses, penandatanganan kode, dan enkripsi untuk membatasi dampak dari drive USB atau hard drive eksternal yang disusupi, terutama pada macOS, di mana lebih umum untuk menginstal perangkat lunak yang diunduh dari internet.
Enkripsi dan perlindungan data di Mac, iPhone, dan iPad
Perangkat seluler Apple menggunakan sistem khusus yang Enkripsi yang disebut Perlindungan DataHal ini terkait erat dengan kode pembuka kunci. Data yang tersimpan di penyimpanan internal dienkripsi menggunakan kunci yang bergantung pada perangkat keras dan kode yang Anda masukkan (PIN atau kata sandi).
Pada Mac dengan prosesor Intel, perlindungan volume utama secara tradisional adalah FileVault, enkripsi disk penuhPada Mac dengan chip Apple Silicon, enkripsi penyimpanan bahkan lebih terintegrasi dengan SoC itu sendiri, tetapi idenya tetap sama: data disk hanya dapat didekripsi di komputer tersebut dan dengan kredensial yang sesuai.
Ketika kita berbicara tentang iPhone dan iPad, fokusnya adalah pada penggunaannya. kode buka kunci yang relatif singkat (4 atau 6 digit secara default, atau kode alfanumerik yang lebih panjang jika Anda memilihnya), dirancang untuk penggunaan yang sangat sering. Pada Mac, di mana pekerjaan dilakukan dalam jangka waktu yang lebih lama, kata sandi yang lebih panjang dan kompleks untuk akun pengguna adalah hal yang umum, yang memperkuat kunci yang dihasilkan untuk enkripsi.
Ketahanan sejati tidak hanya bergantung pada teknologi enkripsi, tetapi juga pada... panjang dan kompleksitas kode atau kata sandi AndaSemakin panjang dan sulit diprediksi enkripsinya, semakin mahal biaya yang harus dikeluarkan penyerang untuk mencoba serangan brute-force. Apple menggabungkan ini dengan data perangkat keras unik (UID kunci setiap perangkat) dan Secure Enclave untuk memastikan enkripsi terikat erat pada perangkat tertentu tersebut.
Untuk membatasi serangan brute-force, Apple memperkenalkan meningkatkan interval tunggu setelah beberapa kali percobaan gagalDi iOS dan iPadOS, empat percobaan pertama tidak terganggu, tetapi mulai percobaan kelima dan seterusnya, jeda dimulai: satu menit, lima menit, lima belas menit, dan hingga satu jam setelah beberapa kali percobaan gagal. Dan, jika Anda mengaktifkan opsi untuk menghapus dataSetelah sepuluh kali percobaan yang salah secara berturut-turut, isi perangkat akan dihapus.
Skema serupa diterapkan di macOS. penundaan setelah upaya otentikasi gagalHal ini membuat serangan otomatis menjadi sangat lambat. Alih-alih menghapus konten setelah sejumlah percobaan tertentu, sistem mungkin akan mengunci akun dan memerlukan langkah-langkah pemulihan tambahan.
Lapisan penting lainnya adalah apa yang disebut Apple. penyimpanan data yang aman dan isolasi antar aplikasiAplikasi seperti Kalender, Kontak, Kamera, Catatan, Pengingat, dan Kesehatan tidak secara sembarangan mengekspos data Anda. Setiap aplikasi memerlukan izin eksplisit untuk mengakses kategori-kategori ini, dan sistem secara teknis mencegah satu aplikasi membaca informasi dari aplikasi lain tanpa melalui saluran resmi.
Keamanan aplikasi: instalasi dan eksekusi
Aplikasi adalah cara utama kode masuk ke perangkat Anda, jadi Apple telah menyiapkan sebuah rangkaian kontrol dari instalasi hingga eksekusi yang sedikit berbeda antara macOS dan iOS/iPadOS.
macOS memungkinkan Anda menginstal perangkat lunak dari luar App Store, tetapi Apple mensyaratkan bahwa aplikasi tersebut ditandatangani dan, sejak macOS 10.15, melalui proses pengesahan notarisJika aplikasi tidak memenuhi persyaratan ini, sistem akan memblokirnya secara otomatis dan menampilkan peringatan yang jelas kepada pengguna. Penyaringan ini berfungsi sebagai garis pertahanan pertama terhadap penyebaran malware.
Selain itu, macOS menyertakan beberapa mekanisme bawaan untuk deteksi dan pemblokiran kode berbahayaFitur-fitur ini mencakup daftar pencabutan pengembang, verifikasi tanda tangan, sistem reputasi, dan teknologi anti-eksploitasi. Ini bukan antivirus tradisional, tetapi melakukan fungsi serupa dalam mencegah eksekusi biner berbahaya yang dikenal.
Di iOS dan iPadOS, modelnya lebih tertutup: aplikasi pengguna hanya diinstal dari App Store dan harus ditandatangani dengan sertifikat yang valid. Dari Program Pengembang Apple. Apple menganalisis aplikasi sebelum menerbitkannya, memeriksa perilakunya, dan mewajibkan penggunaan API tertentu untuk mengakses sumber daya sensitif. Bahkan aplikasi internal perusahaan, yang didistribusikan di luar toko publik, harus melalui sistem sertifikat perusahaan Apple.
Setelah aplikasi terpasang, konsepnya adalah... lingkungan sandbox atau eksekusi terisolasiSetiap aplikasi pihak ketiga berjalan di ruangnya sendiri, dengan akses terbatas pada folder datanya dan sumber daya sistem yang telah diberikan izin aksesnya. Misalnya, aplikasi tersebut tidak dapat membaca file dari aplikasi lain atau memodifikasi sistem tanpa melalui API yang diizinkan.
Apple melengkapi isolasi tersebut dengan sebuah sistem yang otorisasi dan hak akses yang terkontrolBanyak operasi sensitif (menginstal komponen, mengontrol proses, mengakses elemen sistem) memerlukan aplikasi untuk memiliki otorisasi khusus, yang direpresentasikan sebagai pasangan kunci-nilai, yang harus ditandatangani secara digital. Hal ini mencegah program memberikan hak istimewa kepada dirinya sendiri setelah kejadian tersebut.
Mekanisme penting lainnya adalah pengacakan ruang alamat memori (ASLR). Dengan teknik ini, setiap kali aplikasi atau proses berjalan, lokasi memori tempat kode dan data dimuat berubah secara tidak terduga. Hal ini membuat eksploitasi kerentanan kerusakan memori menjadi jauh lebih sulit karena penyerang tidak mengetahui alamat pasti tempat kode yang mereka coba eksekusi berada.
Akun Apple, iCloud, dan layanan: Lindungi identitas digital Anda
Akun Anda adalah gerbang menuju sebagian besar layanan perusahaan. Apple ID, akun unik yang Anda gunakan. di semua perangkat untuk menyinkronkan data, membeli aplikasi, menggunakan iCloud, atau mengaktifkan fitur seperti Cari Perangkat Saya.
Apple memberlakukan persyaratan minimum tertentu pada Kata sandi ID AppleKata sandi minimal harus terdiri dari delapan karakter, mencakup kombinasi huruf dan angka, melarang rangkaian karakter yang berulang atau berurutan secara berlebihan, dan memblokir kata sandi yang terlalu umum. Meskipun ini hanya persyaratan dasar, hal ini berfungsi sebagai penghalang awal terhadap kata sandi yang mudah ditebak.
Kata sandi tersebut dibangun berdasarkan kata sandi itu. otentikasi dua faktorFitur ini diaktifkan secara default di sebagian besar akun saat ini. Ketika seseorang mencoba masuk dengan ID Apple Anda dari perangkat baru, mereka harus memasukkan, selain kata sandi mereka, kode verifikasi yang dikirim ke perangkat tepercaya atau nomor telepon terverifikasi. Dengan cara ini, bahkan jika seseorang mencuri kata sandi Anda, mereka tidak akan memiliki faktor kedua.
Jika Anda lupa kata sandi Anda, Apple menyarankan Anda untuk Reset harus dilakukan dari perangkat tepercaya. atau dengan menggunakan kunci pemulihan dan kontak pemulihan, mengurangi kemungkinan penyerang dapat membajak akun Anda melalui permintaan dukungan sederhana.
iCloud adalah layanan utama tempat sebagian besar data disimpan. informasi pribadi dan sensitif penggunaFoto, cadangan data, kontak, email, file, data kesehatan, kata sandi Keychain, dan banyak lagi. Untuk mengelola data ini, Apple menawarkan dua opsi perlindungan iCloud dengan tingkat enkripsi ujung-ke-ujung yang berbeda.
Dengan opsi yang disebut Apple Perlindungan data standarData pengguna dienkripsi saat dalam perjalanan dan saat disimpan, dan banyak kategori (seperti Keychain, data Kesehatan, informasi pembayaran, dan lainnya) dilindungi dengan enkripsi ujung-ke-ujung. Kunci enkripsi untuk jenis data lain disimpan di pusat data Apple secara tersegmentasi, memungkinkan perusahaan untuk membantu Anda mendapatkan kembali akses jika Anda kehilangan semua perangkat Anda.
Modalitas dari Perlindungan data tingkat lanjut Hal ini semakin memperluas jangkauan enkripsi ujung-ke-ujung, memperluasnya ke lebih banyak kategori informasi (termasuk cadangan iCloud, catatan, foto, dan lainnya). Dalam hal ini, kunci hanya disimpan di perangkat tepercaya Anda; Apple tidak dapat membantu Anda mendapatkan kembali akses jika Anda kehilangan kunci tersebut, tetapi sebagai gantinya, kemungkinan akses pihak ketiga diminimalkan, bahkan untuk persyaratan hukum.
Apple Pay adalah layanan lain yang sangat sensitif, karena melibatkan pembayaran kartu dan data keuanganUntuk melindungi transaksi ini, Apple mengandalkan komponen khusus yang disebut Secure Element dan pengontrol NFC perangkat tersebut.
Secure Element menyimpan applet yang disertifikasi oleh penerbit kartu atau jaringan pembayaran. Entitas-entitas ini adalah satu-satunya yang mengetahui kunci yang diperlukan untuk beroperasi dengan token pembayaran. Yang tersimpan di perangkat bukanlah nomor kartu sebenarnya, melainkan pengidentifikasi pembayaran terenkripsi yang hanya masuk akal dalam lingkungan tersebut dan dalam kombinasi dengan kunci yang dipegang oleh penerbit. bayar Apel Sistem ini mempertahankan lapisan-lapisan tersebut untuk mengurangi kemungkinan penipuan dan kebocoran data.
Pengontrol NFC bertindak sebagai jembatan antara perangkat dan terminal pembayaranHal ini memungkinkan transaksi tanpa kontak hanya dapat diselesaikan setelah pengguna mengotorisasi pembayaran menggunakan Face ID, Touch ID, atau kode. Baik pedagang maupun sistem operasi tidak menerima informasi kartu lengkap, yang sangat mengurangi potensi serangan.
Keamanan jaringan dan koneksi terenkripsi
Di bidang komunikasi, Apple menerapkan dukungan yang luas dalam sistemnya untuk protokol keamanan modern untuk melindungi lalu lintas data baik pada koneksi web maupun jaringan pribadi virtual.
iOS, iPadOS, dan macOS kompatibel dengan TLS 1.0, 1.1, 1.2 dan 1.3Selain Datagram TLS (DTLS) untuk komunikasi berbasis UDP, protokol-protokol ini dikombinasikan dengan algoritma enkripsi yang kuat seperti AES-128 dan AES-256, yang merupakan standar industri de facto untuk melindungi kerahasiaan informasi yang sedang ditransmisikan.
Untuk terhubung ke jaringan perusahaan atau terowongan aman, perangkat Apple menawarkan kompatibilitas dengan berbagai jenis Pengaturan VPN dan otentikasi. Mereka menonjol di antara mereka:
Penggunaan IKEv2IPsec, dengan otentikasi menggunakan rahasia bersama, sertifikat RSA atau sertifikat dengan tanda tangan kurva eliptik (ECDSA), dan varian dengan EAP-MSCHAPv2 atau EAP-TLS, sangat umum di lingkungan bisnis modern.
Dukungan dari SSL VPN menggunakan aplikasi klien. Tersedia di App Store, memungkinkan integrasi dengan banyak solusi pihak ketiga sambil tetap menjaga perlindungan sistem operasi.
kompatibilitas dengan L2TPIPsec, dengan otentikasi pengguna menggunakan kata sandi berbasis MS-CHAPv2, dan otentikasi mesin dengan rahasia bersama, tersedia di iOS, iPadOS, dan macOS, ditambah opsi seperti RSA SecurID atau CRYPTOCard dalam beberapa kasus penggunaan di macOS.
Dan, dalam kasus macOS, opsi tersebut juga sedang dipertimbangkan. Cisco IPsec dengan otentikasi campuran (kata sandi, token, dan rahasia bersama), dirancang untuk berintegrasi dengan infrastruktur yang lebih tradisional yang masih digunakan di banyak perusahaan.
Kit pengembangan dan privasi di ekosistem Apple
Untuk memungkinkan aplikasi memanfaatkan kemampuan perangkat tanpa mengganggu privasi pengguna, Apple menawarkan berbagai cara. kerangka kerja atau perangkat pengembangan dengan keamanan terintegrasiHomeKit, CloudKit, SiriKit, DriverKit, ReplayKit, ARKit, dan lainnya.
HomeKit, kerangka kerja otomatisasi rumah, sangat sensitif karena mengontrol perangkat rumah tangga sensitif seperti kamera dan mikrofonKunci pintar, sensor, dan sistem alarm. Untuk memastikan bahwa hanya perangkat dan pengguna yang berwenang yang dapat berkomunikasi, sistem ini mengandalkan kriptografi modern.
Secara spesifik, HomeKit menggunakan pasangan kunci Ed25519 (Kunci publik dan privat) digunakan untuk mengautentikasi dan mengenkripsi komunikasi antara aksesori dan pengontrol (iPhone, iPad, Apple TV, atau HomePod). Kunci privat tetap berada di perangkat tepercaya, dan kunci publik digunakan untuk memverifikasi bahwa pesan berasal dari pengirim yang diklaim.
Kunci-kunci ini disinkronkan dan disimpan dengan aman menggunakan iCloud Keychain, yang dilindungi dengan enkripsi ujung-ke-ujung.Jadi, ketika Anda menambahkan perangkat Apple baru ke rumah Anda, Anda dapat mengambil kredensial tersebut tanpa Apple memiliki akses langsung ke kredensial tersebut, sehingga pengalaman menjadi lebih mudah tanpa mengorbankan kerahasiaan.
CloudKit memungkinkan pengembang menyimpan dan menyinkronkan data di cloud Apple dengan kontrol privasi per pengguna, sementara SiriKit membatasi jenis informasi yang dapat dikirim aplikasi ke Siri dan bagaimana informasi tersebut direkam untuk meningkatkan layanan. Sementara itu, DriverKit memindahkan pengembangan driver kernel ke ruang pengguna, mengurangi risiko kegagalan driver yang menyebabkan seluruh sistem mengalami kerusakan.
Kerangka kerja seperti ReplayKit (pengambilan gambar layar dan video) atau ARKit (realitas tertambah) juga terus berkembang. kebijakan ketat terkait izin dan penggunaan kamera dan mikrofonsehingga pengguna harus selalu memberikan otorisasi eksplisit ketika sebuah aplikasi ingin merekam audio, video, atau mengakses lokasi.
Gabungan dari semua lapisan ini—perangkat keras yang aman, boot terverifikasi, enkripsi mendalam, kontrol aplikasi yang ketat, otentikasi dua faktor dan enkripsi ujung-ke-ujung, serta kerangka kerja yang dirancang dengan privasi sebagai standar—membuat ekosistem Apple menawarkan sebuah Platform yang sangat andal untuk melindungi data Anda.Meskipun demikian, keamanan utama juga bergantung pada keputusan Anda: memilih kata sandi yang kuat, mengaktifkan otentikasi dua faktor, selalu memperbarui perangkat Anda, meninjau izin aplikasi, dan berhati-hati dengan apa yang Anda instal dan tautan yang Anda buka akan membuat perbedaan antara lingkungan yang benar-benar aman dan lingkungan yang hanya tampak aman.
