Kabar mengejutkan datang dari ranah keamanan digital. Seorang pelaku kejahatan siber yang menggunakan alias ResearcherX dikabarkan memajang sebuah full-chain zero-day exploit yang menargetkan sistem operasi terbaru Apple, iOS 26, di salah satu marketplace gelap yang cukup dikenal di dark web. Listing tersebut langsung memicu kehebohan karena klaimnya menyentuh bagian paling sensitif dari ekosistem keamanan Apple.
Baca Juga : Anti Buram! Cara Upload Story IG HD iPhone
Menurut informasi yang beredar, exploit ini disebut mampu memanfaatkan celah kritis berupa memory-corruption di dalam iOS Message Parser, komponen penting yang bertugas menangani berbagai jenis pesan yang masuk. Kalau klaim ini benar, maka bocornya celah tersebut bisa menjadi ancaman besar bagi pengguna iPhone dan iPad generasi terbaru.
Eksploit “Full Chain”
Dalam deskripsi penjualannya, ResearcherX menegaskan bahwa alat tersebut merupakan sebuah “Full Chain” exploit. Artinya, serangan ini tidak hanya menemukan celah, tetapi juga menyediakan jalur lengkap mulai dari proses infeksi hingga pengambilalihan kontrol penuh perangkat.
Menariknya lagi, serangan ini disebut menggunakan metode zero-click, yaitu teknik yang tidak membutuhkan interaksi sama sekali dari korban. Cukup dengan menerima satu paket data berbahaya, perangkat sudah bisa disusupi. Penyerang hanya memanfaatkan cara sistem memproses pesan yang formatnya sengaja dibuat cacat.
Bug yang dimaksud berasal dari jenis memory corruption, salah satu kelas kerentanan yang sering muncul pada fitur parsing yang kompleks, meskipun Apple sudah menambahkan berbagai lapisan mitigasi modern.
Klaim Paling Mengkhawatirkan
Yang bikin situasi ini makin mencekam adalah klaim bahwa exploit tersebut mampu melewati berbagai mekanisme Multi Layer Protection, yaitu pertahanan berlapis yang diperkenalkan Apple di iOS 26 untuk memperkuat keamanan kernel dan ruang pengguna.
Jika benar bisa ditembus, pelaku dapat memperoleh akses root, level paling tinggi dalam sistem. Dengan akses ini, penyerang berpotensi membaca dan mengekstrak data sensitif, termasuk:
-
Pesan dan foto terenkripsi
-
Lokasi pengguna secara real-time
-
Data penting di Keychain seperti password dan kunci enkripsi
Tidak hanya itu, ResearcherX juga menyoroti tingkat stealth yang tinggi. Exploit diklaim tidak menimbulkan crash, tidak memunculkan notifikasi apa pun, dan tidak meninggalkan tanda mencolok sehingga membuat proses forensik menjadi jauh lebih sulit.
iOS 26
Menariknya, kabar ini muncul tidak lama setelah Apple merilis iOS 26 pada September 2025. Apple menyebut pembaruan ini sebagai salah satu upgrade keamanan terbesar mereka dalam beberapa tahun terakhir. Banyak fitur baru yang difokuskan pada penguatan kernel dan pencegahan serangan berbasis memory safety—tepat pada area yang diklaim telah dieksploitasi ResearcherX.
Jika eksploit yang dijual ini memang berfungsi seperti yang disebutkan, berarti ada kemungkinan bahwa pelaku ancaman sudah menemukan cara untuk melewati proteksi yang bahkan belum berumur satu tahun ini. Di dunia dark web, rantai exploit iOS zero-day yang benar-benar bekerja biasanya dihargai antara $2 juta hingga $5 juta, terutama jika eksklusif dan memiliki tingkat keberhasilan tinggi.
Listing tersebut juga diberi label “Exclusive Sale”, yang berarti penjual hanya akan menjualnya ke satu pihak saja. Biasanya pembeli tipe ini berasal dari kelompok yang memiliki kemampuan finansial besar, seperti lembaga intelijen, grup negara tertentu, atau perusahaan yang berkecimpung di ranah pengumpulan informasi.
Valid atau Penipuan
Meski terdengar mencengangkan, para peneliti keamanan tetap meminta semua pihak berhati-hati dalam menilai klaim ini. Dark web memang dipenuhi listing palsu maupun penjual yang sengaja membesar-besarkan kemampuan alat mereka demi mendapatkan keuntungan cepat.
Bahkan akun penjual yang sudah “verified” sekalipun tidak menjamin bahwa produk mereka benar-benar asli. Namun, beberapa detail teknis seperti penggunaan celah pada Message Parser dan referensi terhadap komponen parsing iMessage memang selaras dengan pola historis eksploitasi di iOS. Sebelumnya, modul seperti iMessage dan BlastDoor juga sering menjadi target karena kompleksitas parsingnya memberikan banyak ruang untuk kesalahan.
Untuk saat ini, belum ada konfirmasi resmi dari Apple. Namun, para pakar keamanan memperingatkan organisasi dan individu berisiko tinggi untuk tetap waspada. Biasanya, jika celah semacam ini benar-benar ada, Apple akan merilis patch darurat seperti iOS 26.0.2 dalam waktu dekat untuk menutup potensi serangan pada lapisan parsing.
Baca Juga : Apple Tutup Celah Keamanan Parah di iPhone dan iPad, Segera Update!
Munculnya klaim exploit full-chain iOS 26 di dark web jelas bukan kabar yang bisa dianggap remeh. Meski belum terbukti valid, detail teknis yang dipaparkan penjual cukup menggelitik dan menimbulkan kekhawatiran bagi komunitas keamanan. Jika terbukti nyata, celah ini dapat memberikan akses penuh kepada penyerang tanpa interaksi dari pengguna sama sekali—sesuatu yang sangat berbahaya di era perangkat mobile yang menyimpan begitu banyak data pribadi.
Sambil menunggu klarifikasi lebih lanjut, pengguna disarankan tetap rutin memperbarui sistem operasi, tidak menunda instalasi patch keamanan, dan meningkatkan kewaspadaan terhadap aktivitas mencurigakan di perangkat mereka.
