Apple

Apple dan Google bekerja sama dalam spesifiksai untuk membuat perangkat pelacak Bluetooth, serpit AirTag, lebih aman

May 3, 2023 by Coffee Bean

Setelah banyak kasus pelacak BLuetooth seperti AirTag Apple digunakan untuk menguntit atau aplikasi kriminal lainnya, Apple dan Google hari ini merilis pengumuman bersama yang mengatakan bahwa mereka akan bekerja sama untuk mempimpin inisiatif industri untuk menyusun speisifikasi yang akan mempringatkan pengguna jika ada pelacakan yang tidak diinginkan dari perangkat Bluetooth. Perusahaan mengatakan mereka sedang mencari masukan dari peserta industri lain dan kelompok advokasi dalam masalah ini, dan mencatat bahwa pembuat pelacak lain seperti Samsung,Tile, Chipolo, eufy Security, dan Pebblebee juga telah menyatakan minatnya pada draf tersebut.

Perusahaan mengajukan spesifikasi yang diusulkan sebagai Internet-Draft melalui organisasi pengembangan standar, Internet Engineering Task Force (IETF). Pihak berkepentingan lainnya sekarang diundang untuk meninjau dan berkomentar selama tuga bulan kedepan. setelah itu, Apple dan GOogle akan memberikan umpan balik dan akan merilis implementasi produksi dari spesifikasi tersebut.

Meskipun AirTag Apple bukan pelacak Bluetooth pertama di pasar yang menghadirkan masalah keamanan seputar penyalahgunaan — Tile dan lainnya telah ada selama bertahun-tahun — kemampuan Apple untuk mengintegrasikan AirTag dengan 2 miliar+ perangkat Apple secara global, termasuk lebih dari 1 miliar iPhone, sebagai bagian dari jaringan “Temukan Saya”, membuatnya menjadi salah satu pemain terbesar dengan segera. Itu juga mempopulerkan teknologi ceruk yang saat itu masih menggunakan pelacak Bluetooth untuk menemukan barang yang hilang, menjadikan perangkat untuk melakukannya menjadi nama rumah tangga.

Segera, cerita mulai bermunculan bahwa AirTag digunakan untuk menguntit dan masalah lain, seperti pencurian mobil. Apple pada Februari 2022 mengumumkan akan bekerja untuk mengatasi beberapa masalah yang telah dibuatnya dengan fitur-fitur baru, termasuk peringatan privasi baru, peringatan, dan dokumentasi yang diperluas. Berharap untuk mencegah penyalahgunaan, ia juga mengatakan secara aktif bekerja dengan penegak hukum pada semua permintaan terkait AirTag yang diterimanya, dan mengonfirmasi bahwa ia dapat memberikan detail akun sebagai tanggapan atas panggilan pengadilan atau permintaan penegakan hukum lainnya yang valid.

selengkapnya : techcrunch.com

Apple Merilis Perbaikan Keamanan ‘Cepat’ Pertama untuk iPhone, iPad, dan Mac

May 2, 2023 by Flamango

Pada hari Senin, Apple merilis batch pertama patch “Rapid Security” yang tersedia untuk umum, bertujuan untuk memperbaiki kerentanan keamanan dengan cepat yang berada di bawah eksploitasi aktif atau menimbulkan risiko signifikan bagi pelanggannya.

Menurut pemberitahuan, pembaruan ‘Rapid Security Response’ memberikan peningkatan keamanan penting di antara pembaruan perangkat lunak yang lebih cepat daripada pembaruan perangkat lunak biasa.

Apple mengaktifkan fitur ini secara default dan beberapa tambalan cepat dapat diinstal tanpa perlu melakukan boot ulang, meskipun tidak selalu.

Pembaruan keamanan tersebut hanya tersedia untuk pelanggan yang menjalankan iOS 16.4.1, iPadOS 16.4.1, dan macOS 13.3.1. Setelah diinstal, itu akan menambahkan huruf ke versi perangkat lunak, seperti iOS 16.4.1 (a), iPadOS 16.4.1 (a), dan macOS 13.3.1 (a).
Kredit gambar-gambar: TechCrunch (tangkapan layar)

Terdapat beberapa kendala dalam peluncuran. Beberapa pelanggan tidak dapat menginstal pembaruan. Apple belum menanggapi permintaan komentar.

Dalam beberapa minggu terakhir, para peneliti telah menemukan eksploitasi baru yang dikembangkan oleh pembuat spyware QuaDream dan NSO Group yang ditujukan untuk menargetkan pemilik iPhone di seluruh dunia.

Sementara Citizen Lab mengatakan bulan lalu bahwa Lockdown Mode, sebuah fitur yang diluncurkan oleh Apple tahun lalu untuk mencegah serangan bertarget serupa, berhasil memblokir setidaknya satu eksploit yang dikembangkan NSO yang menyalahgunakan kerentanan dalam fitur rumah pintar Apple, HomeKit.

Selengkapnya: TechCrunch+

Perbaikan Apple baru-baru ini mengungkapkan zero-days pada iPhone dan iPad lama

April 12, 2023 by Coffee Bean

Apple telah merilis pembaruan darurat untuk mendukung patch keamanan yang dirilis pada hari Jumat, menangani dua kelemahan zero-day yang dieksploitasi secara aktif yang juga memengaruhi iPhone, iPad, dan Mac lama.

“Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif,” kata perusahaan itu dalam penasihat keamanan yang diterbitkan pada hari Senin.

Yang pertama (dilacak sebagai CVE-2023-28206) adalah kelemahan tulis di luar batas di IOSurfaceAccelerator yang memungkinkan pelaku ancaman mengeksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang ditargetkan melalui aplikasi yang dibuat dengan jahat.

Zero-day kedua (CVE-2023-28205) adalah penggunaan WebKit setelah bebas yang memungkinkan pelaku ancaman mengeksekusi kode berbahaya pada iPhone, Mac, atau iPad yang dikompromikan setelah mengelabui target mereka agar memuat halaman web berbahaya.

Hari ini, Apple menangani zero-days di iOS 15.7.5 dan iPadOS 15.7.5, macOS Monterey 12.6.5, dan macOS Big Sur 11.7.6 dengan meningkatkan validasi input dan manajemen memori.

Cacat tersebut dilaporkan oleh peneliti keamanan dengan Grup Analisis Ancaman Google dan Lab Keamanan Amnesty International, yang menemukan mereka dieksploitasi dalam serangan sebagai bagian dari rantai eksploitasi.

Kedua organisasi sering melaporkan aktor ancaman yang didukung pemerintah yang menggunakan taktik dan kerentanan serupa untuk menginstal spyware ke perangkat individu berisiko tinggi di seluruh dunia, seperti jurnalis, politisi, dan pembangkang.

Misalnya, mereka baru-baru ini membagikan detail tentang kampanye yang menyalahgunakan dua rantai eksploit yang menargetkan bug Android, iOS, dan Chrome untuk menginstal malware pengawasan komersial.

CISA juga memerintahkan agen federal untuk menambal perangkat mereka terhadap dua kerentanan keamanan ini, yang dikenal sebagai dieksploitasi secara aktif untuk meretas iPhone, Mac, dan iPad.

Pada pertengahan Februari, Apple menambal WebKit zero-day (CVE-2023-23529) lain yang sedang dalam serangan untuk memicu crash dan mendapatkan eksekusi kode pada perangkat iOS, iPadOS, dan macOS yang rentan.

selengkapnya : bleepingcomputer.com

Apple security updates content of Safari 16.4.1

April 9, 2023 by Coffee Bean

Tentang update keamanan Apple
Untuk perlindungan pelanggan kami, Apple tidak mengungkapkan, mendiskusikan, atau mengonfirmasi masalah keamanan hingga penyelidikan dilakukan dan tambalan atau rilis tersedia. Rilis terbaru dicantumkan di halaman pembaruan keamanan Apple.

Dokumen keamanan Apple mereferensikan Vulnerability oleh CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, lihat halaman Keamanan Produk Apple.

Safari 16.4.1
WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

Bugzilla WebKit: 254797
CVE-2023-28205: Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International

sumber : support.apple.com

Fitur Dasar iPhone Membantu Penjahat Mencuri Seluruh Kehidupan Digital Anda

March 1, 2023 by Coffee Bean

NEW YORK—Pada jam-jam awal akhir pekan Thanksgiving, Reyhan Ayas meninggalkan sebuah bar di Midtown Manhattan ketika seorang pria yang baru saja dia temui merampas iPhone 13 Pro Max-nya.

Dalam beberapa menit, seorang ekonom senior berusia 31 tahun di startup intelijen tenaga kerja, tidak dapat lagi masuk ke akun Apple-nya dan semua hal yang terkait dengannya, termasuk foto, kontak, dan catatan. Selama 24 jam berikutnya, katanya, sekitar $10.000 menghilang dari rekening banknya.

Cerita serupa menumpuk di kantor polisi di seluruh negeri. Menggunakan trik berteknologi rendah yang luar biasa, pencuri melihat pemilik iPhone mengetuk kode sandi mereka, lalu mencuri ponsel target—dan kehidupan digital mereka.

Pencuri mengeksploitasi kerentanan sederhana dalam desain perangkat lunak lebih dari satu miliar iPhone yang aktif secara global. Itu berpusat pada kode sandi, rangkaian angka pendek yang memberikan akses ke perangkat; dan kata sandi, umumnya kombinasi alfanumerik yang lebih panjang yang berfungsi sebagai login untuk akun yang berbeda.

Hanya dengan iPhone dan kode sandinya, penyusup dapat dalam hitungan detik mengubah kata sandi yang terkait dengan ID Apple pemilik iPhone. Ini akan mengunci korban dari akun mereka, termasuk semua yang disimpan di iCloud. Pencuri juga sering dapat menjarah aplikasi keuangan ponsel karena kode sandi dapat membuka akses ke semua kata sandi yang tersimpan di perangkat.

Apple Inc. telah memasarkan dirinya sebagai pemimpin dalam privasi dan keamanan digital, menjual perangkat keras, perangkat lunak, dan layanan web iCloud yang terintegrasi erat sebagai perlindungan terbaik untuk data pelanggannya. “Peneliti keamanan setuju bahwa iPhone adalah perangkat seluler konsumen yang paling aman, dan kami bekerja tanpa lelah setiap hari untuk melindungi semua pengguna kami dari ancaman baru dan yang muncul,” kata juru bicara Apple.

selengkapnya : wsj.com

Peneliti Keamanan Memperingatkan Kelas Baru Bug Apple

February 23, 2023 by Coffee Bean

Peneliti keamanan mengatakan mereka telah menemukan “kelas baru” kerentanan yang memungkinkan penyerang melewati perlindungan keamanan Apple di iOS dan macOS untuk mengakses data sensitif pengguna.

Pusat Penelitian Lanjutan Trellix menerbitkan detail minggu ini tentang kerentanan eskalasi hak istimewa — yang berarti mereka memungkinkan seseorang untuk mendapatkan tingkat akses yang lebih tinggi ke sistem — yang memengaruhi iPhone dan Mac. Trellix memperingatkan bahwa kelas bug, yang berkisar dari tingkat keparahan sedang hingga tinggi, dapat — jika dibiarkan tidak ditambal — memungkinkan aplikasi berbahaya untuk keluar dari “kotak pasir” pelindung mereka dan mengakses informasi sensitif di perangkat seseorang, termasuk pesan seseorang, data lokasi, riwayat panggilan dan foto.

Temuan Trellix mengikuti penelitian sebelumnya dari Google dan Citizen Lab, yang pada tahun 2021 menemukan eksploitasi zero-day baru yang dijuluki ForcedEntry yang disalahgunakan oleh pembuat spyware Israel NSO Group untuk meretas iPhone dari jarak jauh dan diam-diam atas perintah pelanggan pemerintahnya. Apple kemudian memperkuat perlindungan keamanan perangkatnya dengan menambahkan mitigasi penandatanganan kode baru, yang secara kriptografis memverifikasi bahwa perangkat lunak perangkat dipercaya dan belum dimodifikasi, untuk menghentikan eksploitasi eksploit.

Apple menambal kerentanan yang ditemukan Trellix di pembaruan perangkat lunak macOS 13.2 dan iOS 16.3, yang dirilis pada bulan Januari. Dokumen dukungan keamanan Apple juga diperbarui pada hari Selasa untuk mencerminkan rilis tambalan baru.

Will Strafach, seorang peneliti keamanan dan pendiri aplikasi firewall Guardian, menggambarkan kerentanan sebagai “cukup pintar”, tetapi memperingatkan bahwa hanya sedikit yang dapat dilakukan pengguna rata-rata terhadap ancaman ini, “selain tetap waspada dalam menginstal pembaruan keamanan.”

Dan peneliti keamanan iOS dan macOS Wojciech Reguła mengatakan kepada TechCrunch bahwa meskipun kerentanan bisa menjadi signifikan, jika tidak ada eksploitasi, diperlukan lebih banyak detail untuk menentukan seberapa besar permukaan serangan ini.

sumber : techcrunch

Masalah Mantra Bug Jenis Baru untuk Keamanan iOS dan MacOS

February 22, 2023 by Flamango

Peneliti keamanan menemukan kelas kelemahan, yang jika dieksploitasi akan memungkinkan penyerang mengakses pesan, foto, dan riwayat panggilan orang.

Meskipun Apple terus berusaha memperkuat sistem keamanan di iPhone dan Mac, tidak ada perusahaan yang kebal dari masalah keamanan.

Diungkap bahwa bug baru dapat memengaruhi sistem operasi Apple iPhone dan Mac, jika dieksploitasi dapat memungkinkan penyerang menyapu pesan, foto, dan riwayat panggilan Anda.

Para peneliti dari Pusat Penelitian Lanjutan perusahaan keamanan Trellix menerbitkan rincian bug yang memungkinkan peretas kriminal untuk keluar dari perlindungan keamanan Apple dan menjalankan kode tidak resmi mereka sendiri. Tim mengatakan kelemahan keamanan yang mereka temukan melewati perlindungan yang telah dibuat Apple untuk melindungi pengguna.

McKee mengatakan bahwa menemukan kelas bug baru berarti peneliti dan Apple berpotensi dapat menemukan lebih banyak bug serupa dan meningkatkan perlindungan keamanan secara keseluruhan. Apple telah memperbaiki bug yang ditemukan perusahaan, dan tidak ada bukti bahwa bug tersebut dieksploitasi.

McKee menjelaskan bahwa bug dalam kelas NSPredicate baru ini ada di banyak tempat di macOS dan iOS, termasuk di dalam Springboard, aplikasi yang mengelola layar beranda iPhone dan dapat mengakses data lokasi, foto, dan kamera. Setelah bug dieksploitasi, penyerang dapat mengakses area yang seharusnya ditutup. Video proof-of-concept yang diterbitkan oleh Trellix menunjukkan bagaimana kerentanan dapat dieksploitasi.

Setiap penyerang yang mencoba mengeksploitasi bug ini tentunya akan membutuhkan pijakan awal ke perangkat seseorang. Mereka harus menemukan jalan masuk sebelum dapat menyalahgunakan sistem NSPredicate.

Apple menambal kerentanan NSPredicate yang ditemukan Trellix di pembaruan perangkat lunak macOS 13.2 dan iOS 16.3, yang dirilis pada bulan Januari.

Apple juga telah mengeluarkan CVE untuk kerentanan CVE-2023-23530 dan CVE-2023-23531. Sejak itu, Apple juga telah merilis versi macOS dan iOS yang lebih baru, termasuk perbaikan keamanan untuk bug yang dieksploitasi pada perangkat orang.

Selengkapnya: Wired

Apple: Beberapa Eksploitasi Keamanan Baru yang Ditambal dengan Pembaruan iOS 16.3

February 21, 2023 by Flamango

Dengan dirilisnya iOS 16.3.1 minggu lalu, Apple telah merilis beberapa tambalan keamanan untuk pengguna iPhone dan iPad. Saat ini Apple telah memperbarui halaman web keamanannya untuk mengungkapkan bahwa ada lebih banyak eksploit yang telah diperbaiki dengan pembaruan iOS terbaru.

Lebih banyak Tambalan Keamanan Terdaftar dengan Pembaruan iOS 16.3
Apple telah menambahkan Common Vulnerabilities and Exposures (CVE) baru untuk iOS 16.3.1 dan tiga CVE baru untuk iOS 16.3 yang dirilis pada bulan Januari.

Eksploitasi baru yang terdaftar oleh Apple yang ditambal dengan iOS 16.3.1 terkait dengan sertifikat yang dibuat dengan jahat, dapat menyebabkan serangan denial-of-service (DoS).

Halaman web konten keamanan iOS 16.3 juga telah diperbarui dengan tiga eksploit baru yang diperbaiki dengan pembaruan tersebut.

Meski tidak jelas mengapa Apple tidak menyebutkan eksploitasi keamanan seperti itu sebelumnya, perlu diingat bahwa semua kerentanan ini telah diperbaiki dengan iOS 16.3.1, yang kini tersedia untuk semua pengguna. Dengan macOS 13.2.1 dan iOS 16.3.1, Apple juga memperbaiki pelanggaran keamanan terkait WebKit yang telah “dieksploitasi secara aktif”.

Selengkapnya: 9TO5Mac

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Apple

Cookies Settings