Browser

DuckDuckGo Menghentikan Aplikasi Android Dari Mengintip Data Anda

November 20, 2021 by Søren

Pada hari Kamis, pro privasi di DuckDuckGo mengumumkan fitur baru yang dimaksudkan untuk menghentikan pelacak invasif dan pemain pihak ketiga yang mungkin dibundel dengan aplikasi yang mereka unduh.

Fitur “Perlindungan Pelacakan Aplikasi untuk Android” yang baru ini diluncurkan dalam versi beta sebagai bagian dari peramban seluler mandiri yang berfokus pada privasi perusahaan. Jika nama itu terdengar familier, mungkin karena Apple meluncurkan fitur serupa—dijuluki “Transparansi Pelacakan Aplikasi,” atau ATT—ke perangkat iOS-nya April lalu.

Sejak itu, telah banyak pemilik iPhone memilih untuk tidak mengizinkan aplikasi melacak aktivitas mereka untuk tujuan penargetan iklan. Sementara itu, perusahaan seperti Facebook dan Google, yang pendapatannya sangat besar sangat bergantung pada pelacakan itu, telah mengeluarkan miliaran dolar sejak fitur itu pertama kali hadir.

Hal terdekat yang ditawarkan Google kepada pengguna Android sejauh ini kembali pada bulan Juni, ketika perusahaan mengumumkan akan membiarkan pemilik Android 12 memilih keluar dari iklan yang dipersonalisasi di perangkat mereka mulai akhir tahun ini.

Bahkan ketika diluncurkan, kritik yang tak terhitung jumlahnya telah menunjukkan bahwa Google mengambil fitur tersebut hampir tidak menawarkan tingkat perlindungan yang sama dengan yang diberikan Apple kepada penggunanya, itulah sebabnya DuckDuckGo melangkah ke atas.

Gizmodo

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

November 19, 2021 by Winnie the Pooh

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Google Mengeluarkan Peringatan Untuk 2 Miliar Pengguna Chrome

November 19, 2021 by Eevee

Google mengungkapkan 25 kerentanan baru telah ditemukan dalam dua minggu terakhir. Ini menilai tujuh di antaranya sebagai ancaman tingkat ‘Tinggi’. Pengguna Linux, macOS, dan Windows semuanya terpengaruh dan perlu mengambil tindakan segera.

Chrome mengalami masalah lebih lanjut setelah banyak laporan dari pengguna bahwa versi baru (96) memutus akses ke situs-situs utama seperti Instagram, Twitter, Discord, dan lainnya. Pengguna menerima pesan: “Ada yang tidak beres. Coba muat ulang.” Saat halaman dimuat ulang, elemen kunci seperti gambar, video yang disematkan, dan halaman yang dirender dengan warna yang salah sering kali hilang.

Beberapa solusi telah dicoba dan menonaktifkan fitur penyematan baru yang diperkenalkan di Chrome 96. Pada tahap ini, tidak diketahui apakah Google dapat menerapkan perbaikan dari jarak jauh tanpa harus merilis Chrome versi baru. Hal tersebut membuat pengguna Chrome dalam posisi yang sulit dengan pilihan menunggu dan meninggalkan kerentanan keamanan yang diketahui di browser (detail di bawah) atau memperbarui dan berpotensi merusak pengalaman menjelajah mereka.

Google saat ini membatasi informasi tentang peretasan ini untuk mengulur waktu bagi pengguna Chrome untuk meningkatkan versi. Akibatnya, melihat ancaman tingkat tinggi baru, kami hanya memiliki informasi berikut untuk melanjutkan:

High – CVE-2021-38007: ype Kebingungan di V8. Dilaporkan oleh Polaris Feng dan SGFvamll di Singular Security Lab pada 2021-09-29
High – CVE-2021-38008: Gunakan setelah gratis di media. Dilaporkan oleh Marcin Towalski dari Cisco Talos pada 2021-10-26
High – CVE-2021-38009: Implementasi yang tidak tepat dalam cache. Dilaporkan oleh Luan Herrera (@lbherrera_) pada 2021-10-16

Selengkapnya : Bleeping Computer

Peretasan ini mengikuti pola yang sudah dikenal, dengan eksploitasi ‘Use-After-Free’ (UAF). Eksploitasi UAF yang berhasil mencapai 10x pada bulan September dan Oktober dan telah menjadi penyebab beberapa peretasan ‘zero-day’ juga. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.

Eksploitasi Chrome V8 juga marak pada tahun 2021 bersama dengan kekurangan buffer overflow Heap. V8 adalah mesin JavaScript open-source yang digunakan oleh Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.

Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.45 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.

Ingat: setelah memperbarui, Anda harus me-restart browser Anda untuk dilindungi. Langkah ini sering diabaikan. Merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi secara konsisten dirilis dalam beberapa hari setelah penemuan mereka, tetapi mereka hanya efektif jika miliaran pengguna kemudian memulai ulang browser mereka.

Selengkapnya : Forbes

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

November 19, 2021 by Eevee

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

Penjelajah SS7
Penjelajah ONLINE SS7
Peretasan SS7
Pasar Rubah Gelap

Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer

Google Chrome 96 merusak Twitter, Discord, rendering video, dan lainnya

November 17, 2021 by Winnie the Pooh

Google Chrome 96 dirilis kemarin, dan pengguna melaporkan masalah dengan Twitter, Discord, dan Instagram yang disebabkan oleh versi baru chrome ini.

Setelah memperbarui ke Chrome 96, pengguna melaporkan kesalahan dalam pemberitahuan Twitter mereka, dengan peringatan situs web bahwa “Ada yang tidak beres. Coba muat ulang,” seperti yang ditunjukkan di bawah ini.

Pengguna Twitter lainnya melaporkan GIF menjadi hitam, gambar tidak ditampilkan, atau video tidak dapat diputar. Sebagai gantinya, Twitter menunjukkan pesan kesalahan yang sama yang berbunyi, “Ada kesahalan.”

Masalah telah dilaporkan ke Google dalam posting bug Chromium di mana karyawan Google telah mulai menyelidiki masalah tersebut.

“Kami terus melihat laporan pengguna tentang perilaku ini, termasuk laporan dari tim sosial kami,” kata manajer produk Google, Craig Tumblison.

“Satu pengguna telah membagikan bahwa menonaktifkan flag “chrome://flags/#cross-origin-embedder-policy-credentialless” menyelesaikan permasalahan tersebut. Laporan lain membagikan pesan kesalahan khusus: “Koneksi ditolak di https://cards -frame.twitter.com”. Tim penguji, bisakah Anda mencoba mengaktifkan tanda itu untuk melihat apakah perilaku itu muncul?”

Flag ‘chrome://flags/#cross-Origin-embedder-policy-credentialles’ terkait dengan fitur Cross-Origin-Embedder-Policy baru yang dirilis dengan Chrome 96.

Google menyatakan bahwa Anda dapat memperbaiki bug ini dalam beberapa kasus dengan menyetel “chrome://flags/#cross-Origin-embedder-policy-credentialless” ke nonaktif.

Jika Anda mengalami kendala yang sama, Anda dapat menyalin dan menempelkan alamat chrome:// di atas ke bilah alamat Google Chrome dan tekan enter. Ketika flag eksperimental muncul, harap setel ke Dinonaktifkan dan luncurkan kembali browser saat diminta.

Selengkapnya: Bleeping Computer

Pembaruan Microsoft 365 Membuat Atasan Anda Dapat Melihat Aktivitas Browsing Anda

November 8, 2021 by Eevee

Microsoft sedang mempersiapkan beberapa pembaruan kecil yang dapat mengekang antusiasme karyawan yang melanggar aturan. Berita ini kembali datang dari layanan peta jalan Microsoft, di mana Redmond mempersiapkan Anda untuk kegembiraan yang akan datang.

“Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Peningkatan visibilitas di browser.”
Ini merupakan peta jalan untuk administrator. Ketika Anda memberikan “peningkatan visibilitas di browser” kepada administrator, hal tersebut merupakan peningkatan pengawasan terhadap apa yang diketik karyawan di browser tersebut.

Microsoft menargetkan “aktivitas berisiko.” Yang mungkin, memiliki semacam definisi. mereka menawarkan tautan ke pusat kepatuhannya, dimana kalimat pertama memiliki pelapor bawaan: “Browser web sering digunakan oleh pengguna untuk mengakses file sensitif dan non-sensitif dalam suatu organisasi.”

Dan apa yang dipantau oleh pusat kepatuhan? Mengapa, “file yang disalin ke penyimpanan cloud pribadi, file yang dicetak ke perangkat lokal atau jaringan, file yang ditransfer atau disalin ke jaringan berbagi, file yang disalin ke perangkat USB.”

Anda mungkin berasumsi bahwa ini masalahnya? Mungkin. Tapi sekarang akan ada peningkatan visibilitas secara misterius.

“Bagaimana visibilitas ini bisa ditingkatkan?,” Ada sedikit pembaruan peta jalan lain yang mungkin menawarkan petunjuk.

Microsoft menyatakan: “Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Pendeteksi ML baru.”

Perusahaan Anda akan segera memiliki robot ekstra-khusus untuk merangkak mengikuti dan mengamati setiap tindakan “berisiko” Anda. Meningkatkan visibilitas di browser tidaklah cukup, Anda juga harus memiliki Machine Learning yang terus-menerus waspada terhadap seseorang yang mengungkapkan jadwal makan siang Anda.

Microsoft menawarkan tautan ke halaman Manajemen Risiko Orang Dalam. “Pelanggan mengakui wawasan yang terkait dengan perilaku, karakter, atau kinerja pengguna individu yang secara material terkait dengan pekerjaan dapat dihitung oleh administrator dan tersedia bagi orang lain dalam organisasi.”

Semakin mudah bagi karyawan untuk berperilaku dengan cara yang sedikit jahat, maka harus ada keamanan untuk mencegah mereka melakukannya.
Semakin banyak kelemahan dunia maya, semakin seseorang mungkin ingin mengeksploitasinya.

Pada akhirnya, tentu saja, ini adalah representasi kecil lainnya dari kurangnya kepercayaan di antara manusia terutama antara manajemen dan karyawan. Semakin banyak perusahaan menurunkan perangkat lunak mata-mata kepada karyawan mereka terutama karyawan yang bekerja dari rumah maka semakin sedikit kepercayaan yang ada di antara mereka yang bekerja dan mereka yang mengelola.

Semakin banyak perusahaan ingin mengikuti setiap momen kehidupan kerja karyawan mereka dan bahkan kehidupan non-kerja maka akan semakin sedikit rasanya kita semua bersama-sama.

Microsoft 365 mengikuti Anda sekitar 365 hari setahun.

Selengkapnya : Microsoft will now snitch on you

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

October 30, 2021 by Søren

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

October 26, 2021 by Winnie the Pooh

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Browser

Cookies Settings