Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser

Browser

Google Mengungkapkan Data Pribadi yang Dikumpulkan Chrome dan Aplikasinya tentang Anda

by

Mesin pencari yang berfokus pada privasi, DuckDuckGo, menyebut saingannya Google karena “memata-matai” pengguna setelah raksasa pencarian itu memperbarui aplikasi andalannya untuk menjelaskan jenis informasi yang tepat yang dikumpulkannya untuk tujuan personalisasi dan pemasaran.

“Setelah berbulan-bulan terhenti, Google akhirnya mengungkapkan berapa banyak data pribadi yang mereka kumpulkan di Chrome dan aplikasi Google. Tidak heran mereka ingin menyembunyikannya,” kata perusahaan itu dalam tweet. “Memata-matai pengguna tidak ada hubungannya dengan membuat browser web atau mesin telusur yang hebat.”

“privacy nutrition labels” adalah bagian dari kebijakan baru yang mulai berlaku pada 8 Desember 2020, yang mewajibkan pengembang aplikasi untuk mengungkapkan praktik pengumpulan data mereka dan membantu pengguna memahami bagaimana informasi pribadi mereka digunakan.

Sindiran dari DuckDuckGo muncul karena Google terus menambahkan label privasi aplikasi ke aplikasi iOS-nya selama beberapa minggu terakhir sesuai dengan aturan App Store Apple, tetapi tidak sebelum penundaan selama tiga bulan yang menyebabkan sebagian besar aplikasinya. untuk pergi tanpa diperbarui, memberikan kepercayaan pada teori bahwa perusahaan telah menghentikan pembaruan aplikasi iOS sebagai konsekuensi dari penegakan Apple.

Dimulai dengan iOS 14, aplikasi pihak pertama dan ketiga tidak hanya harus memberi tahu pengguna informasi apa yang mereka kumpulkan, tetapi juga mendapatkan izin untuk melakukannya. Label privasi bertujuan untuk menyingkat praktik pengumpulan data aplikasi dalam format yang mudah dipahami dan ramah pengguna tanpa menjelaskan secara detail tentang tujuan penggunaan data tersebut.

Analisis praktik pengumpulan data aplikasi oleh perusahaan penyimpanan cloud pCloud yang dirilis awal bulan ini menemukan bahwa 52% aplikasi berbagi data pengguna dengan pihak ketiga, dengan 80% aplikasi menggunakan data yang dikumpulkan untuk “memasarkan produk mereka sendiri di aplikasi” dan menayangkan iklan di platform lain.

https://thehackernews.com/2021/03/google-to-reveals-what-personal-data.html

selengkapnya : TheHackernews

Malware CopperStealer baru mencuri akun Google, Apple, Facebook

by

Malware pencuri akun yang sebelumnya tidak diketahui yang didistribusikan melalui situs crack perangkat lunak palsu menargetkan pengguna penyedia layanan utama, termasuk Google, Facebook, Amazon, dan Apple.

Malware, yang dijuluki CopperStealer oleh peneliti Proofpoint, adalah pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fitur pengunduh yang memungkinkan operatornya mengirimkan muatan berbahaya tambahan ke perangkat yang terinfeksi.

Aktor ancaman di balik malware ini telah menggunakan akun yang disusupi untuk menjalankan iklan berbahaya dan mengirimkan malware tambahan dalam kampanye malvertising berikutnya.

“Sementara kami menganalisis sampel yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram, kami juga mengidentifikasi versi tambahan yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr, dan Twitter,” kata Proofpoint dalam laporan yang mereka terbitkan.

CopperStealers bekerja dengan memanen kata sandi yang disimpan di browser web Google Chrome, Edge, Firefox, Yandex, dan Opera.

Itu juga akan mengambil Token Akses Pengguna Facebook korban menggunakan cookie curian untuk mengumpulkan konteks tambahan, termasuk daftar teman mereka, info akun iklan, dan daftar halaman Facebook yang dapat mereka akses.

Malware yang dijatuhkan menggunakan modul pengunduh CopperStealer mencakup backdoor Smokeloader modular dan beragam muatan berbahaya lainnya yang diunduh dari beberapa URL.

Selengkapnya: Bleeping Computer

Google memperbaiki kerentanan zero-day kedua yang aktif dieksploitasi bulan ini

by

Google telah memperbaiki zero-day Chrome yang dieksploitasi secara aktif bulan ini dengan merilis Chrome 89.0.4389.90 ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux.

Zero-day yang dilacak sebagai CVE-2021-21193 dinilai oleh Google sebagai kerentanan dengan tingkat keparahan tinggi dan dilaporkan oleh peneliti Anonymous pada hari Selasa.

Google menggambarkannya sebagai “use after free bug in Blink”, mesin rendering browser sumber terbuka yang dikembangkan oleh proyek Chromium dengan kontribusi dari Google, Facebook, Microsoft, dan lainnya.

Eksploitasi zero-day yang berhasil dapat mengakibatkan eksekusi kode arbitrer pada sistem yang menjalankan versi Chrome yang rentan.

Meskipun Google mengatakan bahwa mereka mengetahui CVE-2021-21193 aktif dieksploitasi, Google tidak membagikan info mengenai serangan yang sedang berlangsung ini.

Hingga informasi lebih lanjut tersedia, pengguna Chrome seharusnya memiliki lebih banyak waktu untuk menerapkan pembaruan keamanan yang diluncurkan dalam beberapa hari mendatang untuk mencegah upaya eksploitasi.

Kurangnya info tambahan juga akan mencegah pelaku ancaman lainnya mengembangkan eksploitasi mereka sendiri yang menargetkan zero-day ini.

Sumber: Bleeping Computer

WordPress berencana untuk menghentikan dukungan untuk Internet Explorer 11

by

Platform blogging paling terkenal dan populer, WordPress, sedang mempertimbangkan untuk menghentikan dukungan untuk Internet Explorer 11 karena penggunaan browser turun di bawah 1%.

Menggunakan tiga metrik untuk menentukan jumlah orang yang masih menggunakan IE 11, WordPress menemukan bahwa penggunaan kumulatifnya di bawah 1%:

  • 0,71% dari StatCounter’s GlobalStats.
  • 1,2% dari Penghitung W3.
  • 0,46% dari WordPress.com.

Angka penggunaan ini serupa dengan saat WordPress menghentikan dukungan untuk Internet Explorer 8, 9, dan 10 pada tahun 2017.

Dengan angka serendah itu dan mahalnya biaya pemeliharaan browser, WordPress berencana untuk menghapus dukungan untuk Internet Explorer 11 di masa mendatang.

Untuk merumuskan rencana mereka dalam menjatuhkan dukungan, WordPress meminta pengguna dan organisasi yang masih menggunakan browser untuk memberikan umpan balik sampai dengan 18 Maret.

WordPress tidak sendirian dalam menjatuhkan dukungan untuk IE 11.

Pada Agustus 2020, Microsoft mengumumkan bahwa mereka tidak lagi mendukung Internet Explorer di aplikasi web Microsoft Teams, dan Microsoft 365 tidak lagi mendukungnya mulai tanggal 17 Agustus 2021.

Sumber: Bleeping Computer

Google menambal kerentanan zero-day Chrome yang dieksploitasi secara aktif

by

Google telah memperingatkan tentang laporan bahwa kerentanan zero-day di browser Chrome sedang dieksploitasi secara aktif di alam liar.

Kerentanan, dilacak sebagai CVE-2021-21166, dilaporkan oleh Alison Huffman dari tim Riset Kerentanan Browser Microsoft pada 11 Februari dan dijelaskan sebagai “masalah siklus hidup objek dalam audio”.

Google telah memberi label kerentanan tersebut sebagai kelemahan keamanan dengan tingkat keparahan “tinggi” dan telah memperbaiki masalah tersebut dalam rilis Chrome terbaru.

Bersamaan dengan CVE-2021-21166, Huffman juga baru-baru ini melaporkan bug tingkat tinggi lainnya, CVE-2021-21165, masalah gaya hidup objek lain dalam masalah audio, dan CVE-2021-21163, masalah validasi data yang tidak mencukupi dalam Mode Pembaca.

Raksasa teknologi itu belum mengungkapkan rincian lebih lanjut tentang bagaimana CVE-2021-21166 dieksploitasi, atau oleh siapa.

Pengumuman Google, yang diterbitkan pada hari Selasa, juga menandai rilis Chrome 89 ke saluran desktop stabil untuk mesin Windows, Mac, dan Linux, yang saat ini sedang diluncurkan. Pengguna harus meningkatkan ke Chrome 89.0.4389.72 sesegera mungkin.

Sumber: ZDNet

Chrome akan segera mencoba HTTPS terlebih dahulu saat Anda mengetik URL yang tidak lengkap

by

Engineer Google telah menjadi beberapa promotor fitur keamanan browser yang paling gigih selama beberapa tahun terakhir dan, bersama dengan tim di balik browser Firefox dan Tor, sering berada di balik banyak perubahan yang telah membentuk browser menjadi seperti sekarang ini.

Salah satu bidang minat terbesar bagi para engineer Chrome selama beberapa tahun terakhir adalah mendorong dan mempromosikan penggunaan HTTPS, baik di dalam browser mereka, tetapi juga di antara pemilik situs web.

Sebagai bagian dari upaya ini, Chrome sekarang mencoba meningkatkan situs dari HTTP ke HTTPS saat HTTPS tersedia. Chrome juga memperingatkan pengguna saat mereka akan memasukkan sandi atau data kartu pembayaran pada halaman HTTP yang tidak aman.

Dan Chrome juga memblokir unduhan dari sumber HTTP jika URL lamannya HTTPS —untuk menghindari pengguna tertipu sehingga mengira unduhan mereka aman tetapi sebenarnya tidak.

Perubahan terbaru dari HTTPS pertama ini akan tiba di Chrome 90, dan dijadwalkan akan dirilis pada pertengahan April tahun ini.

Perubahan tersebut akan memengaruhi Omnibox Chrome — nama yang digunakan Google untuk mendeskripsikan bilah alamat (URL) Chrome.

Selengkapnya: ZDNet

Penjelajahan yang lebih pribadi? Firefox semakin ketat dalam pelacakan cookie dengan perlindungan ‘total’ baru

by

Mozilla, pembuat browser Firefox, telah meluncurkan fitur yang disebut Total Cookie Protection sebagai bagian dari “Mode Ketat” Perlindungan Pelacakan yang Ditingkatkan yang menjanjikan untuk membungkam pelacakan lintas situs.

Jika Anda disadap oleh perusahaan yang menggunakan cookie untuk melacak aktivitas online Anda di seluruh situs web, Mozilla mungkin punya jawabannya.

“Total Cookie Protection membatasi cookie ke situs tempat mereka dibuat, yang mencegah perusahaan pelacak menggunakan cookie ini untuk melacak penjelajahan Anda dari situs ke situs,” kata Mozilla dalam posting blog baru.

Fitur ini tersedia sebagai bagian dari fitur Firefox yang disebut Enhanced Tracking Protection.

Mozilla berpendapat bahwa sebagian besar browser mengizinkan cookie untuk dibagikan antar situs web, memungkinkan staf pemasaran untuk “menandai” browser dan melacak pengguna saat mereka menjelajahi situs.

“Jenis pelacakan berbasis cookie ini telah lama menjadi metode yang paling umum untuk mengumpulkan intelijen pada pengguna. Ini adalah komponen kunci dari pelacakan komersial massal yang memungkinkan perusahaan periklanan untuk diam-diam membangun profil pribadi Anda yang terperinci,” kata Mozilla.

Selengkapnya: ZDNet

Peringatan: Google Alerts disalahgunakan untuk mendorong pembaruan Adobe Flash palsu

by

Pelaku ancaman menggunakan Google Alerts untuk mempromosikan pembaruan Adobe Flash Player palsu yang memasang program tak diinginkan lainnya di komputer pengguna yang tidak menaruh curiga.

Pelaku ancaman membuat cerita palsu dengan judul yang berisi kata kunci populer yang kemudian diindeks oleh Google Penelusuran. Setelah diindeks, Google Alerts akan memberi tahu orang-orang yang mengikuti kata kunci tersebut.

Saat mengunjungi cerita palsu menggunakan tautan Google redirect, seperti yang ditunjukkan di bawah ini, pengunjung akan diarahkan ke situs jahat pelaku ancaman.

Sumber: BleepingComputer

Namun, jika Anda mengunjungi URL cerita palsu secara langsung, situs web akan menyatakan bahwa halaman tersebut tidak ada.

Akhir pekan ini, BleepingComputer mengamati berita palsu yang dialihkan ke kampanye baru yang menyatakan Flash Player Anda sudah usang dan kemudian meminta Anda untuk menginstal updater.

Sumber: BleepingCompuer

Jika pengguna mengklik tombol Update, mereka akan mendownload file setup.msi [VirusTotal] yang menginstal program yang mungkin tidak diinginkan bernama ‘One Updater’.

Sumber: BleepingComputer

Seiring waktu, One Updater akan menampilkan pembaruan yang harus diinstal dan menawarkan program yang mungkin tidak diinginkan.

Jika Anda dialihkan ke situs web, baik melalui Google Alerts, Google Search, atau cara lain dan diminta untuk memasang ekstensi atau pembaruan program, cukup tutup browser Anda.

Selengkapnya: Bleeping Computer