Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser

Browser

Ekstensi Google Chrome dapat mengambil fingerprint untuk melacak Anda secara online

by

Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.

Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.

Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.

Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.

Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.

Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.

Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.

Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.

Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.

Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.

Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.

Menghasilkan Sidik Jari Ekstensi
Sumber: BleepingComputer

Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”

Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.

Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.

Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.

Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.

Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.

Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.

z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.

Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.

Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.

Sumber: Bleeping Computer

Microsoft: Pembaruan Windows untuk menonaktifkan Internet Explorer secara permanen

by

Microsoft hari ini mengkonfirmasi bahwa pembaruan Windows di masa mendatang akan menonaktifkan browser web Internet Explorer secara permanen pada sistem pengguna.

Ini terungkap pada hari Rabu, 15 Juni, hari ketika Internet Explorer akhirnya mencapai akhir masa pakainya untuk opsi layanan saluran semi-tahunan (SAC) Windows 10.

Browser web yang sekarang sudah pensiun akan mulai mengarahkan pengguna ke Microsoft Edge baru berbasis Chromium saat meluncurkan aplikasi desktop Internet Explorer 11.

Selama proses pengalihan ini, data pengguna (termasuk pengaturan, favorit, dan kata sandi) akan diimpor ke Microsoft Edge untuk mempermudah peralihan.

Microsoft juga akan menambahkan tombol “Muat ulang dalam mode IE” ke bilah alat Edge untuk membantu pengguna dengan cepat meluncurkan situs yang meminta untuk dibuka di Internet Explorer menggunakan mode IE.

Pesan pengalihan Internet Explorer (Microsoft)

Internet Explorer telah meluncurkan Microsoft Edge secara otomatis saat mengunjungi situs yang tidak kompatibel mulai Oktober 2020.

Daftar situs yang tidak kompatibel (dikelola oleh Microsoft) saat ini berisi 1.427 situs, termasuk Twitter, Facebook, Instagram, Google Drive, Microsoft Teams, dan banyak lainnya.

Meskipun secara resmi pensiun dari beberapa versi Windows 10 dan tidak dikirimkan dengan Windows 11, Internet Explorer akan tetap tersedia di Windows 7 ESU, Windows 8.1, dan semua versi klien Windows 10 LTSC, IoT, dan Server.

Pada sistem yang menjalankan versi Windows ini, browser web akan terus menerima dukungan teknis dan pembaruan keamanan untuk siklus hidup versi Windows yang dijalankannya.

Microsoft telah mendorong pelanggan untuk beralih dari Internet Explorer ke Microsoft Edge selama bertahun-tahun.

Untuk mengaktifkan mode IE di Microsoft Edge, Anda harus pergi ke edge://settings/defaultbrowser, aktifkan opsi ‘Izinkan situs untuk dimuat ulang di Internet Explorer’, dan mulai ulang browser web.

Pada bulan Agustus 2020, Microsoft pertama kali mengumumkan rencana untuk membuang dukungan untuk browser web Internet Explorer 11 di Windows 10 dan Microsoft 365, dengan pengumuman resmi pensiun yang dikeluarkan pada 19 Mei 2021.

Microsoft juga menghentikan dukungan IE di Teams pada 30 November 2020, dan mengakhiri dukungan di seluruh aplikasi dan layanan Microsoft 365 pada 17 Agustus 2021.

Aplikasi dan layanan Microsoft lainnya juga telah mengakhiri dukungan untuk Internet Explorer selama beberapa tahun terakhir

Sumber: Bleeping Computer

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Gambar: Proofpoint

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Pada awal tahun 2021, infrastruktur Emotet diturunkan dalam tindakan penegakan hukum internasional yang juga berujung pada penangkapan dua orang.

Penegakan hukum Jerman menggunakan infrastruktur Emotet sendiri untuk melawan botnet, mengirimkan modul yang menghapus malware dari perangkat yang terinfeksi pada 25 April 2021.

Botnet kembali pada November 2021 menggunakan infrastruktur TrickBot yang sudah ada ketika grup riset Emotet Cryptolaemus, perusahaan keamanan komputer GData, dan perusahaan keamanan siber Advanced Intel semuanya mendeteksi malware TrickBot yang digunakan untuk mendorong pemuat Emotet.

Sumber: Bleeping Computer

Pakar Merincikan Kerentanan RCE Baru yang Mempengaruhi Google Chrome Developer Channel

by

Detail telah muncul tentang kerentanan eksekusi kode jarak jauh kritis yang baru-baru ini ditambal di JavaScript V8 dan mesin WebAssembly yang digunakan di Google Chrome dan browser berbasis Chromium.

Masalah ini berkaitan dengan kasus penggunaan-setelah-bebas dalam komponen pengoptimalan instruksi, eksploitasi yang berhasil dapat “memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser.”

Cacat, yang diidentifikasi dalam versi saluran Dev Chrome 101, dilaporkan ke Google oleh Weibo Wang, seorang peneliti keamanan di perusahaan keamanan siber Singapura Numen Cyber Technology dan sejak itu telah diperbaiki secara diam-diam oleh perusahaan.

“Kerentanan ini terjadi pada tahap pemilihan instruksi, di mana instruksi yang salah telah dipilih dan mengakibatkan pengecualian akses memori,” kata Wang.

Cacat penggunaan-setelah-bebas terjadi ketika memori yang sebelumnya dibebaskan diakses, menyebabkan perilaku tidak terdefinisi dan menyebabkan program macet, menggunakan data yang rusak, atau bahkan mencapai eksekusi kode arbitrer.

Yang lebih memprihatinkan adalah bahwa kelemahan tersebut dapat dieksploitasi dari jarak jauh melalui situs web yang dirancang khusus untuk melewati batasan keamanan dan menjalankan kode arbitrer untuk mengkompromikan sistem yang ditargetkan.

“Kerentanan ini dapat dieksploitasi lebih lanjut dengan menggunakan teknik penyemprotan heap, dan kemudian mengarah pada kerentanan ‘kebingungan tipe’,” jelas Wang. “Kerentanan memungkinkan penyerang untuk mengontrol pointer fungsi atau menulis kode ke lokasi arbitrer di memori, dan akhirnya mengarah pada eksekusi kode.”

Selengkapnya: The Hacker News

Pengguna Tails OS Disarankan untuk Tidak Menggunakan Tor Browser Sampai Bug Firefox Kritis Ditambal

by

Pengelola proyek Tails telah mengeluarkan peringatan bahwa Tor Browser yang dibundel dengan sistem operasi tidak aman digunakan untuk mengakses atau memasukkan informasi sensitif.

“Kami menyarankan Anda berhenti menggunakan Tails hingga rilis 5.1 (31 Mei) jika Anda menggunakan Tor Browser untuk informasi sensitif (kata sandi, pesan pribadi, informasi pribadi, dll.),” kata proyek tersebut dalam sebuah nasihat yang dikeluarkan minggu ini.

Tails, kependekan dari The Amnesic Incognito Live System, adalah distribusi Linux berbasis Debian yang berorientasi pada keamanan yang ditujukan untuk menjaga privasi dan anonimitas dengan menghubungkan ke internet melalui jaringan Tor.

Peringatan itu datang ketika Mozilla pada 20 Mei 2022 meluncurkan perbaikan untuk dua kelemahan kritis zero-day di browser Firefox-nya, versi modifikasi yang bertindak sebagai dasar dari Tor Browser.

Dilacak sebagai CVE-2022-1802 dan CVE-2022-1529, dua kerentanan adalah apa yang disebut sebagai polusi prototipe yang dapat dipersenjatai untuk mendapatkan eksekusi kode JavaScript pada perangkat yang menjalankan versi rentan dari Firefox, Firefox ESR, Firefox untuk Android, dan Thunderbird .

“Misalnya, setelah Anda mengunjungi situs web jahat, penyerang yang mengendalikan situs web ini mungkin mengakses kata sandi atau informasi sensitif lainnya yang Anda kirim ke situs web lain setelahnya selama sesi Tails yang sama,” demikian bunyi nasihat Tails.

Bug tersebut didemonstrasikan oleh Manfred Paul pada kontes peretasan Pwn2Own edisi ke-15 yang diadakan di Vancouver minggu lalu, di mana peneliti dianugerahi $100.000.

Namun, Peramban Tor yang mengaktifkan tingkat keamanan “Teraman” serta klien email Thunderbird di sistem operasi kebal terhadap kelemahan karena JavaScript dinonaktifkan dalam kedua kasus.

Selain itu, kelemahannya tidak merusak anonimitas dan perlindungan enkripsi yang dimasukkan ke dalam Tor Browser, yang berarti bahwa pengguna Tails yang tidak menangani informasi sensitif dapat terus menggunakan browser web.

“Kerentanan ini akan diperbaiki di Tails 5.1 (31 Mei), tetapi tim kami tidak memiliki kapasitas untuk menerbitkan rilis darurat lebih awal,” kata para pengembang.

Sumber: The Hacker News

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

by

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Isi file ISO (Red Canary)

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

by

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

  • CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
  • CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update