Company

Pelacak AirTag Apple membuatnya sangat mudah untuk ‘menguntit’ saya dalam pengujian

May 6, 2021 by Winnie the Pooh

Pelacak AirTag Apple membuatnya menjepretkan AirTag seukuran tombol ke kunci Anda, dan ini akan membantu Anda menemukan di mana Anda secara tidak sengaja menjatuhkannya di taman. Tetapi jika orang lain memasukkan AirTag ke dalam tas atau mobil Anda tanpa sepengetahuan Anda, AirTag juga dapat digunakan untuk melacak ke mana pun Anda pergi secara diam-diam. Bersamaan dengan membantu Anda menemukan barang yang hilang, AirTags adalah cara baru untuk mengintai yang murah dan efektif. Sungguh mudah untuk ‘menguntit’ saya dalam ujian

Saya tahu karena saya menguji AirTags dengan membiarkan kolega Washington Post berpura-pura menguntit saya. Dan upaya Apple untuk menghentikan penyalahgunaan pelacak saja tidak cukup.

Untuk mencegah apa yang disebutnya “pelacakan yang tidak diinginkan,” Apple membangun teknologi ke dalam AirTags untuk memperingatkan calon korban, termasuk alarm yang dapat didengar dan pesan tentang AirTag yang mencurigakan yang muncul di iPhone. Untuk menguji perlindungan keamanan pribadi Apple, kolega saya Jonathan Baran memasangkan AirTag dengan iPhone-nya, menyelipkan labelnya di ransel saya (dengan izin saya), lalu melacak saya selama seminggu dari seberang Teluk San Francisco.

Saya mendapat banyak peringatan: dari AirTag yang tersembunyi dan di iPhone saya. Namun, tidak sulit menemukan cara mitra yang melakukan penyalahgunaan dapat mengelak dari sistem Apple. Salah satunya: Alarm yang terdengar hanya berdering setelah tiga hari – dan kemudian ternyata hanya 15 detik dari kicauan ringan. Dan lainnya: Saat iPhone memberi tahu saya bahwa AirTag yang tidak dikenal sedang berpindah bersama saya, peringatan serupa tidak tersedia untuk kira-kira separuh orang Amerika yang menggunakan ponsel Android.

selengkapnya : www.washingtonpost.com

Apple memperbaiki 2 kerentanan zero-day iOS yang digunakan secara aktif dalam serangan

May 4, 2021 by Winnie the Pooh

Hari ini, Apple telah merilis pembaruan keamanan yang memperbaiki dua kerentanan zero-day iOS yang dieksploitasi secara aktif di mesin Webkit yang digunakan oleh peretas untuk menyerang perangkat iPhone, iPad, iPod, macOS, dan Apple Watch.

Webkit adalah mesin rendering browser Apple yang harus digunakan oleh semua browser web seluler di iOS dan aplikasi lain yang membuat HTML, seperti Apple Mail dan App Store.

Kerentanan ini dilacak sebagai CVE-2021-30665 dan CVE-2021-30663, dan keduanya memungkinkan eksekusi kode jarak jauh (RCE) pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya.

Kerentanan RCE dianggap paling berbahaya karena memungkinkan penyerang menargetkan perangkat yang rentan dan menjalankan perintah pada perangkat tersebut dari jarak jauh.

Daftar perangkat yang terpengaruh meliputi:

iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
macOS Big Sur
Apple Watch Series 3 dan lebih baru

Zero-day tersebut telah ditangani oleh Apple hari ini di iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, dan pembaruan watchOS 7.4.1. Pengguna disarankan untuk memperbarui perangkat mereka sesegera mungking.

Selengkapnya: Bleeping Computer

Cara Opt out dari Google FLoC di Chrome

May 1, 2021 by Winnie the Pooh

Ada beberapa opsi yang tersedia untuk menonaktifkan atau menyisih dari FLoC:

Buka menu setelan Google Chrome dan pilih tidak ikut secara manual.
Instal ekstensi browser yang dibuat untuk memblokir FLoC.
Beralihlah dari Chrome dan gunakan browser lain.

-Untuk menyisih secara manual di Chrome, masuk ke pengaturan browser dan nonaktifkan cookie pihak ketiga. Ini juga akan menonaktifkan FLoC.

-Anda akan menemukan opsi ini di layar Pengaturan Chrome. Klik menu> Pengaturan untuk membukanya di Windows. Di Mac, klik Chrome> Preferensi.

-Pilih “Privasi dan Keamanan” di panel kiri. Klik “Cookie dan data situs lainnya” di panel kanan.

-Pilih “Blokir Cookie Pihak Ketiga” di bawah Pengaturan Umum di sini. Anda sekarang dapat menutup tab Setttings.

Sebagai alternatif, Anda dapat menggunakan ekstensi browser Chrome yang dirancang oleh pembuat DuckDuckGo. DuckDuckGo dikenal dengan peramban yang berpusat pada privasi dan mengatakan bahwa pencarian dari situs webnya akan menonaktifkan FLoC secara default terlepas dari apakah Anda memasang ekstensi.

Jika Anda tidak ingin repot dengan salah satu hal di atas, Anda dapat mengunduh browser yang benar-benar baru untuk menjelajahi FLoC. Brave dan Vivaldi, keduanya dibangun di atas Chromium, telah berjanji untuk menonaktifkan FLoC secara default. Safari dibuat di Webkit, bukan Chromium, jadi FLoC tidak ada masalah di sana. Pembuat Firefox juga mengatakan bahwa mereka tidak akan berpartisipasi. Microsoft juga telah menonaktifkan FLoC di browser Microsoft Edge berbasis Chromium.

selengkapnya : www.howtogeek.com

Apple Menambal Bug MacOS Zero-Day Yang Dapat Melewati Pertahanan Anti-Malware

April 30, 2021 by Winnie the Pooh

Varian ancaman Mac No. 1 Shlayer sejak Januari telah mengeksploitasi kerentanan, yang memungkinkan muatan tidak diperiksa melalui fitur keamanan OS utama.

Apple menambal kerentanan zero-day di MacOS-nya yang dapat melewati anti-malware kritis dan yang telah dieksploitasi oleh varian dari ancaman Mac yang terkenal, penetes adware Shlayer, telah dieksploitasi selama beberapa bulan.

Peneliti keamanan Cedric Owens pertama kali menemukan kerentanan, dilacak sebagai CVE-2021–30657 dan ditambal di macOS 11.3, pembaruan yang dijatuhkan oleh Apple pada hari Senin. Kerentanan ini sangat berbahaya bagi pengguna macOS karena memungkinkan penyerang dengan sangat mudah membuat muatan macOS yang tidak terkendali oleh fitur keamanan ketat yang terpasang di OS khusus untuk mencegah malware masuk.

selengkapnya : threatpost.com

support.apple.com

GitHub menonaktifkan pelacakan pengguna Google FloC di situsnya

April 29, 2021 by Winnie the Pooh

Kemarin, GitHub mengumumkan peluncuran header HTTP misterius di semua situs Halaman GitHub. Halaman GitHub memungkinkan pengguna membuat situs web langsung dari dalam repositori GitHub mereka.

Dan ternyata, header ini, yang sekarang dikembalikan oleh situs GitHub, sebenarnya dimaksudkan bagi pemilik situs web untuk menyisih dari pelacakan Google FLoC.

BleepingComputer juga memperhatikan bahwa seluruh domain github.com memiliki header ini, menunjukkan GitHub tidak ingin pengunjungnya disertakan dalam “kelompok” Google FLoC saat mengunjungi halaman GitHub mana pun.

Google FLoC adalah teknologi yang lebih baru untuk menggantikan pelacakan cookie pihak ketiga tradisional yang digunakan oleh jaringan iklan dan platform analitik untuk melacak pengguna di seluruh web.

Seperti dilansir BleepingComputer sebelumnya, pemilik situs web yang tidak ingin menjadi bagian dalam FLoC dapat memblokirnya dengan menggunakan header permintaan HTTP berikut kepada pengunjung mereka:

Permissions-Policy: interest-cohort=()

Header ini memungkinkan situs untuk menyisih dari FLoC, dalam artian, kunjungan ke situs yang mengembalikan header HTTP ini akan diabaikan oleh browser web saat membuat data kelompok untuk pengguna.

Seperti yang dilihat oleh BleepingComputer, baik domain *.github.com dan situs Halaman GitHub yang dihosting di *.github.io menggunakan header HTTP ini pada saat penulisan:

Selengkapnya: Bleeping Computer

Perubahan privasi utama Apple sudah tiba. Ini yang perlu Anda ketahui

April 27, 2021 by Winnie the Pooh

Apple meluncurkan fitur privasi utama pada hari Senin yang akan memungkinkan pengguna iOS untuk memutuskan bagaimana mereka ingin data pribadi mereka ditangani – sebuah langkah yang mengkhawatirkan beberapa perusahaan, termasuk Facebook.

Pengguna iOS sekarang harus memberikan izin eksplisit kepada aplikasi untuk melacak perilaku mereka dan menjual data pribadi mereka, seperti usia, lokasi, kebiasaan belanja dan informasi kesehatan, kepada pengiklan.

Meskipun banyak aplikasi telah memungkinkan orang untuk mengelola ini selama bertahun-tahun, itu biasanya terkubur jauh di dalam pengaturan pengguna dan kebijakan privasi yang bertele-tele.

Di iOS 14.5, pengembang sekarang diharuskan untuk meminta pengguna melalui peringatan pop-up apakah mereka dapat “melacak aktivitas Anda di seluruh aplikasi dan situs perusahaan lain”. Orang yang tidak setuju akan melihat lebih sedikit iklan yang dipersonalisasi. Dan begitu pengguna membuat pilihan, mereka dapat merubah pikiran melalui menu setting.

Apple (AAPL) juga menambahkan label baru pada bulan Desember ke App Store-nya yang menjelaskan jenis data pengguna yang dikumpulkan dan dibagikan untuk setiap aplikasi, mulai dari informasi keuangan dan lokasi hingga riwayat penelusuran dan pembelian.

Selengkapnya: CNN

Geng ransomware kini memperingatkan mereka akan membocorkan logo baru Apple

April 27, 2021 by Winnie the Pooh

Kelompok ransomware REvil secara misterius menghapus skema Apple dari situs kebocoran data mereka setelah secara pribadi memperingatkan Quanta bahwa mereka akan membocorkan gambar untuk iPad baru dan logo baru Apple.

Awal bulan ini, geng ransomware melakukan serangan terhadap Quanta, produsen desain asli (ODM) yang berbasis di Taiwan yang membantu pembuatan Apple Watch, Apple Macbook Air, dan Apple Macbook Pro.

Sebagai bagian dari serangan ini, pelaku ancaman mencuri data milik perusahaan, termasuk gambar dan skema untuk produk Apple.

Setelah tidak menerima pembayaran tebusan dari Quanta, yang memiliki harga awal $50 juta, REvil mulai memposting skema untuk Apple Macbooks di situs kebocoran data mereka.

Sebagai bagian dari kebocoran ini, REvil memperingatkan Apple bahwa mereka harus membeli kembali data paling lambat 1 Mei atau lebih banyak data akan bocor.

REvil telah memperingatkan Quanta bahwa mereka akan mulai menerbitkan gambar untuk “iPad baru, logo Apple baru” jika mereka tidak menerima tanggapan dari Quanta.

Tidak diketahui apakah Quanta sedang berkomunikasi dengan REvil dalam obrolan lain atau jika negosiasi terhenti.

Selengkapnya: Bleeping Computer

Kerentanan Keamanan AirDrop Mengekspos 1,5 Miliar Perangkat Apple, Kata Peneliti

April 24, 2021 by Winnie the Pooh

Fitur AirDrop Apple adalah cara mudah untuk berbagi file antar perangkat perusahaan, tetapi peneliti keamanan dari Technische Universitat Darmstadt di Jerman memperingatkan bahwa Anda mungkin berbagi lebih dari sekadar file.

Menurut para peneliti, orang asing dapat menemukan nomor telepon dan email pengguna AirDrop terdekat. Yang dibutuhkan aktor yang buruk adalah perangkat dengan wifi dan berada dekat secara fisik. Mereka kemudian dapat membuka panel berbagi AirDrop di perangkat iOS atau macOS. Jika Anda telah mengaktifkan fitur tersebut, Anda bahkan tidak diharuskan untuk memulai atau terlibat dengan berbagi apa pun yang berisiko, menurut temuan mereka.

Masalahnya berakar pada opsi “Hanya Kontak” AirDrop. Para peneliti mengatakan bahwa untuk mencari tahu apakah pengguna AirDrop ada di kontak Anda, ini menggunakan “mekanisme autentikasi timbal balik” untuk mereferensikan nomor telepon dan email pengguna tersebut dengan daftar kontak orang lain. Sekarang, Apple tidak hanya melakukan itu sembarangan. Itu menggunakan enkripsi untuk pertukaran ini. Masalahnya adalah hash yang digunakan Apple tampaknya mudah dipecahkan menggunakan “teknik sederhana seperti serangan brute force”. Tidak jelas dari penelitian tingkat daya komputasi apa yang diperlukan untuk brute force hashes yang digunakan Apple.

selengkapnya : gizmodo.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Company

Cookies Settings