Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Pengguna Android kini memiliki cara mudah untuk memeriksa keamanan sandi mereka

by

Google menambahkan fitur pemeriksaan kata sandinya ke Android, menjadikan OS seluler sebagai perusahaan terbaru yang menawarkan cara mudah bagi pengguna untuk memeriksa apakah kode sandi yang mereka gunakan telah disusupi.

Pemeriksaan Kata Sandi berfungsi dengan memeriksa kredensial yang dimasukkan ke dalam aplikasi terhadap daftar miliaran kredensial yang disusupi dalam pelanggaran situs web yang tak terhitung banyaknya yang terjadi dalam beberapa tahun terakhir. Jika ada kecocokan, pengguna menerima peringatan, bersama dengan permintaan yang dapat mengarahkan mereka ke halaman pengelola sandi Google, yang menawarkan cara untuk meninjau keamanan semua kredensial yang disimpan.

Google memperkenalkan Pemeriksaan Sandi pada awal 2019, dalam bentuk ekstensi Chrome. Pada bulan Oktober tahun itu, fitur tersebut masuk ke Google Password Manager, sebuah dasbor yang memeriksa kata sandi Web yang disimpan dalam Chrome yang disinkronkan menggunakan akun Google. Dua bulan kemudian, perusahaan menambahkannya ke Chrome.
Pengelola Sandi Google memudahkan pengguna untuk langsung mengunjungi situs menggunakan sandi buruk dengan mengeklik tombol “Ubah Sandi” yang ditampilkan di samping setiap sandi yang disusupi atau lemah. Pengelola kata sandi dapat diakses dari browser apa pun, tetapi hanya berfungsi ketika pengguna menyinkronkan kredensial menggunakan kata sandi akun Google mereka, bukan kata sandi mandiri opsional.

Pemeriksaan kata sandi baru tersedia mulai Selasa di Android 9 dan di atasnya untuk pengguna IsiOtomatis dengan Android, fitur yang secara otomatis menambahkan kata sandi, alamat, detail pembayaran, dan informasi lain yang biasa dimasukkan ke dalam formulir Web dan aplikasi.

Kerangka kerja IsiOtomatis Android menggunakan enkripsi lanjutan untuk memastikan bahwa kata sandi dan informasi lain hanya tersedia untuk pengguna yang berwenang. Google memiliki akses ke kredensial pengguna hanya ketika pengguna 1) telah menyimpan kredensial ke akun Google mereka dan 2) ditawarkan untuk menyimpan kredensial baru oleh OS Android dan memilih untuk menyimpannya ke akun mereka.

selengkapnya : ArsTechnica

‘Kami menemukan bug jauh lebih cepat daripada yang dapat kami perbaiki’: Google mensponsori 2 pengembang penuh waktu untuk meningkatkan keamanan Linux

by

Khawatir tentang keamanan Linux dan kode open-source, Google mensponsori sepasang pengembang penuh waktu untuk mengerjakan keamanan kernel.

Raksasa internet membangun kode dari repositori sendiri daripada mengunduh binari luar, meskipun mengingat kecepatan di mana kode ditambahkan ke Linux, tugas ini tidak sepele. Pimpinan tim keamanan open-source Google Dan Lorenc berbicara dengan The Register tentang pendekatannya, dan mengapa ia tidak akan menggunakan biner yang sudah dibuat sebelumnya meskipun mereka nyaman.

Lorenc menjelaskan beberapa langkah yang diambil Google untuk memastikan keamanan kode open-source yang digunakannya secara internal, termasuk Linux. “Salah satu hal yang kami coba lakukan untuk open-source apa pun yang kami gunakan, dan sesuatu yang kami rekomendasikan untuk digunakan oleh siapa pun, adalah dapat membuatnya sendiri. Tidak mudah atau sepele untuk membangunnya, tetapi mengetahui bahwa Anda dapat melakukannya adalah setengah pertempuran, jika Anda perlu.

“Kami mengharuskan semua open source yang kami gunakan dibuat oleh kami, dari repositori internal kami, hanya untuk membuktikan bahwa kami bisa, jika kami perlu membuat tambalan, dan agar kami memiliki asal yang lebih baik, mengetahui dari mana asalnya. Secara teknis mereka adalah percabangan, tetapi hanya salinan dari repo [publik] yang kami terus perbarui. Kami jarang membawa tambalan dalam jangka panjang di salah satu proyek yang kami kerjakan, itu hanya mimpi buruk pemeliharaan, tetapi kami bisa jika kami bisa perlu.

selengkapnya : TheRegister

Versi Flash yang didistribusikan di Cina setelah EOL menginstal adware

by

Meskipun aplikasi Flash Player secara resmi mencapai akhir masa pakainya pada 31 Desember 2020, Adobe telah mengizinkan perusahaan lokal Cina untuk terus mendistribusikan Flash di Cina, di mana aplikasi masih menjadi bagian besar dari ekosistem TI lokal dan digunakan secara luas di sektor publik dan swasta.

Saat ini, aplikasi Flash Player lama versi Cina ini hanya tersedia melalui flash.cn, situs web yang dikelola oleh perusahaan bernama Zhong Cheng Network, satu-satunya entitas yang diberi otorisasi oleh Adobe untuk mendistribusikan Flash di dalam Cina.

Tetapi dalam sebuah laporan yang diterbitkan awal bulan ini, perusahaan keamanan Minerva Labs mengatakan produk keamanannya menerima banyak peringatan keamanan yang terkait dengan versi Flash Player Cina ini.

Selama analisis, para peneliti menemukan bahwa aplikasi tersebut memang memasang versi Flash yang valid tetapi juga mengunduh dan menjalankan muatan tambahan.

Lebih tepatnya, aplikasi sedang mengunduh dan menjalankan nt.dll, sebuah file yang dimuat di dalam proses FlashHelperService.exe dan yang melanjutkan untuk membuka jendela browser baru secara berkala, menampilkan berbagai situs iklan dan popup-berat.

Ancaman khusus ini tidak berdampak pada pengguna barat karena versi Flash yang mereka unduh dari flash.cn tidak akan berfungsi pada sistem di luar Cina, tetapi mengingat laporan Minerva, mereka tidak boleh mencoba untuk mengujinya, karena ini dapat menginstal adware dan membahayakan keamanan sistem / jaringan mereka.

Sumber: ZDNet

Bug XSS yang tersimpan di domain Apple iCloud diungkapkan oleh bug bounty hunter

by

Kerentanan cross-site scripting (XSS) yang disimpan di domain iCloud dilaporkan telah ditambal oleh Apple.

Bug bounty hunter dan penetration tester Vishal Bharad mengklaim telah menemukan kelemahan keamanan, yang merupakan masalah XSS yang tersimpan di icloud.com.

Kerentanan stored XSS, juga dikenal sebagai persistent XSS, dapat digunakan untuk menyimpan muatan di server target, menyuntikkan skrip berbahaya ke situs web, dan berpotensi digunakan untuk mencuri cookie, token sesi, dan data browser.

Menurut Bharad, cacat XSS di icloud.com ditemukan di fitur Halaman/Catatan Utama domain iCloud Apple.

Untuk memicu bug, penyerang perlu membuat Halaman baru atau konten Keynote dengan muatan XSS yang dikirimkan ke bidang nama.

Bharad juga menyediakan video Proof-of-Concept (PoC) untuk mendemonstrasikan kerentanan.

Sumber: ZDNet

App Store Apple menghosting penipuan jutaan dolar, kata pengembang iOS ini

by

Pengembang aplikasi seluler Kosta Eleftheriou memiliki panggilan baru yang melampaui pengembangan perangkat lunak: mengambil apa yang dilihatnya sebagai masalah penipuan yang merajalela yang merusak integritas App Store Apple.

Eleftheriou, yang membuat aplikasi papan ketik Apple Watch FlickType yang sukses, selama dua minggu terakhir secara terbuka mengkritik Apple karena lemahnya penegakan aturan App Store yang memungkinkan aplikasi scam, serta aplikasi yang mengkloning perangkat lunak populer dari pengembang lain, untuk berjalan merajalela.

Keluhan vokalnya, yang telah menarik perhatian dan dukungan dari banyak pengembang aplikasi lain di komunitas iOS, menggarisbawahi meningkatnya ketegangan antara Apple dan pembuat perangkat lunak yang menjadi sandarannya.

Eleftheriou pertama kali merinci pengalaman pribadinya dengan penipuan App Store akhir bulan lalu di utas Twitter, di mana dia menjelaskan bagaimana aplikasinya FlickType disalin dengan jahat oleh banyak pengembang yang membangun versi perangkat lunak yang tidak berfungsi dan mengenakan biaya berlangganan yang mengerikan, hanya lolos dengan itu karena ulasan App Store yang kuat dan peringkat bintang lima tinggi yang dia klaim palsu.

Eleftheriou mengatakan pesaing utamanya, aplikasi penipuan bernama KeyWatch, menagih pengguna $8 per minggu dan mengumpulkan lebih dari $2 juta setahun, menurut analitik dari Appfigures, meskipun aplikasinya tidak berfungsi dengan baik. Dia mengatakan KeyWatch bahkan mengiklankan perangkat lunaknya menggunakan video promosinya – dengan namanya yang masih terpasang.

Apple belum menanggapi secara terbuka klaim Eleftheriou, meskipun perusahaan telah menghapus KeyWatch dan beberapa aplikasi penipuan lainnya yang dia perhatikan selama seminggu terakhir.

Selengkapnya: The Verge

Facebook membenci fitur privasi baru Apple – begini cara kerja Transparansi Pelacakan Aplikasi

by

Apple (AAPL) bersiap untuk meluncurkan fitur privasi baru di versi iOS 14 berikutnya yang menimbulkan cukup banyak kemarahan dari orang-orang seperti sesama titan Silicon Valley Facebook.

Fitur, yang disebut Transparansi Pelacakan Aplikasi, telah menjadi titik terang di antara perusahaan-perusahaan sehingga Facebook (FB), menurut The Information, mempertimbangkan untuk mengajukan gugatan antitrust terhadap Apple atas masalah tersebut.

Jadi, apa itu Transparansi Pelacakan Aplikasi, dan mengapa Facebook sangat membencinya?

Perangkat iOS dan iPadOS Anda memiliki apa yang disebut sebagai pelacak perangkat lunak Identification for Advertisers, atau IDFA. IDFA adalah pengenal acak Apple yang memungkinkan pengiklan melacak aktivitas Anda di seluruh aplikasi dan web tanpa menarik informasi pribadi Anda.

Melacak aktivitas Anda penting bagi pengiklan, karena memungkinkan mereka mengirimi Anda iklan bertarget dan menentukan seberapa sukses kampanye iklan mereka.

Apple, akan tetapi, telah mendorong privasi sebagai bagian dari lini produknya selama beberapa tahun terakhir, dan sebelumnya melakukan tindakan untuk membatasi kemampuan perusahaan untuk melacak aktivitas pengguna tertentu melalui browser Safari-nya.

Di situlah Transparansi Pelacakan Aplikasi berperan. Fitur tersebut, saat tersedia pada versi iOS 14 berikutnya, akan memberi pengguna pop up saat mereka meluncurkan aplikasi yang ingin melacak aktivitas mereka. Fitur ini juga membuat pelacakan dimatikan secara default, dan hanya akan membiarkan Anda dilacak jika Anda memberi tahu aplikasinya.

Saat ini, pelacakan aplikasi diaktifkan secara default, meskipun pengguna dapat menonaktifkannya melalui menu pengaturan iOS dan iPadOS. Facebook khawatir bahwa menonaktifkan pelacakan secara default dan meminta orang untuk mengaktifkannya akan mengakibatkan sejumlah besar pengguna menolak untuk dilacak.

Sumber: Yahoo Finance

Bug Sudo baru ditemukan juga memengaruhi macOS

by

Seorang peneliti keamanan Inggris telah menemukan hari ini bahwa kelemahan keamanan baru-baru ini di aplikasi Sudo juga memengaruhi sistem operasi macOS, dan bukan hanya Linux dan BSD, seperti yang diyakini pada awalnya.

Kerentanan, yang diungkapkan minggu lalu sebagai CVE-2021-3156 (alias Baron Samedit) oleh peneliti keamanan dari Qualys, berdampak pada Sudo, sebuah aplikasi yang memungkinkan admin untuk mendelegasikan akses root terbatas ke pengguna lain.

Peneliti Qualys menemukan bahwa mereka dapat memicu bug “heap overflow” di aplikasi Sudo untuk mengubah akses pengguna saat ini yang memiliki hak istimewa rendah ke perintah tingkat root, yang memberi penyerang akses ke seluruh sistem.

VERSI MAC OS TERBARU JUGA TERDAMPAK
Namun salah satu pendiri Hacker House, Matthew Hickey mengatakan bug ini juga terdapat pada versi terbaru macOS juga disertakan dengan aplikasi Sudo.

https://twitter.com/hackerfantastic/status/1356645638151303169?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1356645638151303169%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Frecent-root-giving-sudo-bug-also-impacts-macos%2F

Hickey mengatakan dia menguji kerentanan CVE-2021-3156 dan menemukan bahwa dengan beberapa modifikasi, bug keamanan dapat digunakan untuk memberikan akses penyerang ke akun root macOS juga.

Hickey memberi tahu ZDNet bahwa bug tersebut dapat dieksploitasi di versi terbaru macOS, bahkan setelah menerapkan tambalan keamanan terbaru yang dirilis Apple pada hari Senin.

Peneliti mengatakan dia memberi tahu Apple tentang masalah itu hari ini. Apple menolak berkomentar saat menyelidiki laporan tersebut; Namun, patch diharapkan untuk masalah yang begitu serius ini.

Source : ZDnet

Facebook mencoba mengingatkan pengguna tentang manfaat pengumpulan data sebelum perubahan privasi Apple

by

Facebook mengatakan pada hari Senin bahwa pihaknya sedang menguji peringatan pop-up baru untuk pengguna iPhone dan iPad yang menekankan manfaat dari aplikasinya yang mengumpulkan data pribadi. Tes dilakukan sebelum perubahan privasi Apple dengan potensi untuk meningkatkan bisnis inti jejaring sosial.

Apple (AAPL) mengatur untuk memperkenalkan persyaratan baru bagi pengguna untuk memberikan izin eksplisit bagi aplikasi untuk melacaknya di internet, sebuah langkah yang telah mengguncang Facebook, yang mengandalkan pengumpulan data untuk menargetkan iklan.

Sekarang, Facebook berencana untuk menunjukkan permintaan “kami sendiri, bersama dengan Apple” dalam upaya untuk menunjukkan kepada pengguna bagaimana iklan yang dipersonalisasi “mendukung bisnis kecil dan membuat aplikasi tetap gratis,” kata perusahaan itu dalam pembaruan Senin untuk posting blog lama yang disebut “Speaking Up for Small Businesses.”

Facebook, yang memperoleh hampir semua pendapatannya dari iklan, telah berulang kali memperingatkan investor bahwa perubahan perangkat lunak Apple dapat merugikan bisnisnya jika pengguna menolak izin pelacakan.

Sementara langkah terbaru ini mungkin tampak seperti tembakan lain yang ditembakkan ke Apple, Facebook menerima tawaran Apple untuk pengembang mana pun untuk menjelaskan mengapa ia menginginkan izin tertentu untuk pelacakan. “Kami merasa orang-orang berhak mendapatkan konteks tambahan, dan Apple mengatakan bahwa memberikan pendidikan diperbolehkan,” kata Facebook dalam posting blog tersebut.

Selengkapnya: CNN