Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Google

Google

Gmail mendapat tanda centang verifikasi biru yang benar-benar berarti

by

Terlepas dari semua ketenaran seputar “tanda centang biru” berkat Twitter Blue, verifikasi akun adalah cara yang berguna untuk mencegah penipuan, dan semakin banyak perusahaan yang menggunakannya. Meta Terverifikasi Pertama datang ke Facebook dan Instagram, dan sekarang Gmail akan memverifikasi bahwa email yang Anda terima berasal dari sumber “nyata”.

Dalam posting blog Google Workspace hari Rabu (dibuka di tab baru), perusahaan menguraikan bagaimana mereka akan menggunakan tanda centang selain sistem Indikator Merek untuk Identifikasi Pesan (BIMI) — pertama kali diadopsi pada tahun 2021 — untuk menentukan legitimasi pengirim.

BIMI memastikan bahwa hanya perusahaan yang telah memvalidasi nama domainnya dan membuktikan bahwa mereka memiliki logo merek yang dapat menampilkan logo tersebut di slot avatar di samping email. Sekarang, selain itu, pengirim yang diverifikasi BIMI juga akan memiliki tanda centang di sebelah namanya, lebih lanjut menekankan bahwa Google mengatakan bahwa mereka dapat dipercaya.

Pada contoh di bawah ini, Anda dapat melihat bagaimana, saat Anda mengarahkan kursor ke tanda centang biru di samping nama dan logo Google, sebuah kotak muncul yang bertuliskan, “Pengirim email ini telah memverifikasi bahwa mereka pemilik google.com dan logo di gambar profil.”

Dengan kata lain, Anda tidak akan mendapatkan tanda centang biru untuk memverifikasi identitas Anda dalam waktu dekat. Tetapi jika Anda mengirim email atas nama bisnis Anda, Anda dapat menyiapkan BIMI(buka di tab baru) melalui tautan Dukungan Google tersebut, dan pastikan pelanggan Anda tahu bahwa pesan Anda sah.

Selengkapnya: Android Central

Google Mengambil Langkah Pertama ‘Passwordless Future’, Memulai Peluncuran ‘Passkey’

by Leave a Comment

Google mengambil langkah pertamanya untuk mencapai sebuah masa depan tanpa kata sandi dengan menambahkan opsi kunci sandi untuk masuk.

Menjelang Hari Kata Sandi Dunia, Google akan memperkenalkan cara baru yang lebih aman untuk masuk akun Google.

Kunci sandi atau ‘passkey’ memungkinkan pengguna untuk masuk ke aplikasi dan situs dengan cara yang sama seperti membuka kunci perangkat mereka misalnya dengan fingerprint, face recognition, atau PIN. ‘Passkey’ tentu lebih aman dari OTP karena lebih tahan terhadap ancaman seperti ‘phishing’.

Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica
Dari kiri ke kanan: ketik nama pengguna Anda, pilih kunci sandi, pindai jari. Gambar: ArsTechnica

Disamping harapan kunci sandi yang menggantikan kata sandi, Google menyatakan bahwa kata kata sandi dan verifikasi dua langkah (2SV) masih akan ada untuk saat ini.

Selengkapnya: Android Authority

Google Mengubah Ikon Kunci Chrome, karena Tidak Ada yang Tahu Artinya

by

Ikon baru akan menggantikannya akhir tahun ini untuk menghindari menyesatkan pengguna tentang bagaimana situs web ‘terpercaya’ saat browsing.

Pada hari Selasa, Google mengumumkan akan mengganti ikon kunci dengan ikon “tune” baru dengan rilis Chrome 117 pada bulan September sebagai bagian dari desain ulang browser bertema Material You yang lebih luas.

Google mengklaim bahwa dalam sebuah penelitian pada tahun 2021, hanya 11 persen peserta yang benar-benar memahami tujuan yang dimaksud dari ikon gembok. Ini pertama kali muncul kembali di tahun 90-an setelah Netscape memperkenalkan HTTPS, protokol yang memungkinkan pengguna mengirim data sensitif dengan aman. Dengan demikian, ikon gembok akan ditampilkan saat menelusuri situs web menggunakan HTTPS untuk memberi sinyal bahwa koneksi jaringan aman.

Sementara saat ini lebih dari 95% halaman web chrome menggunakan protokol dan itu menjadi koneksi default.

Sebelumnya, ikon kunci telah mengalami beberapa perubahan pada tahun 2016 dan 2021. Ikon ‘tune’ yang akan hadir ini tidak akan mendapatkan fitur tambahan dan akan terus menandai HTTP teks biasa (sedikit mungkin) sebagai tidak aman di semua platform.

Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google
Kontrol halaman di bawah ikon nada akan tetap tidak berubah, tetapi Google berharap desain baru ini akan mendorong lebih banyak pengguna untuk mengklik dan melihatnya. Gambar: Google

Ikon kunci Chrome saat ini di desktop dan Android akan diganti pada waktu yang sama pada “awal September 2023”. Sementara itu, Google akan menariknya sepenuhnya dari Chrome di iOS, karena ikon kunci tidak dapat diketuk di platform tersebut.

Selengkapnya: The Verge

Apple dan Google bekerja sama dalam spesifiksai untuk membuat perangkat pelacak Bluetooth, serpit AirTag, lebih aman

by

Setelah banyak kasus pelacak BLuetooth seperti AirTag Apple digunakan untuk menguntit atau aplikasi kriminal lainnya, Apple dan Google hari ini merilis pengumuman bersama yang mengatakan bahwa mereka akan bekerja sama untuk mempimpin inisiatif industri untuk menyusun speisifikasi yang akan mempringatkan pengguna jika ada pelacakan yang tidak diinginkan dari perangkat Bluetooth. Perusahaan mengatakan mereka sedang mencari masukan dari peserta industri lain dan kelompok advokasi dalam masalah ini, dan mencatat bahwa pembuat pelacak lain seperti Samsung,Tile, Chipolo, eufy Security, dan Pebblebee juga telah menyatakan minatnya pada draf tersebut.

Perusahaan mengajukan spesifikasi yang diusulkan sebagai Internet-Draft melalui organisasi pengembangan standar, Internet Engineering Task Force (IETF). Pihak berkepentingan lainnya sekarang diundang untuk meninjau dan berkomentar selama tuga bulan kedepan. setelah itu, Apple dan GOogle akan memberikan umpan balik dan akan merilis implementasi produksi dari spesifikasi tersebut.

Meskipun AirTag Apple bukan pelacak Bluetooth pertama di pasar yang menghadirkan masalah keamanan seputar penyalahgunaan — Tile dan lainnya telah ada selama bertahun-tahun — kemampuan Apple untuk mengintegrasikan AirTag dengan 2 miliar+ perangkat Apple secara global, termasuk lebih dari 1 miliar iPhone, sebagai bagian dari jaringan “Temukan Saya”, membuatnya menjadi salah satu pemain terbesar dengan segera. Itu juga mempopulerkan teknologi ceruk yang saat itu masih menggunakan pelacak Bluetooth untuk menemukan barang yang hilang, menjadikan perangkat untuk melakukannya menjadi nama rumah tangga.

Segera, cerita mulai bermunculan bahwa AirTag digunakan untuk menguntit dan masalah lain, seperti pencurian mobil. Apple pada Februari 2022 mengumumkan akan bekerja untuk mengatasi beberapa masalah yang telah dibuatnya dengan fitur-fitur baru, termasuk peringatan privasi baru, peringatan, dan dokumentasi yang diperluas. Berharap untuk mencegah penyalahgunaan, ia juga mengatakan secara aktif bekerja dengan penegak hukum pada semua permintaan terkait AirTag yang diterimanya, dan mengonfirmasi bahwa ia dapat memberikan detail akun sebagai tanggapan atas panggilan pengadilan atau permintaan penegakan hukum lainnya yang valid.

selengkapnya : techcrunch.com

Security expert menemukan bug besar di Google Cloud

by

Security expert SADA mengklain telah menemukan kerentanan di Google Cloud Platform yang telah ditambal oleh raksasa teknolog tersebut.

Dikenal sebagai Asset Key Theft, kerentanan berpotensi memungkinkan pelaku encaman untuk mencuri kunci pribadi akun layanan Google Cloud. Dalam sebuah pernyataan (dibuka di tab baru), SADA mengatakan percaya bahwa cacat tersebut “akan member penyerang metode yang gigih dan andal untuk menyelahgunakan lingkungan Google CLoud.”

Sada memberi tahu Google tentang masalah ini dalam bisnis cloud hosting-nya melalui program hadiah Bug Hunters, di mana peneliti dapat memberi tahu raksasa teknologi itu tentang kekurangan yang mereka temukan dalam produknya dengan cara yang aman dan terjamin.

SADA percaya bahwa masalah ini kritis “karena kesamaan izin dengan alat kemanan cloud pihaj ketiga, seperti alat Cloud Security Posture Management (CSPM), untuk mengumpulkan data inventris cloud dari API.\

Cacat itu ditemukan di Google Cloud Platform API yang dikenal sebagai Cloud Asset Inventory API. Kerentanan ini memengaruhi semua pengguna Google Cloud yang telah mengaktifkan API ini dan yang memiliki izin cloudasset.assets.searchAllResources di lingkungan Google Cloud yang berlaku.

selengkapnya : techradar.com

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

by

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

CISA Memerintahkan Lembaga untuk Menambal Bug yang Dieksploitasi untuk Menghilangkan Spyware

by

Cybersecurity and Infrastructure Security Agency (CISA) memerintahkan agen federal untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.

Cacat tersebut disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang menargetkan pengguna Android dan iOS, seperti yang baru-baru ini diungkapkan oleh Grup Analisis Ancaman (TAG) Google.

Terlihat bahwa pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android pada serangan pertama November 2022.

Sebulan kemudian, rantai kompleks beberapa zero-day dan n-day dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.

Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.

Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari jeda waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.

Penemuan Google TAG didorong oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga menerbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan tersebut.

CISA hari ini menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Known Exploited Vulnerabilities (KEV) antara lain CVE-2021-30900, CVE-2022-38181, CVE-2023-0266, CVE-2022-3038, dan CVE-2022-22706.

Badan keamanan siber memberikan waktu tiga minggu hingga 20 April kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB) untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan tersebut.

Selengkapnya: BleepingComputer

FBI: Taktik Business Email Compromise (BEC) Digunakan untuk Menipu Vendor AS

by

Biro Investigasi Federal (FBI) memperingatkan perusahaan di A.S. tentang pelaku ancaman yang menggunakan taktik serupa dengan BEC yang memungkinkan pelaku yang kurang teknis untuk mencuri berbagai barang dari vendor.

Serangan BEC biasanya berfokus pada pencurian uang dengan mengelabui korban agar mengalihkan dana ke akun penipu.

Berdasarkan pengaduan yang diterima FBI sekitar mendekati 20.000, kerugian akibat skema BEC pada tahun 2021 mencapai hampir $2,4 miliar di AS.

Menurut pengamatan FBI mengenai jenis penipuan, aktor ancaman menggunakan skema akuisisi palsu untuk mendapatkan berbagai produk dari vendor di seluruh negeri.

Barang-barang komersial yang menjadi sasaran penipuan jenis ini adalah bahan bangunan, perlengkapan pertanian, perangkat keras teknologi komputer, dan produk energi matahari.

Keterampilan teknis yang diperlukan untuk memalsukan alamat email sangat rendah, namun para pelaku nampaknya adalah penipu handal berpengetahuan luas dalam pembayaran bisnis dan cara menyembunyikan kecurangan tersebut.

FBI mencatat bahwa pelaku kriminal meniru domain email perusahaan yang berbasis di AS untuk melakukan pembelian massal dan penipu cukup rajin menggunakan email palsu dengan nama karyawan asli dari bisnis yang mereka tiru.

FBI merekomendasikan pada vendor untuk memeriksa sumber email sebelum menyetujui transaksi dengan menarik informasi kontak pembeli dari sumber yang dapat dipercaya, lalu menghubungi secara langsung untuk menanyakan maksud pembelian.

Selengkapnya: BleepingComputer