Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Programming Language / Javascript

Javascript

Cacat Keamanan Parah Ditemukan di Perpustakaan “jsonwebtoken” Digunakan oleh 22.000+ Proyek

by

Celah keamanan dengan tingkat keparahan tinggi telah diungkapkan di pustaka open source jsonwebtoken (JWT) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh di server target.

Dilacak sebagai CVE-2022-23529 (skor CVSS: 7.6), masalah ini berdampak pada semua versi library, termasuk dan di bawah 8.5.1, dan telah diatasi dalam versi 9.0.0 yang dikirimkan pada 21 Desember 2022. Cacat tersebut telah dilaporkan oleh perusahaan keamanan siber pada 13 Juli 2022.

jsonwebtoken, yang dikembangkan dan dikelola oleh Okta’s Auth0, adalah modul JavaScript yang memungkinkan pengguna mendekode, memverifikasi, dan menghasilkan token web JSON sebagai sarana transmisi informasi yang aman antara dua pihak untuk otorisasi dan otentikasi. Ini memiliki lebih dari 10 juta unduhan mingguan di registri perangkat lunak npm dan digunakan oleh lebih dari 22.000 proyek.

Karena perangkat lunak open source semakin muncul sebagai jalur akses awal yang menguntungkan bagi pelaku ancaman untuk melancarkan serangan rantai pasokan, kerentanan dalam alat tersebut harus diidentifikasi secara proaktif, dimitigasi, dan ditambal oleh pengguna hilir.

Lebih buruk lagi adalah kenyataan bahwa penjahat dunia maya telah menjadi jauh lebih cepat dalam mengeksploitasi kelemahan yang baru terungkap, secara drastis mempersingkat waktu antara rilis tambalan dan ketersediaan eksploitasi. Menurut Microsoft, rata-rata hanya membutuhkan waktu 14 hari untuk mengeksploitasi terdeteksi di alam liar setelah pengungkapan bug secara publik.

Untuk mengatasi masalah penemuan kerentanan ini, Google, bulan lalu, mengumumkan perilisan OSV-Scanner, sebuah utilitas open source yang bertujuan untuk mengidentifikasi semua dependensi transitif suatu proyek dan menyoroti kekurangan relevan yang memengaruhinya.

sumber: thehackernews

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Magniber ransomware sekarang menginfeksi pengguna Windows melalui file JavaScript

by

Kampanye jahat yang mengirimkan ransomware Magniber telah menargetkan pengguna rumahan Windows dengan pembaruan keamanan palsu.

Pelaku ancaman dibuat pada bulan September dengan situs web yang mempromosikan antivirus palsu dan pembaruan keamanan untuk Windows 10. File berbahaya yang diunduh (arsip ZIP) berisi JavaScript yang memulai infeksi rumit dengan malware enkripsi file.

Laporan dari Analis HP mencatat, operator ransomware Magniber menuntut pembayaran hingga $2.500 bagi pengguna rumahan untuk menerima alat dekripsi dan memulihkan file mereka. Ketegangan berfokus secara eksplisit pada Windows 10 dan Windows 11 build.

Windows build yang ditargetkan oleh Magniber (HP)

Pada April 2022, Magniber terlihat didistribusikan sebagai pembaruan Windows 10 melalui jaringan situs web jahat.

Pada bulan Januari, operatornya menggunakan pembaruan browser Chrome dan Edge untuk mendorong file paket aplikasi Windows (.APPX) yang berbahaya.

Dalam kampanye sebelumnya, pelaku ancaman menggunakan file MSI dan EXE. Untuk yang baru-baru ini aktif, itu beralih ke file JavaScript yang memiliki nama berikut:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

File-file ini dikaburkan dan menggunakan variasi teknik “DotNetToJScript” untuk mengeksekusi file .NET di memori sistem, menurunkan risiko deteksi oleh produk antivirus yang tersedia di host.

File .NET menerjemahkan kode shell yang menggunakan pembungkusnya sendiri untuk membuat panggilan sistem tersembunyi, dan memasukkannya ke dalam proses baru sebelum mengakhiri prosesnya sendiri.

Shellcode menghapus file salinan bayangan melalui WMI dan menonaktifkan fitur pencadangan dan pemulihan melalui “bcdedit” dan “wbadmin.” Ini meningkatkan kemungkinan mendapatkan bayaran karena korban memiliki satu opsi lebih sedikit untuk memulihkan file mereka.

Untuk melakukan tindakan ini, Magniber menggunakan pintasan untuk fitur Kontrol Akun Pengguna (UAC) di Windows.

Itu bergantung pada mekanisme yang melibatkan pembuatan kunci registri baru yang memungkinkan menentukan perintah shell. Pada langkah selanjutnya, utilitas “fodhelper.exe” dijalankan untuk menjalankan skrip untuk menghapus salinan bayangan.

Setelah itu Magniber mengenkripsi file di host dan menjatuhkan catatan tebusan yang berisi instruksi bagi korban untuk memulihkan file mereka.

Rantai infeksi baru (HP) Magniber

Analis HP memperhatikan bahwa sementara Magniber mencoba membatasi enkripsi hanya untuk jenis file tertentu, pseudohash yang dihasilkannya selama pencacahan tidak sempurna, yang menghasilkan tabrakan hash dan “kerusakan jaminan”, yaitu, mengenkripsi jenis file yang tidak ditargetkan juga .

Pengguna rumahan dapat mempertahankan diri dari serangan ransomware dengan membuat cadangan reguler untuk file mereka dan menyimpannya di perangkat penyimpanan offline. Hal ini memungkinkan pemulihan data ke sistem operasi yang baru diinstal. Sebelum memulihkan data, pengguna harus memastikan bahwa cadangan mereka tidak terinfeksi.

Sumber: Bleeping Computer

Browser Dalam Aplikasi TikTok Termasuk Kode yang Dapat Memantau Keystroke Anda, Kata Peneliti

by

Ketika pengguna TikTok memasuki situs web melalui tautan di aplikasi, TikTok menyisipkan kode yang dapat memantau sebagian besar aktivitas mereka di situs web luar tersebut, termasuk penekanan tombol dan apa pun yang mereka ketuk di halaman, menurut penelitian baru yang dibagikan dengan Forbes. Pelacakan akan memungkinkan TikTok untuk menangkap informasi kartu kredit atau kata sandi pengguna.

TikTok memiliki kemampuan untuk memantau aktivitas itu karena modifikasi yang dibuatnya pada situs web menggunakan browser dalam aplikasi perusahaan, yang merupakan bagian dari aplikasi itu sendiri. Saat orang mengetuk iklan TikTok atau mengunjungi tautan di profil pembuat konten, aplikasi tidak membuka halaman dengan peramban biasa seperti Safari atau Chrome. Alih-alih, ini default ke browser dalam aplikasi buatan TikTok yang dapat menulis ulang bagian halaman web.

TikTok dapat melacak aktivitas ini dengan menyuntikkan baris bahasa pemrograman JavaScript ke situs web yang dikunjungi dalam aplikasi, membuat perintah baru yang mengingatkan TikTok tentang apa yang dilakukan orang di situs web tersebut.

“Ini adalah pilihan aktif yang dibuat perusahaan,” kata Felix Krause, seorang peneliti perangkat lunak yang berbasis di Wina, yang menerbitkan laporan tentang temuannya pada hari Kamis. “Ini adalah tugas rekayasa non-sepele. Ini tidak terjadi secara tidak sengaja atau acak.” Krause adalah pendiri Fastlane, layanan untuk menguji dan menerapkan aplikasi, yang diakuisisi Google lima tahun lalu.

Tiktok sangat menolak gagasan bahwa itu melacak pengguna di browser dalam aplikasinya. Perusahaan mengkonfirmasi fitur-fitur itu ada dalam kode, tetapi mengatakan TikTok tidak menggunakannya.

“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. ,” kata juru bicara Maureen Shanahan dalam sebuah pernyataan.

Perusahaan mengatakan kode JavaScript adalah bagian dari kit pengembangan perangkat lunak pihak ketiga, atau SDK, seperangkat alat yang digunakan untuk membangun atau memelihara aplikasi. SDK menyertakan fitur yang tidak digunakan aplikasi, kata perusahaan itu. TikTok tidak menjawab pertanyaan tentang SDK, atau pihak ketiga apa yang membuatnya.

Sementara penelitian Krause mengungkapkan perusahaan kode termasuk TikTok dan induk Facebook, Meta, menyuntikkan ke situs web dari browser dalam aplikasi mereka, penelitian tidak menunjukkan bahwa perusahaan-perusahaan ini benar-benar menggunakan kode itu untuk mengumpulkan data, mengirimkannya ke server mereka atau membagikannya dengan Pihak ketiga. Alat juga tidak mengungkapkan jika ada aktivitas yang terkait dengan identitas atau profil pengguna. Meskipun Krause dapat mengidentifikasi beberapa contoh spesifik tentang apa yang dapat dilacak oleh aplikasi (seperti kemampuan TikTok untuk memantau penekanan tombol), dia mengatakan daftarnya tidak lengkap dan perusahaan dapat memantau lebih banyak.

Penelitian baru ini mengikuti laporan minggu lalu oleh Krause tentang browser dalam aplikasi, yang berfokus secara khusus pada aplikasi milik Meta Facebook, Instagram dan Facebook Messenger. WhatsApp, yang juga dimiliki perusahaan, tampaknya jelas karena tidak menggunakan browser dalam aplikasi.

Krause pada hari Kamis juga merilis alat yang memungkinkan orang memeriksa apakah browser yang mereka gunakan menyuntikkan kode baru ke situs web, dan aktivitas apa yang mungkin dipantau perusahaan. Untuk menggunakan alat untuk memeriksa browser Instagram, misalnya, kirim tautan InAppBrowser.com ke teman dalam pesan langsung (atau minta teman DM tautannya). Jika Anda mengeklik tautan di DM, alat ini akan memberi Anda ikhtisar tentang apa yang berpotensi dilacak oleh aplikasi — meskipun alat tersebut menggunakan beberapa istilah pengembang dan mungkin sulit diuraikan untuk non-coder.

Untuk penelitian barunya, Krause menguji tujuh aplikasi iPhone yang menggunakan browser dalam aplikasi: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon, dan Robinhood. (Dia tidak menguji versi untuk Android, sistem operasi seluler Google.)

Dari tujuh aplikasi yang diuji Krause, TikTok adalah satu-satunya yang tampaknya memantau penekanan tombol, katanya, dan tampaknya memantau lebih banyak aktivitas daripada yang lain. Seperti TikTok, Instagram, dan Facebook, keduanya melacak setiap ketukan di situs web. Kedua aplikasi tersebut juga memantau saat orang menyorot teks di situs web.

Meta tidak menjawab pertanyaan spesifik terkait pelacakan, tetapi mengatakan browser dalam aplikasi “umum di seluruh industri.” Juru bicara Alisha Swinteck mengatakan browser perusahaan mengaktifkan fitur-fitur tertentu, seperti memungkinkan pengisian otomatis terisi dengan benar dan mencegah orang dialihkan ke situs jahat. (Namun, browser termasuk Safari dan Chrome juga memiliki fitur tersebut.)

“Menambahkan salah satu fitur semacam ini memerlukan kode tambahan,” kata Swinteck dalam sebuah pernyataan. “Kami telah merancang pengalaman ini dengan hati-hati untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan.”

Meta juga mengatakan bahwa nama skrip yang ditampilkan dalam alat dapat menyesatkan karena itu adalah istilah teknis Javascript yang mungkin disalahpahami orang. Misalnya, “pesan” dalam konteks ini mengacu pada komponen kode yang berkomunikasi satu sama lain, bukan pesan teks pribadi.

Snapchat tampaknya paling tidak haus data. Peramban dalam aplikasinya tampaknya tidak menyuntikkan kode baru apa pun ke halaman web. Namun, aplikasi memiliki kemampuan untuk menyembunyikan aktivitas JavaScript mereka dari situs web (seperti alat Krause) karena pembaruan sistem operasi yang dibuat Apple pada tahun 2020. Jadi mungkin saja beberapa aplikasi menjalankan perintah tanpa terdeteksi. Snapchat tidak menanggapi permintaan komentar tentang aktivitas apa, jika ada, yang dipantau di browser dalam aplikasinya.

Peramban dalam aplikasi hampir tidak lazim di TikTok seperti di Instagram. TikTok tidak mengizinkan pengguna untuk mengklik tautan di DM, jadi browser dalam aplikasi biasanya muncul ketika orang mengklik iklan atau tautan di profil pembuat atau merek.

Penelitian pelacakan browser ini dilakukan ketika TikTok, yang dimiliki oleh perusahaan induk China ByteDance, menghadapi pengawasan ketat atas batas-batas pengawasan potensialnya, dan pertanyaan tentang hubungannya dengan pemerintah China. Pada bulan Juni, BuzzFeed News melaporkan bahwa data pengguna AS telah berulang kali diakses dari China. Perusahaan juga telah bekerja untuk memindahkan beberapa informasi pengguna A.S. ke Amerika Serikat, untuk disimpan di pusat data yang dikelola oleh Oracle, dalam upaya yang secara internal dikenal sebagai Project Texas.

Tetapi pelacakan potensial juga dapat membahayakan privasi yang terkait dengan pemilihan. TikTok pada hari Rabu mengumumkan upayanya dalam integritas pemilihan, menjelang ujian tengah semester AS. Inisiatif ini mencakup Pusat Pemilihan baru, yang menghubungkan orang-orang dengan informasi otoritatif dari sumber terpercaya termasuk Asosiasi Nasional Sekretaris Negara dan Ballotpedia.

TikTok secara eksplisit menjanjikan privasi sebagai bagian dari inisiatif tersebut. “Untuk tindakan apa pun yang mengharuskan pengguna untuk berbagi informasi, seperti mendaftar untuk memilih, pengguna akan diarahkan dari TikTok ke situs web negara atau nirlaba terkait untuk melakukan proses itu,” kata perusahaan itu dalam sebuah pernyataan. posting blog “TikTok tidak akan memiliki akses ke data atau aktivitas di luar platform itu.”

TikTok kemungkinan akan menggunakan browser dalam aplikasinya untuk membuka situs web tersebut. Alat Krause menunjukkan TikTok dapat memiliki akses ke informasi itu, berpotensi membiarkan perusahaan melacak alamat, usia, dan partai politik seseorang. TikTok juga menentang skenario itu, sekali lagi menekankan bahwa sementara fitur pelacakan tersebut ada dalam kode, perusahaan tidak menggunakannya.

Dalam beberapa tahun terakhir, model bisnis di balik teknologi besar — ​​di mana perusahaan seperti Facebook dan Google mengumpulkan data pengguna untuk menopang mesin iklan yang ditargetkan — telah dikenal luas, sehingga beberapa orang mungkin tidak terkejut dengan pelacakan di browser dalam aplikasi. . Namun, baik Meta maupun TikTok tidak memiliki bagian khusus dalam kebijakan privasi mereka di browser dalam aplikasi yang mengungkapkan praktik pemantauan tersebut kepada pengguna.

Beberapa pakar privasi juga menolak jenis pemantauan keystroke yang tampaknya mampu dilakukan TikTok. “Ini sangat licik,” kata Jennifer King, rekan kebijakan privasi dan data di Stanford University Institute for Human-Centered Artificial Intelligence. “Asumsi bahwa data Anda sedang dibaca sebelumnya bahkan sebelum Anda mengirimkannya, saya pikir itu melewati batas.”

Krause mengatakan dia ingin melihat industri beralih dari browser dalam aplikasi, alih-alih menggunakan browser seperti Safari atau Chrome, yang biasanya telah ditetapkan orang sebagai browser default di ponsel mereka. Apple tidak menanggapi permintaan komentar yang menanyakan apakah perusahaan akan menindak browser dalam aplikasi, mengharuskan aplikasi untuk menggunakan browser default perangkat.

Baik TikTok dan Meta menawarkan opsi bagi Anda untuk membuka tautan di Safari atau browser default ponsel Anda, tetapi hanya setelah aplikasi membawa Anda ke browser dalam aplikasi masing-masing terlebih dahulu. Opsi default juga ada di belakang layar menu di TikTok dan Instagram — sudah terlalu jauh bagi banyak pengguna yang bahkan tidak tahu opsi itu ada.

Sumber: Forbes

Peretas mencuri 50.000 kartu kredit dari 300 restoran U.S

by

Detail kartu pembayaran dari pelanggan lebih dari 300 restoran telah dicuri dalam dua kampanye skimming web yang menargetkan tiga platform pemesanan online.

Skimmer web, atau malware Magecart, biasanya adalah kode JavaScript yang mengumpulkan data kartu kredit saat pembeli online mengetiknya di halaman checkout.

Baru-baru ini, alat pendeteksi ancaman Recorded Future mengidentifikasi dua kampanye Magecart yang menyuntikkan kode berbahaya ke portal pemesanan online MenuDrive, Harbortouch, dan InTouchPOS.

Akibatnya, 50.000 kartu pembayaran dicuri dan telah ditawarkan untuk dijual di berbagai pasar di web gelap.

Kampanye pertama dimulai pada 18 Januari 2022 dan mencapai 80 restoran menggunakan MenuDrive dan 74 yang menggunakan platform Harbortouch.

Sebagian besar restoran ini adalah perusahaan lokal kecil di seluruh AS yang menggunakan platform sebagai alternatif hemat biaya untuk melakukan outsourcing proses pemesanan online.

Peta korban kampanye Magecart pertama (Recorded Future)

Di kedua platform, skimmer web disuntikkan ke halaman web restoran dan subdomain yang ditetapkan pada platform layanan pembayaran online.

Malware yang disebarkan untuk MenuDrive menggunakan dua skrip, satu untuk mengambil data kartu pembayaran dan satu lagi untuk mengumpulkan nama pemegang kartu, alamat email, dan nomor telepon, dicapai dengan melampirkan ke acara ‘onmousedown’ dan “merespons klik beberapa tombol selama pembuatan akun dan proses checkout.”

Contoh skimmer pada subdomain MenuDrive (Recorded Future)

Di Harbortouch, skimmer yang disuntikkan menggunakan satu skrip untuk mencuri semua informasi pengenal pribadi (PII) dan data kartu pembayaran.

Skimmer disuntikkan pada subdomain Harbortouch (Recorded Future)

Kampanye kedua yang menargetkan InTouchPOS dimulai pada 12 November 2021, tetapi sebagian besar injeksi skimmer di halaman web terjadi jauh kemudian, pada Januari 2022.

Infeksi InTouchPOS dengan loader JS dan cuplikan skimmer (hijau) (Recorded Future)

Skimmer dan artefak yang mencirikannya (penamaan variabel, struktur, kebingungan, dan skema enkripsi) menghubungkannya dengan kampanye yang lebih lama dan masih berlangsung, Recorded Future mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer.

Dalam hal ini, skimmer tidak mencuri detail dari situs, melainkan melapisi formulir pembayaran palsu pada target valid yang siap untuk proses checkout menggunakan kartu kredit.

Menurut Recorded Future, kedua kampanye sedang berlangsung, dan domain eksfiltrasi terkait masih online dan beroperasi.

Perusahaan keamanan telah memperingatkan semua entitas yang terkena dampak dari kompromi tersebut, tetapi mereka belum menerima tanggapan. Lembaga penegak hukum dan platform pembayaran telah diinformasikan.

Dalam kasus MenuDrive dan Harbortouch, menghapus skimmer memerlukan pemindaian semua subdomain restoran.

Infeksi InTouchPOS lebih mudah ditangkap dengan sebagian besar pemindai keamanan, karena menggunakan pengunduh JavaScript untuk skimmer, yang dapat dideteksi melalui perbandingan kode sederhana.

Sumber: Bleeping Computer