Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Messaging Application

Messaging Application

Hati-hati dengan tautan ke situs web Discord – bisa jadi itu adalah malware [updated]

by

Peretas jahat dan penjahat online menggunakan jaringan penyimpanan file Discord untuk menyimpan dan mendistribusikan malware yang ditautkan dari atau dilampirkan ke email spam, kata perusahaan keamanan Zscaler dalam sebuah laporan baru.

Tidak ada bukti bahwa Discord sendiri, salah satu layanan obrolan paling populer di kalangan gamer online, membenarkan penyalahgunaan jaringannya ini.

Di antara jenis malware yang saat ini menyerang pemain game dari server Discord, kata Zscaler, adalah ransomware Epsilon, pencuri informasi Redline, penambang cryptocurrency XMRig, dan berbagai “perampas token” yang mencuri informasi login Discord sementara.

Sebagai tanggapan atas pertanyaan kami, juru bicara Discord memberi kami pernyataan ini:

“Discord bergantung pada campuran pemindaian proaktif dan laporan reaktif untuk mendeteksi malware dan virus di layanan kami. Setelah kami mengetahui kasus ini, kami segera menghapus konten. Sehubungan dengan kasus khusus ini, kami menyelidiki situasinya dan menghapus yang terpengaruh kandungan.”

selengkapnya : TomsGuide

Cara Mengambil Pesan Anda Saat Meninggalkan Facebook, Instagram, atau WhatsApp

by

Keributan privasi WhatsApp terbaru sekali lagi membuat kami bertanya-tanya apakah memberikan begitu banyak data kepada perusahaan dengan rekam jejak Facebook merupakan ide yang bagus.

Dalam panduan ini, kami akan berfokus pada mengekspor percakapan Anda ke dalam format yang dapat dibaca — kami tidak akan membahas penutupan akun Anda.

WhatsApp
Jika Anda menggunakan WhatsApp di ponsel Android, buka percakapan yang ingin Anda ekspor, ketuk tiga titik di pojok kanan atas, lalu pilih Lainnya dan Ekspor obrolan. Anda dapat memilih apakah akan menyertakan video dan foto atau tidak, atau hanya menyimpan teks, dan Anda kemudian akan diberikan lembar berbagi standar Android. Anda dapat mengirimkan arsip melalui email kepada Anda sendiri, atau menyimpannya ke loker penyimpanan cloud, dan sebagainya.

Mereka yang menggunakan iOS perlu membuka percakapan yang ingin Anda ekspor, lalu ketuk tajuk di bagian atas. Pilih Ekspor Obrolan, pilih apakah akan menyertakan file media di cadangan atau tidak, dan lembar berbagi iOS akan muncul — ini memungkinkan Anda menyimpan arsip obrolan ke ponsel Anda, atau mengirim ke salah satu aplikasi yang diinstal, atau mengirimkannya ke email Anda sendiri .

Facebook Messenger
Anda dapat mengekspor percakapan Anda secara terpisah dari yang lain, tetapi Anda harus pergi ke hub Facebook utama terlebih dahulu.

Masuk ke halaman pengaturan Facebook Anda di web, lalu pilih Informasi Facebook Anda dan klik Lihat di sebelah Unduh informasi Anda. Pastikan entri Pesan dicentang, bersama dengan bit data lain yang ingin Anda unduh. Pilih Semua data saya di samping Rentang tanggal, HTML di samping Format, dan Tinggi di samping Kualitas media dari menu tarik-turun di bagian atas daftar.

Instagram
Seperti halnya Facebook, kemampuan untuk mengekspor pesan di Instagram termasuk dalam alat ekspor umum untuk akun Instagram Anda secara keseluruhan.

Klik Privasi dan Keamanan lalu Minta Unduhan di bawah Unduhan Data. Anda harus menentukan alamat email untuk arsip yang akan dikirim, dan Anda harus memasukkan kata sandi Instagram Anda lagi, dan Anda kemudian dapat mengklik Minta Download. Instagram mengatakan mungkin perlu waktu hingga 48 jam untuk membuat cadangan Anda siap, meskipun pada kenyataannya Anda tidak boleh menunggu selama itu.

selengkapnya :Gizmodo

Mengapa Pesan Teks SMS Tidak Pribadi atau Aman

by

Dengan SMS, pesan yang Anda kirim tidak dienkripsi secara end-to-end. Operator selular Anda dapat melihat konten pesan yang Anda kirim dan terima. Pesan tersebut disimpan di sistem penyedia seluler Anda — jadi, alih-alih perusahaan teknologi seperti Facebook yang melihat pesan Anda, penyedia seluler dapat melihat pesan Anda.

Operator seluler menyimpan konten pesan tersebut untuk berbagai waktu. Pesan sering kali hanya disimpan selama beberapa hari, tetapi menyimpan metadata (nomor mana yang mengirim pesan ke nomor mana, dan jam berapa) bahkan lebih lama. Catatan ini dapat dikenakan panggilan pengadilan dalam proses hukum — misalnya, catatan pesan teks adalah bentuk bukti yang umum dalam kasus perceraian.

Mari kita cepat meringkas masalah terkait SMS, dan membandingkannya dengan aplikasi obrolan terenkripsi ujung ke ujung yang aman seperti Signal.

Dengan SMS:

  • Operator seluler Anda dapat melihat konten pesan yang Anda kirim dan terima. Semua catatan yang dikumpulkan dapat dipanggil dalam proses hukum.
  • Pesan SMS dapat dicegat oleh peretas karena kelemahan dalam protokol lama yang memberdayakan mereka. Hal ini membahayakan akun keuangan dan akun lainnya.
  • Pihak berwenang dapat menyebarkan ikan pari untuk mengintip isi pesan teks di suatu area.
  • Penipu dapat mencoba mencuri nomor ponsel Anda dengan menipu staf layanan pelanggan penyedia seluler Anda.

Dengan Signal, misalnya:

  • Operator seluler Anda tidak dapat melihat konten pesan Anda. Bahkan Signal tidak dapat melihat konten pesan Anda atau siapa yang Anda hubungi — itu tetap rahasia. Signal tidak mengumpulkan data ini. Jika dipaksa oleh panggilan pengadilan, Signal hampir tidak dapat mengungkapkan apa pun tentang penggunaan layanan Anda.
  • Pesan Signal tidak dapat secara realistis dibajak oleh peretas. Mereka harus membahayakan protokol enkripsi Signal, yang oleh para ahli keamanan dianggap sangat baik. (Sebaliknya, SS7 telah berulang kali dikompromikan.)
  • Ikan pari tidak dapat melihat percakapan Anda. Pihak berwenang tidak dapat mengintip konten pesan Signal — tidak tanpa mendapatkan ponsel yang berisi pesan tersebut. Yang dapat mereka lihat hanyalah lalu lintas terenkripsi yang dikirim bolak-balik ke server Signal.
  • Scam port-out yang menangkap nomor telepon Anda tidak akan memberikan akses ke akun Signal Anda. Anda dapat melindungi akun Signal Anda dengan PIN, jadi penipu tidak bisa begitu saja mengakses akun Signal Anda. Meskipun penipu entah bagaimana dapat menebak PIN Anda dan mengakses akun Signal Anda, pesan Signal Anda disimpan di ponsel Anda dan tidak akan disinkronkan ke perangkat baru mana pun yang mendapatkan akses ke akun Anda.

selengkapnya : HowToGeek

Beralih ke Signal? Aktifkan setelan ini sekarang untuk privasi dan keamanan yang lebih baik

by

Tahukah Anda bahwa Anda dapat membuat Signal lebih aman? Ada beberapa perbedaan tampilan antara Signal versi iOS dan Android, tetapi tip ini berlaku untuk kedua platform.

Tempat pertama yang harus Anda tuju adalah layar Pengaturan. Untuk membukanya, ketuk inisial Anda di pojok kiri atas layar (di Android Anda juga dapat mengetuk tiga titik di kiri atas lalu Pengaturan).

Ada tiga pengaturan di iOS dan empat di Android yang saya sarankan untuk dinyalakan, dan beberapa lainnya layak untuk dilihat.

  • Kunci Layar (iOS dan Android): Berarti Anda harus memasukkan biometrik Anda (ID Wajah, ID Sentuh, sidik jari atau kode sandi) untuk mengakses aplikasi
  • Aktifkan Keamanan Layar (iOS) atau Keamanan Layar (Android): Di iPhone, ini mencegah pratinjau data ditampilkan di pengalih aplikasi, sedangkan di Android mencegah pengambilan tangkapan layar
  • Kunci Pendaftaran (iOS dan Android): Memerlukan PIN Anda saat mendaftar dengan Signal (cara praktis untuk mencegah perangkat kedua ditambahkan)
  • Incognito Keyboard (hanya Android): Mencegah keyboard mengirimkan apa yang Anda ketikkan ke pihak ketiga, yang dapat memungkinkan kebocoran data sensitif

sumber : ZDNET

Brian Acton dari Signal berbicara tentang ledakan pertumbuhan, monetisasi, dan penyebaran data WhatsApp

by

Brian Acton “bertemu kembali” dengan Facebook. Selama lebih dari satu dekade membangun dan mengoperasikan WhatsApp, pendiri perusahaan pertama-tama bersaing dan kemudian menjual aplikasi perpesanan instannya ke raksasa sosial. Hanya beberapa tahun yang lalu dia berpisah dengan perusahaan yang membuatnya menjadi miliarder dalam perpecahan pahit karena perpesanan dan privasi.

Sekarang Acton mengatakan kemarahan yang sedang berlangsung atas apa yang telah dilakukan Facebook pada layanan perpesanan yang dia bantu bangun mendorong orang-orang ke proyek terbarunya – Signal. Acton, yang menjabat sebagai ketua eksekutif perusahaan induk aplikasi perpesanan yang sadar privasi, mengatakan kepada TechCrunch dalam sebuah wawancara bahwa basis pengguna Signal telah “meledak” dalam beberapa pekan terakhir.

Melalui peringatan dalam aplikasi, WhatsApp telah meminta pengguna dalam beberapa hari terakhir untuk menyetujui persyaratan ketentuan baru yang memberikan aplikasi izin untuk membagikan data pribadi mereka dengan Facebook. Pengguna harus menyetujui persyaratan ini sebelum 8 Februari jika mereka ingin terus menggunakan aplikasi, kata peringatan itu.

Acton mengatakan WhatsApp bergulat dengan menggabungkan fitur-fitur monetisasi sambil tetap melindungi privasi orang. Dan “kebijakan rumit” barunya telah memaksa WhatsApp dan media untuk mencari penjelasan dan “semua orang bingung”.

sumber : Techcrunch

Telegram mempublikasikan lokasi pengguna secara online

by

Beberapa tahun yang lalu, saat menggunakan aplikasi Line, saya melihat fitur yang disebut “Orang di sekitar”. Fitur ini memungkinkan Anda terhubung dengan pengguna Line lainnya di area yang sama. Fitur ini akan memberi Anda jarak yang tepat dari Anda ke pengguna lain. Jika seseorang memalsukan garis lintang, bujurnya, mereka dapat melakukan pelacakan pengguna dan menemukan lokasinya. Saya melaporkan masalah di aplikasi Line, dan Mereka membayar saya $ 1000 untuk itu. Mereka memperbaikinya dengan menambahkan nomor acak ke tujuan pengguna. Anda dapat menemukan nama saya di sini.

Beberapa hari yang lalu, saya menginstal Telegram, dan saya perhatikan bahwa mereka memiliki fitur yang sama. Saya mencoba untuk melihat apakah saya dapat membuka kedok lokasi pengguna lain, dan saya menemukan mereka memiliki masalah yang sama dengan yang saya temukan di aplikasi Line beberapa tahun yang lalu. Saya melaporkan masalah tersebut ke keamanan Telegram, dan mereka mengatakan itu bukan masalah. Jika Anda mengaktifkan fitur untuk membuat diri Anda terlihat di peta, Anda menerbitkan alamat rumah Anda secara online.

Saya bisa mendapatkan alamat rumah persis pengguna itu.

Telegram memberi tahu saya bahwa itu bukan masalah. Jika Anda menggunakan fitur ini, pastikan untuk menonaktifkannya. Kecuali jika Anda ingin lokasi Anda dapat diakses oleh semua orang.

Sayangnya, keamanan aplikasi Telegram yang buruk dapat tercermin dengan jumlah scammer yang mereka miliki dalam fitur itu. Telegram memungkinkan pengguna membuat grup lokal dalam suatu wilayah geografis. Banyak scammer memalsukan lokasi mereka dan mencoba menjual investasi bitcoin palsu, alat peretasan, SSN yang digunakan untuk penipuan pengangguran, dan sebagainya.

oleh Ahmed’s Notes

Bug Cisco 9.9/10-severity: Tambal kerentanan Jabber yang berbahaya ini pada Windows dan macOS

by

Cisco telah meluncurkan patch untuk beberapa kelemahan kritis yang memengaruhi klien Jabber untuk Windows, MacOS, dan aplikasi seluler untuk iOS dan Android.

Cacatnya buruk, dengan yang terburuk memiliki peringkat keparahan 9,9. Yang lebih buruk, cacat itu dimaksudkan untuk diperbaiki tiga bulan lalu dalam pembaruan untuk Jabber, tak lama setelah para peneliti merilis kode proof-of-concept eksploitasi untuk bug wormable, yang dapat dieksploitasi melalui pesan instan.

Jabber adalah platform enterprise chat dan pesan instan Cisco yang banyak digunakan, yang diakuisisi pada tahun 2008. Aplikasi ini didasarkan pada Chromium Embedded Framework (CEF), yang memungkinkan pengembang untuk menyematkan browser web berbasis Chromium dalam sandbox asli di aplikasi mereka.

Cisco mengatakan bahwa bug ini memungkinkan penyerang untuk “mengeksekusi program apapun pada sistem operasi yang mendasarinya dengan hak istimewa yang lebih tinggi atau mendapatkan akses ke informasi sensitif”.

Cisco mencatat bahwa kerentanan penanganan pesan baru dapat dieksploitasi jika penyerang dapat mengirim pesan Extensible Messaging and Presence Protocol (XMPP) ke sistem pengguna akhir yang menjalankan Cisco Jabber.

Tiga bug yang belum diperbaiki sepenuhnya dilacak sebagai CVE-2020-26085, CVE-2020-27127, dan CVE-2020-27132.

Watchcom melaporkan empat kerentanan ke Cisco awal tahun ini, dan itu diungkapkan oleh raksasa jaringan pada bulan September. Tetapi tiga di antaranya tidak diperbaiki dengan benar dalam pembaruan pada saat itu, menurut Watchcom.

Cisco juga menemukan dua bug tambahan di Jabber selama pengujian internal. Mereka dilacak sebagai CVE-2020-27133 dan CVE-2020-27134.

Sumber: ZDNet

Aplikasi Pesan Go SMS Pro Mengekspos File Media Pribadi Pengguna

by

Aplikasi Android yang populer menggunakan alamat Web yang mudah ditebak saat pengguna mengirim foto pribadi, video, dan pesan suara. Kerentanan keamanan di Go SMS Pro, aplikasi perpesanan Android populer, mengekspos foto pribadi, video, dan pesan suara dari jutaan pengguna, lapor peneliti. Peneliti dengan Trustwave SpiderLabs menemukan kelemahan Go SMS Pro versi 7.91, yang memiliki lebih dari 100 juta pengguna. Meskipun tidak jelas versi lain mana yang terpengaruh, diyakini versi sebelumnya dan versi yang akan datang rentan terhadap masalah yang sama, kata mereka.

Go SMS Pro, seperti banyak aplikasi messenger lainnya, memungkinkan orang mengirim media pribadi ke pengguna lain. Jika penerima memiliki aplikasi, media akan muncul di dalam aplikasi. Jika penerima tidak memiliki Go SMS Pro, file media dikirim sebagai alamat Web melalui SMS dan kemudian dibuka di dalam browser. Peneliti menemukan tautan ini dapat diakses tanpa otentikasi atau otorisasi apa pun, sehingga siapa pun yang memiliki tautan dapat melihat kontennya. Mereka juga mempelajari bahwa tautan URL berurutan (heksadesimal) dan dapat diprediksi, yang berarti penyerang dapat menaikkan nilai dalam URL tertentu untuk melihat atau mendengarkan pesan media pengguna lain tanpa otentikasi.

Trustwave menemukan kerentanan pada bulan Agustus dan berusaha menghubungi vendor aplikasi beberapa kali. Perusahaan tidak menanggapi, artinya kerentanan ini masih menimbulkan risiko bagi pengguna. Peneliti menyarankan agar tidak mengirim file media yang mungkin berisi data sensitif sampai Bug diperbaiki.

sumber : DarkReading