Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Messaging Application

Messaging Application

Bug Facebook Messenger bisa saja memungkinkan peretas untuk memata-matai pengguna

by

Facebook telah memperbaiki bug keamanan utama hari ini di aplikasi Messenger untuk Android yang memungkinkan penyerang untuk melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi penelepon.

Kerentanan tersebut, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.

Dalam laporan bug yang dipublikasikan hari ini, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.

Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya ada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.

sumber : ZDNET

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

by

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Para Ahli Memperingatkan Risiko Privasi yang Disebabkan oleh Pratinjau Tautan di Aplikasi Perpesanan

by

Peneliti keamanan siber selama akhir pekan mengungkapkan risiko keamanan baru yang terkait dengan pratinjau tautan di aplikasi perpesanan populer yang menyebabkan layanan membocorkan alamat IP, mengekspos tautan yang dikirim melalui obrolan terenkripsi end-to-end, dan bahkan mengunduh gigabyte data secara diam-diam di latar belakang.

“Tautan yang dibagikan dalam obrolan mungkin berisi informasi pribadi yang ditujukan hanya untuk penerima,” kata peneliti Talal Haj Bakry dan Tommy Mysk.

“Ini bisa berupa tagihan, kontrak, catatan medis, atau apa pun yang mungkin dirahasiakan.”

“Aplikasi yang mengandalkan server untuk menghasilkan pratinjau tautan mungkin melanggar privasi penggunanya dengan mengirimkan tautan yang dibagikan dalam obrolan pribadi ke server mereka.”

Pratinjau tautan yang dihasilkan di sisi penerima membuka pintu ke risiko baru yang memungkinkan pelaku kejahatan untuk mengukur perkiraan lokasi mereka tanpa tindakan apa pun yang diambil oleh penerima hanya dengan mengirimkan tautan ke server di bawah kendali mereka.

Ini terjadi karena aplikasi perpesanan, setelah menerima pesan dengan tautan, membuka URL secara otomatis untuk membuat pratinjau dengan mengungkapkan alamat IP ponsel dalam permintaan yang dikirim ke server.

Reddit Chat dan aplikasi yang dirahasiakan, yang “dalam proses memperbaiki masalah ini”, ditemukan mengikuti pendekatan ini, menurut para peneliti.

Penggunaan server eksternal untuk menghasilkan pratinjau, sambil mencegah masalah kebocoran alamat IP, menciptakan masalah baru: Apakah server yang digunakan untuk membuat pratinjau menyimpan salinan, dan jika demikian, untuk berapa lama, dan untuk apa mereka menggunakannya?

Beberapa aplikasi, termasuk Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, dan Zoom, termasuk dalam kategori ini, tanpa ada indikasi bagi pengguna bahwa “server mengunduh apa pun yang mereka temukan di tautan”.

Pengujian aplikasi ini mengungkapkan bahwa kecuali untuk Facebook Messenger dan Instagram, yang lain memberlakukan batas 15-50 MB untuk file yang diunduh oleh server masing-masing. Slack, misalnya, menyimpan pratinjau tautan dalam cache selama sekitar 30 menit.

Meski begitu, para peneliti memperingatkan, ini bisa menjadi “mimpi buruk privasi” jika server menyimpan salinannya dan “pernah ada pelanggaran data dari server ini.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

WhatsApp dikalahkan secara telak saat alternatif baru yang menakjubkan muncul

by

Dengan 2 miliar penggunanya, WhatsApp tampak tidak dapat dihentikan, tetapi memiliki beberapa kelemahan dalam fungsinya — dalam cara kerjanya. Dan, yang terpenting, ia memiliki satu dealbreaker untuk banyak orang — WhatsApp dimiliki oleh Facebook.

Jadi, apa saja kelemahan fungsionalitas tersebut? Ya, dukungan asli untuk beberapa perangkat masih kurang — opsi untuk menautkan aplikasi di ponsel, tablet, dan PC Anda ke satu akun. Lalu ada kesalahan serius dalam opsi cadangannya, yang diperlukan untuk mentransfer riwayat pesan ke ponsel baru. Cadangan tersebut berada di luar enkripsi end-to-end WhatsApp — dan itu adalah masalah kritis.

Semua itu membuat WhatsApp jauh lebih kecil, tetapi jauh lebih menarik, saingan pemula Signal menjadi pembunuh raksasa potensial. Signal adalah pengganggu perpesanan modern, berusaha mengulangi trik yang dilakukan WhatsApp sendiri bertahun-tahun yang lalu, sebelum akuisisi Facebook.

Signal dirancang untuk mengutamakan keamanan, itulah USP-nya — WhatsApp sebenarnya menggunakan versi modifikasi dari protokol Signal itu sendiri. Dan sekarang Signal sedang dalam misi untuk menjadi arus utama. Dan jika Anda belum mencoba aplikasinya, Anda harus melakukannya.

Mungkin tidak ada cadangan pada Signal, tetapi contoh terenkripsi lainnya ini memberikan ketahanan jika Anda kehilangan telepon Anda. Dan platformnya tampak fleksibel dan gesit berbeda dengan WhatsApp. Anda akan kesulitan menemukan reporter teknologi atau keamanan yang merekomendasikan WhatsApp lebih dari Signal hari ini.

Signal dengan cepat mendekati massa kritis yang dibutuhkan untuk menjadi alternatif yang layak untuk setiap eksodus WhatsApp.

Signal sekarang menawarkan multiple device access, panggilan desktop, transfer riwayat pesan terenkripsi penuh ke perangkat baru, disappearing messages — fitur lain yang masih dikerjakan oleh WhatsApp.

Semuanya mulai meningkat menuju peralihan dari WhatsApp. Tidak mengherankan, meskipun jumlah pengguna Signal diukur dalam puluhan, bukan ratusan juta atau bahkan miliaran, sekarang jumlahnya melonjak.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Penyebab WhatsApp crash dan bagaimana untuk menghindari nya

by

WABetaInfo memposting pesan panjang yang merinci apa yang disebut dengan “pesan menakutkan”, Anda mungkin juga mendeskripsikannya sebagai “text bombs”, istilah lama untuk hal yang sama. Apa pun itu, ini adalah pesan yang dikirim pada aplikasi perpesanan pihak ketiga populer yang dirancang untuk membuatnya crash saat diterima oleh pengguna lain tanpa disadari.

Benang merah antara pesan-pesan ini adalah penggunaan karakter yang tidak biasa, seringkali dari beberapa huruf non-Latin. Saat membuka pesan yang berisi string ini, aplikasi tidak tahu cara memprosesnya, saat itulah masalah dimulai.

Jika Anda tidak cukup bijaksana untuk berinteraksi dengan salah satu pesan ini, maka WhatsApp dapat memasuki loop crash tak terbatas yang hanya dapat diperbaiki dengan menginstal ulang aplikasi. Ini berarti Anda akan kehilangan riwayat obrolan di perangkat, meninggalkan Anda dengan cadangan terbaru atau tidak sama sekali jika Anda tidak mengaktifkan pencadangan.

Anda mungkin juga menemukan vcard penyebab crash, yang disebut WhatsApp sebagai kartu kontak virtualnya. Ini berisi banyak kontak dengan nama aneh yang kemudian menyebabkan crash dengan cara yang mirip dengan pesan.

Jika Anda menerima salah satu dari pesan yang tampak mencurigakan ini, ada cara potensial untuk menghilangkannya dengan aman. Jika Anda masuk ke WhatsApp Web di komputer desktop atau laptop, memblokir pengguna yang mengirim pesan tersebut, kemudian mengatur privasi Anda ke “Kontak Saya” atau “Kontak Saya kecuali ..” dan terakhir menghapus pesan tersebut, Anda akan lolos dari masalah ini.

Yang menyedihkan adalah ada beberapa pesan seperti ini selama bertahun-tahun, tetapi WhatsApp tampaknya tidak dapat melakukan perbaikan menyeluruh.

Satu-satunya hal yang dapat dilakukan pengguna adalah waspada, selalu memperbarui aplikasi WhatsApp saat pembaruan tersedia, dan berharap para pengembang pada akhirnya menemukan cara untuk menghilangkan kerentanan ini untuk selamanya.

Source: Tom’s Guide

WhatsApp mengungkapkan enam kerentanan yang sebelumnya tidak diungkapkan di situs keamanan baru

by

WhatsApp milik Facebook telah mengungkapkan enam kerentanan yang sebelumnya tidak diungkapkan, yang kini telah diperbaiki oleh perusahaan.

Kerentanan dilaporkan di situs web advisory keamanan khusus yang akan berfungsi sebagai sumber daya baru yang menyediakan daftar lengkap pembaruan keamanan WhatsApp dan Kerentanan Umum dan Eksposur (CVE) terkait.

WhatsApp mengatakan lima dari enam kerentanan telah diperbaiki pada hari yang sama, sementara bug yang tersisa membutuhkan beberapa hari untuk diperbaiki. Meskipun beberapa bug dapat dipicu dari jarak jauh, perusahaan mengatakan tidak menemukan bukti peretas yang secara aktif mengeksploitasi kerentanan.

Ke-enam kerentanan tersebut adalah:
CVE-2020-1894
CVE-2020-1891
CVE-2020-1890
CVE-2020-1889
CVE-2020-1886
CVE-2019-11928

Detail keenam kerentanan di atas dapat dilihat pada situs web keamanan WhatsApp.

Situs web baru diluncurkan sebagai bagian dari upaya perusahaan untuk lebih transparan tentang kerentanan yang menargetkan aplikasi perpesanan, dan sebagai tanggapan atas umpan balik pengguna.

Source: Tech Crunch

WhatsApp Dikalahkan Oleh Alternatif Baru Yang Menakjubkan

by

WhatsApp adalah platform perpesanan aman terkemuka di dunia — tetapi sekarang WhatsApp sedang mengejar ketinggalan dengan pesaing yang bergerak cepat.

WhatsApp melakukan pekerjaan yang brilian untuk mengamankan panggilan suara dan video dari aplikasi iPhone dan Android-nya — dan baru-baru ini telah meningkatkannya dengan mengaktifkan panggilan grup delapan orang. Semua panggilan diamankan dengan enkripsi ujung ke ujung (end-to-end encryption).

Kabar baiknya adalah WhatsApp sekarang memiliki aplikasi desktop lengkap yang sedang dalam pengerjaan — bagian dari fitur perangkat yang ditautkan sekarang sedang diuji, dan dilaporkan bahwa panggilan berbasis desktop akan diaktifkan.

Namun sekarang alternatif terbaik dan tercerdas untuk WhatsApp telah mengalahkan platform milik Facebook tersebut. Signal telah memulai pengujian beta video one-to-one dan panggilan suara baru dari aplikasi desktopnya. Dan meskipun ini belum tersedia untuk panggilan grup, ada petunjuk dalam pengumuman Signal bahwa ide tersebut mungkin dapat terealisasikan.

Signal adalah perpesanan aman terbaik yang tersedia saat ini, dan bagi siapa saja yang tidak mempercayai Facebook dengan perpesanan mereka, ini adalah opsi untuk Anda.

Panggilan desktop bukan satu-satunya pembaruan yang sedang dikerjakan Signal. Platform ini juga memperkenalkan permintaan pesan, yang akan memberi pengguna kontrol tentang siapa yang dapat mengirim pesan kepada mereka di Signal dari luar kontak perangkat mereka.

Jika Anda belum menggunakan Signal, saya sangat menyarankan Anda untuk memasangnya di ponsel Anda dan mencobanya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Mengapa Anda Harus Berhenti Menggunakan iMessage dan Google Message?

by

Mengapa Anda Harus Berhenti Menggunakan iMessage dan Google Message?

iMessage dan Google Message adalah aplikasi perpesanan default bawaan pada ponsel Apple dan Google. Kedua platform menjalankan protokol keamanan yang berbeda: iMessage Apple dienkripsi ujung-ke-ujung (end-to-end), sedangkan Google tidak. Google hanya mengenkripsi antara perangkat dan servernya, tidak ujung-ke-ujung, meskipun dilaporkan bahwa mereka sedang mengusahakannya.

Seperti yang kita tahu, perpesanan melalui SMS tidak menggunakan enkripsi end-to-end. SMS dibangun di atas arsitektur kuno yang berada di dalam banyak jaringan seluler di seluruh dunia. Saat Anda mengirim SMS, meskipun mungkin itu aman antara telepon dan jaringan Anda, SMS itu dapat dengan mudah disadap dan dikumpulkan.

Karena pengguna iMessage terkadang mengirim pesan ke luar komunitas (orang yang tidak menggunakan iMessage), dan terkadang ketika jaringan data tidak tersedia, iMessage dapat kembali ke SMS saat diperlukan. Lalu ketika itu terjadi, tidak ada enkripsi end-to-end.

Meskipun Anda dapat menonaktifkan fitur “Kirim sebagai pesan SMS”, ini tidak akan menghentikan Anda menerima pesan SMS. Dan saat Anda membalas pesan dari pengguna non-Apple, maka pesan tersebut juga akan menjadi pesan SMS.

Google’s Messages lebih merupakan front-end untuk SMS daripada messenger terpisah, menambahkan fungsionalitas yang lebih kaya tetapi dengan pendekatan yang terintegrasi erat. Google Messages menggunakan RCS (Rich Communication Services), pengganti SMS. Sayangnya RCS ini juga tidak dienkripsi secara end-to-end, dibangun pada arsitektur jaringan yang sama dengan SMS.

Jadi kesimpulannya tetep direkomendasikan menggunakan messenger terenkripsi secara end-to-end untuk semua lalu lintas pribadi Anda. Anda tidak tahu siapa di luar sana yang dapat melihat percakapan Anda dan apa yang dapat mereka perbuat. Melakukan pencegahan selalu lebih baik.

 
Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes