Privacy

Malware Builder Memanfaatkan Discord Webhooks

May 14, 2022 by Søren

Malware Builder adalah program yang dapat membuat executable mereka sendiri di atasnya. Analis ancaman dari Uptycs menemukan sampel yang dijuluki “KurayStealer.” Menurut peneliti, malware tersebut telah digunakan untuk menargetkan pengguna Discord.

Penulis di balik KurayStealer jelas mengambil inspirasi – dan kode – dari serangan-serangan lainnya. “Kami telah melihat beberapa versi serupa lainnya beredar di repositori publik seperti github,” catat para peneliti, menyimpulkan bahwa “pembuat KurayStelaer memiliki beberapa komponen pencuri kata sandi yang berbeda.”

Saat pertama kali dijalankan, KurayStealer menjalankan pemeriksaan untuk menentukan apakah pengguna jahat menjalankan versi gratis atau “VIP” (berbayar).

Selanjutnya, ia mencoba untuk mengganti string “api/webhooks” dengan “Kisses” di BetterDiscord – versi diperpanjang dari aplikasi Discord, dengan fungsionalitas yang lebih besar untuk pengembang. Jika tindakan ini berhasil, peretas dapat merusak aplikasi untuk menyiapkan webhook.

Webhook adalah mekanisme di mana halaman web dan aplikasi dapat mengirim data waktu nyata satu sama lain melalui HTTP. Mereka seperti API, perbedaan utamanya adalah bahwa webhook mengirim informasi secara otomatis, tanpa memerlukan permintaan dari penerima.

Dengan webhook, program mengambil tangkapan layar dan mengambil lokasi geografis mesin target. Kemudian mulai berburu kredensial: mencari kata sandi, token, alamat IP, dan lainnya dari Discord, Microsoft Edge, Chrome, dan 18 aplikasi lainnya. Setiap data yang dijelajahi dalam proses ini disalurkan kembali ke penyerang melalui webhook.

Selengkapnya: Threat Post

Aplikasi papan buletin anonim Yik Yak mengungkapkan lokasi persis penggunanya

May 14, 2022 by Søren

Yik Yak, sebuah aplikasi yang bertindak sebagai papan pesan anonim lokal, memungkinkan untuk menemukan lokasi pengguna yang tepat dan ID unik, Motherboard melaporkan.

Seorang peneliti yang menganalisis data Yik Yak dapat mengakses koordinat GPS yang tepat dari mana posting dan komentar berasal, akurat dalam jarak 10 hingga 15 kaki, dan mengatakan dia membawa temuannya ke perusahaan pada bulan April.

Motherboard berbicara dengan David Teather, seorang mahasiswa ilmu komputer yang berbasis di Madison, Wisconsin, yang menyampaikan masalah keamanan kepada Yik Yak dan kemudian mempublikasikan temuannya dalam sebuah posting blog.

Aplikasi ini menampilkan pos dari pengguna di sekitar tetapi hanya menampilkan perkiraan lokasi, seperti “sekitar 1 mil jauhnya,” hingga lima mil, untuk memberi pengguna gambaran dari mana pembaruan komunitas terdekat mereka berasal.

Meskipun Yik Yak menjanjikan anonimitas, Teather menunjukkan bahwa menggabungkan koordinat GPS dan ID pengguna dapat menghilangkan anonimitas pengguna dan mencari tahu di mana orang tinggal karena banyak yang mungkin menggunakannya dari rumah dan datanya akurat dalam jarak 10 hingga 15 kaki.

Kombinasi informasi tersebut dapat digunakan untuk menguntit atau mengawasi orang tertentu, dan Teather menyebutkan bahwa risikonya bisa lebih tinggi bagi orang yang tinggal di daerah pedesaan di mana jarak rumah lebih dari 10 hingga 15 kaki karena lokasi GPS dapat mempersempit pengguna ke satu alamat.

Selengkapnya: The Verge

Here’s How to Find if WhatsApp Web Code on Your Browser Has Been Hacked

April 23, 2022 by Søren

WhatsApp dan Cloudflare dari Meta Platform telah bersatu untuk inisiatif baru yang disebut Verifikasi Kode untuk memvalidasi keaslian aplikasi web layanan pesan di komputer desktop.

Tersedia dalam bentuk ekstensi browser Chrome dan Edge, add-on open-source ini dirancang untuk “secara otomatis memverifikasi keaslian kode Web WhatsApp yang disajikan ke browser Anda,” kata Facebook dalam sebuah pernyataan.

Sistem ini bekerja dengan Cloudflare yang bertindak sebagai audit pihak ketiga untuk membandingkan hash kriptografi dari kode JavaScript WhatsApp Web yang dibagikan oleh Meta dengan hash yang dihitung secara lokal dari kode yang dijalankan pada klien browser.

Verifikasi Kode juga dimaksudkan untuk fleksibel karena setiap kali kode untuk WhatsApp Web diperbarui, nilai hash kriptografik akan diperbarui secara otomatis secara bersamaan, sehingga kode yang disajikan kepada pengguna disertifikasi dengan cepat.

WhatsApp, dalam FAQ terpisah tentang fitur keamanan terbaru, menekankan bahwa “ekstensi tidak akan membaca atau mengakses pesan yang Anda kirim atau terima, dan kami tidak akan tahu apakah Anda telah mengunduh ekstensi tersebut.” Add-on juga tidak akan mencatat data, metadata, atau data pengguna apa pun, dan tidak membagikan informasi apa pun dengan WhatsApp, katanya.

“Idenya sendiri – membandingkan hash untuk mendeteksi gangguan atau bahkan file yang rusak – bukanlah hal baru, tetapi mengotomatiskannya, menyebarkannya dalam skala besar, dan memastikannya ‘berfungsi’ untuk pengguna WhatsApp,” kata Cloudflare.

Selengkapnya: The Hacker News

Anomaly Six, kontraktor rahasia Amerika mengklaim dapat memata-matai ponsel

April 23, 2022 by Søren

Menurut Brendon Clark dari Anomaly Six – atau “A6” – kombinasi teknologi pelacakan lokasi ponselnya dengan pengawasan media sosial yang disediakan oleh Zignal Labs akan memungkinkan pemerintah AS untuk dengan mudah memata-matai pasukan Rusia saat mereka berkumpul di sepanjang perbatasan Ukraina, atau sama melacak kapal selam nuklir China. Untuk membuktikan bahwa teknologi itu bekerja, Clark mengarahkan kekuatan A6 ke dalam, memata-matai Badan Keamanan Nasional dan CIA, menggunakan ponsel mereka sendiri untuk melawan mereka.

Anomaly Six yang berbasis di Virginia didirikan pada tahun 2018 oleh dua mantan perwira intelijen militer dan mempertahankan kehadiran publik yang nyaris misterius, situs webnya tidak mengungkapkan apa pun tentang apa yang sebenarnya dilakukan perusahaan tersebut. Tetapi ada kemungkinan besar bahwa A6 tahu banyak tentang Anda.

Perusahaan ini adalah salah satu dari banyak perusahaan yang membeli banyak sekali data lokasi, melacak ratusan juta orang di seluruh dunia dengan mengeksploitasi fakta yang kurang dipahami: Aplikasi ponsel cerdas umum yang tak terhitung jumlahnya terus-menerus memanen lokasi Anda dan menyampaikannya kepada pengiklan, biasanya tanpa sepengetahuan Anda atau persetujuan berdasarkan informasi, mengandalkan pengungkapan yang terkubur dalam hukum persyaratan layanan yang luas yang tidak pernah Anda baca oleh perusahaan yang terlibat.

Setelah lokasi Anda dikirimkan ke pengiklan, saat ini tidak ada undang-undang di Amerika Serikat yang melarang penjualan dan penjualan kembali informasi tersebut kepada perusahaan seperti Anomaly Six, yang bebas menjualnya ke sektor swasta dan klien pemerintah mereka. Bagi siapa pun yang tertarik untuk melacak kehidupan sehari-hari orang lain, industri periklanan digital mengurus pekerjaan kasar hari demi hari — yang perlu dilakukan pihak ketiga hanyalah membeli akses.

Selengkapnya: The Intercept

Tombol ‘Bungkam’ di aplikasi konferensi mungkin tidak benar-benar mematikan suara mikrofon Anda

April 17, 2022 by Søren

Sebuah studi baru menunjukkan bahwa menekan tombol bisu pada aplikasi konferensi video populer (VCA) mungkin tidak benar-benar berfungsi seperti yang Anda pikirkan, dengan aplikasi masih mendengarkan di mikrofon Anda.

Lebih khusus lagi, dalam perangkat lunak yang dipelajari, menekan mute tidak mencegah transmisi audio ke server aplikasi, baik secara terus-menerus atau berkala.

Karena aktivitas ini tidak didokumentasikan dalam kebijakan privasi terkait, pengguna memiliki pemahaman yang buruk tentang cara kerja sistem bisu, dengan salah berasumsi bahwa input audio terputus saat mereka mengaktifkannya.

Kesalahpahaman ini tercermin dalam studi tahap pertama, yang berkisar pada survei 223 pengguna VCA tentang harapan mereka saat menekan mute.

Sebagian besar (77,5%) responden merasa aplikasi tidak dapat terus mengakses mikrofon dan mungkin mengumpulkan data saat mode bisu aktif.

Studi ini dilakukan oleh tim peneliti di University of Wisconsin-Madison dan Loyola University di Chicago, yang menerbitkan makalah tentang hasil mereka.

Sebagai bagian dari penelitian, para peneliti melakukan analisis biner runtime menyeluruh dari aplikasi yang dipilih untuk menentukan jenis data yang dikumpulkan setiap aplikasi dan apakah data tersebut merupakan risiko privasi.

Aplikasi yang diuji dalam fase penelitian ini adalah Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, dan Discord.

Selengkapnya: Bleeping Computer

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

March 7, 2022 by Winnie the Pooh

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Aplikasi Olimpiade Cina Yang Wajib Diinstal Memiliki Dua Lubang Keamanan

January 20, 2022 by Winnie the Pooh

Penggunaan aplikasi Olimpiade China, MY2022, adalah wajib bagi semua orang yang menghadiri Olimpiade tahun ini di Beijing, baik sebagai atlet atau hanya menonton dari stadion.

Aplikasi ini mengumpulkan data pribadi yang sensitif – seperti detail paspor, data medis, dan riwayat perjalanan – dan analisis oleh peneliti keamanan mengungkapkan bahwa kode tersebut memiliki dua lubang keamanan yang dapat mengungkap informasi ini:

Citizen Lab, yang juga memainkan peran kunci dalam mengidentifikasi ponsel yang disusupi oleh spyware Pegasus, melakukan analisis.

[Kami menemukan] dua kerentanan keamanan di MY2022 terkait dengan keamanan transmisi data pengguna. Pertama, kami menjelaskan kerentanan di mana MY2022 gagal memvalidasi sertifikat SSL, sehingga gagal memvalidasi kepada siapa ia mengirim data terenkripsi yang sensitif. Kedua, kami menjelaskan transmisi data yang gagal dilindungi oleh MY2022 dengan enkripsi apa pun.

Selain itu, versi Android berisi daftar kata-kata terlarang – meskipun ini belum digunakan secara aktif.

Dibundel dengan MY2022 versi Android, kami menemukan file bernama “illegalwords.txt” yang berisi daftar 2.442 kata kunci yang umumnya dianggap sensitif secara politik di China. Namun, meskipun disertakan dalam aplikasi, kami tidak dapat menemukan fungsi apa pun di mana kata kunci ini digunakan untuk melakukan penyensoran. Tidak jelas apakah daftar kata kunci ini sepenuhnya tidak aktif, dan, jika demikian, apakah daftar tersebut sengaja tidak aktif. Namun, aplikasi berisi fungsi kode yang dirancang untuk menerapkan daftar ini ke arah penyensoran, meskipun saat ini fungsi ini tampaknya tidak dipanggil.

Selengkapnya: 9to5mac

Atlet Belanda Diperingatkan untuk Tidak Membawa Ponsel dan Laptop ke China

January 13, 2022 by Eevee

Atlet Belanda yang bersaing di Olimpiade Musim Dingin Beijing bulan depan harus meninggalkan ponsel dan laptop mereka di rumah dalam langkah yang belum pernah terjadi sebelumnya untuk menghindari spionase China, surat kabar Belanda De Volkskrant melaporkan pada hari Selasa.

Saran mendesak kepada atlet dan staf pendukung untuk tidak membawa perangkat pribadi ke China adalah bagian dari serangkaian langkah-langkah yang diusulkan oleh Komite Olimpiade Belanda (NOCNSF) untuk menangani kemungkinan campur tangan oleh agen negara China, kata surat kabar itu mengutip sumber yang dekat dengan masalah ini.

Juru bicara NOCNSF Geert Slot mengatakan cybersecurity adalah bagian dari penilaian risiko yang dibuat untuk perjalanan ke China, tetapi menolak untuk mengomentari tindakan spesifik apa pun.

“Pentingnya cybersecurity tentu saja telah berkembang selama bertahun-tahun,” kata Slot. “Tapi China telah benar-benar menutup internetnya, yang menjadikannya kasus tertentu.”

Anggota tim Belanda akan dilengkapi dengan perangkat yang tidak terpakai di China, untuk melindungi data pribadi mereka dari pengawasan China, kata sumber itu kepada De Volkskrant.

Setidaknya 30 atlet Belanda akan bersaing di Olimpiade Beijing bulan depan, terutama dalam acara skating kecepatan dan trek pendek.

Sumber: Reuters

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Privacy

Cookies Settings