Smart Device

Speaker Google Home Memungkinkan Peretas Mengintai Percakapan

December 30, 2022 by Flamango

Bug di speaker pintar Google Home memungkinkan pemasangan akun backdoor yang dapat digunakan untuk mengontrol dari jarak jauh dan mengubahnya menjadi perangkat pengintai dengan mengakses umpan mikrofon.

Tahun lalu, seorang peneliti menerima $107.500 karena menemukan masalah tersebut dan melaporkannya ke Google. Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana kelemahan tersebut dapat dimanfaatkan.

Proses Kompromi
Dalam eksperimennya, peneliti menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah secara remote melalui cloud API.

Melalui pemindaian Nmap, ditemukan port untuk API HTTP lokal Google. Jadi peneliti menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Lalu lintas HTTPS (terenkripsi) yang diambil (downrightnifty.me)

Menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan “cloud ID” dari API lokalnya. Dengan informasi ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan pengguna jahat ke perangkat target, analis mengimplementasikan proses penautan dalam skrip Python yang mengotomatiskan pengelupasan data perangkat lokal dan mereproduksi permintaan penautan.

Permintaan penautan yang membawa data ID perangkat (downrightnifty.me)

Kemungkinan Implikasi
Selain melakukan tindakan melalui speaker Google Home secara remote, seperti mengontrol saklar pintar, melakukan pembelian online, membuka kunci pintu dan kendaraan, peneliti menemukan cara untuk menyalahgunakan perintah panggilan telepon.

Perutean berbahaya yang menangkap audio mikrofon (downrightnifty.me)

Jika LED perangkat menyala biru saat melakukan panggilan, merupakan indikasi bahwa beberapa aktivitas sedang berlangsung. Jika korban menyadarinya, mereka mungkin menganggap perangkat sedang memperbarui firmware-nya.

Hal ini juga memungkinkan untuk memutar media pada speaker pintar yang disusupi, mengganti nama, memaksa reboot, memaksa melupakan jaringan Wi-Fi tersimpan, memaksa pemasangan Bluetooth atau Wi-Fi baru, dan banyak lagi.

Perbaikan Google
Google memperbaiki semua masalah pada April 2021 dengan tambalan mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Beranda.

Deauthenticating Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas dalam menangani perintah panggilan telepon.

Selengkapnya: BLEEPINGCOMPUTER

Lebih dari 80.000 kamera Hikvision yang dapat dieksploitasi diekspos secara online

August 28, 2022 by Søren

Peneliti keamanan telah menemukan lebih dari 80.000 kamera Hikvision rentan terhadap cacat injeksi perintah kritis yang mudah dieksploitasi melalui pesan yang dibuat khusus yang dikirim ke server web yang rentan.

Cacat tersebut dilacak sebagai CVE-2021-36260 dan telah diatasi oleh Hikvision melalui pembaruan firmware pada September 2021.

Namun, menurut whitepaper yang diterbitkan oleh CYFIRMA, puluhan ribu sistem yang digunakan oleh 2.300 organisasi di 100 negara masih belum menerapkan pembaruan keamanan.

Ada dua eksploitasi publik yang diketahui untuk CVE-2021-36260, satu diterbitkan pada Oktober 2021 dan yang kedua pada Februari 2022, sehingga aktor ancaman dari semua tingkat keahlian dapat mencari dan mengeksploitasi kamera yang rentan.

Pada bulan Desember 2021, botnet berbasis Mirai yang disebut ‘Moobot’ menggunakan eksploit tertentu untuk menyebar secara agresif dan mendaftarkan sistem ke kawanan DDoS (distributed denial of service).

Pada Januari 2022, CISA memperingatkan bahwa CVE-2021-36260 termasuk di antara bug yang dieksploitasi secara aktif dalam daftar yang diterbitkan saat itu, memperingatkan organisasi bahwa penyerang dapat “mengambil alih” perangkat dan segera menambal kelemahannya.

Dari sampel yang dianalisis dari 285.000 server web Hikvision yang terhubung ke internet, perusahaan keamanan siber menemukan sekitar 80.000 masih rentan terhadap eksploitasi.

Sebagian besar terletak di Cina dan Amerika Serikat, sementara Vietnam, Inggris, Ukraina, Thailand, Afrika Selatan, Prancis, Belanda, dan Rumania semuanya terhitung di atas 2.000 titik akhir yang rentan.

Selengkapnya: Bleeping Computer

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

August 9, 2022 by Eevee

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Cyber Attacker ‘Traps’ mengungkapkan dampak aktivitas ancaman setelah invasi Rusia terhadap Ukraina

August 4, 2022 by Eevee

Peneliti Nozomi Networks telah menemukan bahwa wiper malware, aktivitas botnet IoT, dan invasi Rusia ke Ukraina telah berdampak besar pada lanskap ancaman dunia maya pada paruh pertama tahun 2022.

Data dari teknologi operasional terbaru (OT)/laporan keamanan IoT Jaringan Nozomi telah menunjukkan bahwa lanskap ancaman dunia maya melihat aktivitas dari beberapa jenis pelaku ancaman, termasuk peretas, ancaman persisten tingkat lanjut (APT), dan penjahat dunia maya sejak Rusia memulainya. invasi ke Ukraina pada Februari 2022.

Menurut Roya Gordon, penginjil penelitian keamanan OT/IoT Nozomi Networks, lanskap ancaman dunia maya tahun ini kompleks.

Peneliti Nozomi Networks juga mengamati penggunaan malware wiper yang kuat dan menyaksikan munculnya varian malware Industroyer, yang digunakan dalam serangan cyber di jaringan listrik Ukraina. Dijuluki Industroyer2, malware ini dikembangkan untuk menyalahgunakan protokol IEC-104, yang biasa digunakan di lingkungan industri.

Selama paruh pertama tahun 2022, aktivitas botnet IoT yang berbahaya juga meningkat dan semakin canggih.

Peneliti Nozomi Networks telah menyiapkan serangkaian pot madu untuk menarik botnet jahat ini yang bertujuan untuk menangkap aktivitas mereka guna memberikan wawasan tambahan tentang bagaimana pelaku ancaman menargetkan IoT. Melalui model penelitian ini, para peneliti Nozomi Networks menemukan masalah keamanan yang berkembang untuk kata sandi yang dikodekan secara keras dan antarmuka internet untuk kredensial pengguna akhir.

Dari Januari hingga Juni 2022, Honey Pot Nozomi Networks menemukan:

Maret adalah bulan paling aktif dengan hampir 5.000 alamat IP penyerang unik yang dikumpulkan.
Alamat IP penyerang teratas dikaitkan dengan China dan Amerika Serikat.
Kredensial “Root” dan “Admin” paling sering ditargetkan dan digunakan dalam berbagai variasi sebagai cara bagi pelaku ancaman untuk mengakses semua perintah sistem dan akun pengguna.
Manufaktur dan energi terus menjadi industri yang paling rentan menurut peneliti Nozomi Networks, diikuti oleh fasilitas kesehatan dan komersial.

Selama enam bulan pertama tahun 2022:

CISA merilis 560 kerentanan dan eksposur umum (CVE) – turun 14 persen dari paruh kedua tahun 2021.
Jumlah vendor yang terkena dampak naik 27 persen.
Produk yang terkena dampak juga naik 19 persen dari paruh kedua tahun 2021.

Ketika ancaman dunia maya terus berkembang, Gordon mencatat bahwa untungnya, pertahanan keamanan juga berkembang.

Sumber: Cybersecurity Connect

Serangan Bluetooth Baru dari Jarak Jauh Dapat Membuka Kunci Kendaraan Tesla dan Kunci Pintar

May 19, 2022 by Eevee

Peneliti keamanan telah mendemonstrasikan serangan relai Bluetooth baru yang dapat membuka dan mengoperasikan beberapa kendaraan Tesla dari jarak jauh.

Kerentanannya terletak pada Bluetooth Low Energy (BLE), teknologi yang digunakan oleh sistem entri Tesla yang memungkinkan pengemudi dengan aplikasi atau key fob untuk membuka dan mengoperasikan mobil mereka dari dekat. Sebagian besar perangkat dan kendaraan yang mengandalkan otentikasi berbasis kedekatan semacam ini dirancang untuk melindungi dari berbagai serangan relai, yang biasanya bekerja dengan menangkap sinyal radio yang digunakan untuk membuka kunci kendaraan, misalnya, dan memutarnya kembali seolah-olah permintaan otentik, dengan menggunakan enkripsi dan memperkenalkan pemeriksaan yang dapat membuat serangan relai lebih sulit.

Sementara serangan itu ditunjukkan terhadap kendaraan Tesla, Khan mencatat bahwa setiap kendaraan yang menggunakan BLE untuk sistem entri tanpa kuncinya dapat rentan terhadap serangan ini. Dalam nasihat terpisah, NCC Group memperingatkan bahwa serangan itu juga dapat digunakan terhadap kunci pintar Kwikset dan Weiser Kevo, yang mendukung entri pasif BLE melalui fungsionalitas “sentuh untuk membuka”.

Dalam sebuah video yang dibagikan dengan TechCrunch, Khan terlihat berjalan ke Tesla Model Y sambil memegang laptop dengan perangkat relay terpasang, memungkinkannya untuk membuka kunci mobil dan membuka pintu secara nirkabel.

“Penelitian kami menunjukkan bahwa sistem yang diandalkan orang untuk menjaga mobil, rumah, dan data pribadi mereka menggunakan mekanisme otentikasi kedekatan Bluetooth yang dapat dengan mudah dipatahkan dengan perangkat keras yang murah,” kata Khan.

Para peneliti mendorong pemilik Tesla untuk menggunakan fitur PIN to Drive, yang membutuhkan pin empat digit untuk dimasukkan sebelum kendaraan dapat dikemudikan, dan untuk menonaktifkan sistem entri pasif di aplikasi seluler.

Tesla tidak asing dengan kelemahan keamanan. Awal tahun ini, seorang peneliti keamanan berusia 19 tahun mengatakan bahwa dia dapat mengakses lusinan Tesla di seluruh dunia dari jarak jauh karena bug keamanan yang ditemukan di logging tool sumber terbuka yang populer di kalangan pemilik Tesla mengekspos mobil mereka langsung ke internet.

Sumber: TechCrunch

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

May 6, 2022 by Eevee

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

Kerentanan Terkait DNS yang Tidak Ditambal Mempengaruhi Berbagai Perangkat IoT

May 4, 2022 by Eevee

Peneliti keamanan siber telah mengungkapkan kerentanan keamanan yang belum ditambal yang dapat menimbulkan risiko serius bagi produk IoT.

Masalah ini, yang awalnya dilaporkan pada September 2021, memengaruhi implementasi Domain Name System (DNS) dari dua pustaka C populer yang disebut uClibc dan uClibc-ng yang digunakan untuk mengembangkan sistem Linux tertanam.

uClibc diketahui digunakan oleh vendor besar seperti Linksys, Netgear, dan Axis, serta distribusi Linux seperti Embedded Gentoo, yang berpotensi mengekspos jutaan perangkat IoT ke ancaman keamanan.

“Kecacatan ini disebabkan oleh prediktabilitas ID transaksi yang termasuk dalam permintaan DNS yang dihasilkan oleh perpustakaan, yang memungkinkan penyerang melakukan serangan keracunan DNS terhadap perangkat target,” Giannis Tsaraias dan Andrea Palanca dari Nozomi Networks mengatakan dalam sebuah tulisan Senin- ke atas.

Keracunan DNS, juga disebut sebagai DNS spoofing, adalah teknik merusak cache resolver DNS yang memberi klien alamat IP yang terkait dengan nama domain dengan tujuan mengarahkan pengguna ke situs web berbahaya.

Eksploitasi bug yang berhasil dapat memungkinkan musuh melakukan serangan Man-in-the-Middle (MitM) dan merusak cache DNS, secara efektif mengalihkan lalu lintas internet ke server di bawah kendali mereka.

Nozomi Networks memperingatkan bahwa kerentanan dapat dieksploitasi secara sepele dengan cara yang andal jika sistem operasi dikonfigurasikan untuk menggunakan port sumber yang tetap atau dapat diprediksi.

“Penyerang kemudian dapat mencuri dan/atau memanipulasi informasi yang dikirimkan oleh pengguna, dan melakukan serangan lain terhadap perangkat tersebut untuk sepenuhnya membahayakan mereka,” kata para peneliti.

Sumber: The Hacker News

Rusia menjarah $ 5 Juta Kendaraan Pertanian dari Ukraina – Ternyata telah Dimatikan dari Jauh

May 2, 2022 by Eevee

Pasukan Rusia di kota Melitopol yang diduduki telah mencuri semua peralatan dari dealer peralatan pertanian – dan mengirimkannya ke Chechnya, menurut seorang pengusaha Ukraina di daerah tersebut. Tetapi setelah perjalanan lebih dari 700 mil, para pencuri tidak dapat menggunakan peralatan apa pun – karena telah dikunci dari jarak jauh.

Selama beberapa minggu terakhir ada semakin banyak laporan tentang pasukan Rusia yang mencuri peralatan pertanian, biji-bijian dan bahkan bahan bangunan – di luar penjarahan tempat tinggal yang meluas. Tetapi penghapusan peralatan pertanian yang berharga dari dealer John Deere di Melitopol berbicara tentang operasi yang semakin terorganisir, yang bahkan menggunakan transportasi militer Rusia sebagai bagian dari pencurian.

Kontak itu mengatakan prosesnya dimulai dengan penyitaan dua pemanen gabungan, traktor dan seeder. Selama beberapa minggu ke depan, segala sesuatu yang lain telah dihapus: di semua 27 buah mesin pertanian. Salah satu truk tempat tidur datar yang digunakan, dan tertangkap kamera, memiliki “Z” putih yang dilukis di atasnya dan tampaknya adalah truk militer.

Kecanggihan mesin, yang dilengkapi dengan GPS, berarti bahwa perjalanannya dapat dilacak. Itu terakhir dilacak ke desa Zakhan Yurt di Chechnya. Peralatan yang diangkut ke Chechnya, yang termasuk combine harvester – juga dapat dikontrol dari jarak jauh. “Ketika penjajah membawa pemanen yang dicuri ke Chechnya, mereka menyadari bahwa mereka bahkan tidak bisa menyalakannya, karena pemanen dikunci dari jarak jauh,” kata kontak itu.

Peralatan itu sekarang tampaknya mendekam di sebuah peternakan dekat Grozny. Tetapi kontak itu mengatakan bahwa “tampaknya para pembajak telah menemukan konsultan di Rusia yang mencoba untuk melewati perlindungan.”
“Bahkan jika mereka menjual pemanen untuk suku cadang, mereka akan mendapatkan uang,” kata kontak itu.

Sumber-sumber lain di wilayah Melitopol mengatakan pencurian oleh unit militer Rusia telah meluas ke biji-bijian yang disimpan di silo, di wilayah yang menghasilkan ratusan ribu ton tanaman per tahun.
Satu sumber mengatakan kepada CNN bahwa “penjajah menawarkan petani lokal untuk berbagi keuntungan mereka 50% hingga 50%.” Tetapi para petani yang mencoba bekerja di daerah-daerah yang diduduki oleh pasukan Rusia tidak dapat memindahkan produk mereka.
“Tidak ada satu lift pun yang berfungsi. Tidak ada port yang berfungsi. Anda tidak akan mengambil biji-bijian ini dari wilayah yang diduduki di mana saja.

Pekan lalu walikota Melitopol memposting video yang menunjukkan konvoi truk meninggalkan Melitopol yang diduga sarat dengan biji-bijian.
“Kami memiliki bukti yang jelas bahwa mereka menurunkan biji-bijian dari lift kota Melitopol. Mereka merampok lift bersama dengan pertanian swasta,” kata walikota kepada CNN.

Sumber: CNN

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Smart Device

Cookies Settings