Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Smart Device

Smart Device

Smart TV China tertangkap sedang mengintip pemiliknya

by

Ratusan juta konsumen China mendapatkan penemuan yang mengejutkan minggu lalu: TV mereka tahu lebih banyak tentang mereka daripada yang pernah mereka pikirkan, atau setujui.

Ternyata Gozen Data yang berbasis di Beijing, firma analisis kepemirsaan TV China terkemuka, telah mengumpulkan data pribadi secara real time menggunakan smart TV – tanpa persetujuan pengguna.

Praktik ini pertama kali terungkap ketika pengguna di V2EX, sebuah forum online untuk penggemar teknologi, melihat smart TV merek Skyworth mereka menjadi lambat dan menganalisis kode program back-end untuk mencari tahu alasannya. Apa yang mereka temukan adalah program yang memindai Wi-Fi pengguna setiap 10 menit dan mengunggah berbagai informasi ke situs web Gozen Data.

Ini tampaknya menjadi contoh masalah keamanan data profil tinggi pertama yang diungkapkan secara publik yang berpusat pada smart TV di China.

Masalahnya, hampir tidak ada penonton TV yang mengetahui tentang praktik tersebut. Terlepas dari jangkauannya, Gozen Data bukanlah nama yang dikenal luas di China. Setelah berita itu tersebar, Gozen menghapus nomor liputan dari situsnya.

Skyworth, perusahaan China yang memproduksi perangkat TV pintar tertentu yang diketahui mengunggah data pribadi, merilis pengumuman pada 27 April bahwa mereka telah menonaktifkan semua layanan Data Gozen.

Gozen Data merilis pernyataan yang meminta maaf dan berjanji untuk “meningkatkan kebijakan privasi pengguna kami dan memastikan kami mengumpulkan informasi dengan persetujuan pengguna dan dalam lingkup kepatuhan hukum”.

Selengkapnya: Protocol

Batasan yang Diusulkan Eropa pada AI Akan Memiliki Konsekuensi Global

by

UNI EROPA mengusulkan aturan yang akan membatasi atau melarang beberapa penggunaan kecerdasan buatan di dalam perbatasannya, termasuk oleh raksasa teknologi yang berbasis di AS dan China.

Aturan tersebut adalah upaya internasional paling signifikan untuk mengatur AI hingga saat ini, yang mencakup pengenalan wajah, mengemudi otonom, dan algoritme yang mendorong iklan online, perekrutan otomatis, dan penilaian kredit. Aturan yang diusulkan dapat membantu membentuk norma dan regulasi global seputar teknologi yang menjanjikan namun kontroversial.

“Ada pesan yang sangat penting secara global bahwa aplikasi AI tertentu tidak diizinkan dalam masyarakat yang didirikan di atas demokrasi, supremasi hukum, hak-hak fundamental,” kata Daniel Leufer, analis kebijakan Eropa dengan Access Now, sebuah organisasi nirlaba hak digital Eropa. Leufer mengatakan aturan yang diusulkan tidak jelas, tetapi mewakili langkah signifikan untuk memeriksa penggunaan teknologi yang berpotensi membahayakan.

Perdebatan tersebut kemungkinan akan diawasi dengan ketat di luar negeri. Aturan akan berlaku untuk perusahaan mana pun yang menjual produk atau layanan di UE.

Aturan UE yang diusulkan juga akan melarang “penilaian sosial berbasis AI untuk tujuan umum yang dilakukan oleh otoritas publik,” serta sistem AI yang menargetkan “kelompok rentan tertentu” dengan cara yang akan “secara material mengubah perilaku mereka” untuk menyebabkan “psikologis atau fisik. membahayakan.” Itu berpotensi membatasi penggunaan AI untuk penilaian kredit, perekrutan, atau beberapa bentuk iklan pengawasan, misalnya jika algoritme menempatkan iklan untuk situs taruhan di depan orang-orang yang kecanduan judi.

Avi Gesser, mitra di firma hukum AS Debevoise, yang menasihati firma teknologi AS, mengatakan aturan tersebut kemungkinan memiliki implikasi besar bagi bisnis AS karena peraturan UE sebelumnya seperti Peraturan Perlindungan Data Umum (GDPR) telah memengaruhi peraturan di tempat lain.

Gesser mengatakan perlu waktu bertahun-tahun agar peraturan tersebut menjadi undang-undang, tetapi pada akhirnya peraturan tersebut dapat memengaruhi semua jenis bisnis AS. “Semua iklan dirancang untuk memanipulasi perilaku,” catat Gesser. “Tantangannya adalah menentukan apa yang bisa diterima dan apa yang tidak.”

selengkapnya : www.wired.com

Kerentanan eksekusi kode jarak jauh di alat penggoreng pintar Cosori

by

Cisco Talos baru-baru ini menemukan dua kerentanan eksekusi kode di alat penggoreng pintar Cosori.

Cosori Smart Air Fryer adalah alat dapur berkemampuan WiFi yang memasak makanan dengan berbagai metode dan pengaturan. Pengguna juga dapat menggunakan fitur Wi-Fi perangkat untuk memulai dan berhenti memasak, mencari panduan resep, dan memantau status memasak.

2 kerentanan yang ditemukan adalah TALOS-2020-1216 (CVE-2020-28592) dan TALOS-2020-1217 (CVE-2020-28593), kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk memasukkan kode dari jarak jauh ke dalam perangkat.

Ini secara hipotetis memungkinkan attacker untuk mengubah suhu, waktu memasak dan pengaturan pada penggoreng udara, atau memulainya tanpa sepengetahuan pengguna. Attacker harus memiliki akses fisik ke alat penggorengan agar beberapa kerentanan ini dapat bekerja.

Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan paket yang dibuat khusus ke perangkat yang berisi objek JSON unik, yang memungkinkan mereka mengeksekusi arbitrary code.

Talos menguji dan mengonfirmasi bahwa Cosori Smart 5.8-Quart Air Fryer CS158-AF, versi 1.1.0 dapat dieksploitasi oleh kerentanan ini.

Selengkapnya: Cisco Talos

Peretas mengakses kamera pengintai di Tesla, Cloudflare, bank, dan lainnya

by

Peretas memperoleh akses ke kamera pengintai langsung yang dipasang di Tesla, Equinox, klinik perawatan kesehatan, penjara, dan bank, termasuk Bank Utah.

Selain gambar yang diambil dari kamera, peretas juga membagikan tangkapan layar dari kemampuan mereka untuk mendapatkan akses shell root ke sistem pengawasan yang digunakan oleh Cloudflare dan di Telsa HQ.

Menurut Tillie Kottmann, seorang reverse engineer untuk kelompok peretas, mereka memperoleh akses ke sistem pengawasan ini menggunakan akun super admin untuk Verkada, sebuah perusahaan pengawasan yang bekerja dengan semua organisasi ini.

Berbicara kepada BleepingComputer, Kottmann mengatakan mereka menemukan kredensial hardcode untuk akun super admin Verkada di infrastruktur DevOps yang terbuka.

Verkada membuat sistem keamanan perusahaan seperti otomatisasi dan kamera pengawas IoT. Perusahaan tersebut juga diketahui memberikan layanan kepada Tesla.

Setelah Bloomberg News, yang pertama kali melaporkan serangan ini, menghubungi Verkada, peretas kehilangan akses ke akun super admin yang diretas.

Hashtag #OperationPanopticon yang terkait dengan serangan siber ini mengacu pada Panopticon, sebuah konsep desain filosofis.

Panopticon mengacu pada desain bangunan di mana tawanan (misalnya, narapidana) tidak dapat membedakan apakah mereka sedang diawasi oleh petugas keamanan atau tidak pada saat tertentu.

Artinya, dalam sebuah gedung dengan jumlah narapidana yang banyak, kemungkinan tidak mungkin satu penjaga memantau semua narapidana pada saat yang sama, namun karena ideologi desain panoptikon, setiap narapidana mungkin takut diawasi karena mereka tidak memiliki cara untuk mengetahui apakah mereka sedang diawasi.

Sumber: Bleeping Computer

Peretas Melanggar Ribuan Kamera Keamanan, Mengekspos Tesla, Penjara, dan Rumah Sakit

by

Sekelompok peretas mengatakan mereka telah membobol data kamera keamanan yang dikumpulkan oleh perusahaan rintisan Silicon Valley, Verkada Inc., mendapatkan akses langsung ke 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.

Perusahaan yang rekamannya terungkap termasuk pembuat mobil Tesla Inc. dan penyedia perangkat lunak Cloudflare Inc. Selain itu, peretas dapat melihat video dari dalam klinik kesehatan wanita, rumah sakit jiwa, dan kantor Verkada itu sendiri. Beberapa kamera, termasuk di rumah sakit, menggunakan teknologi pengenalan wajah untuk mengidentifikasi dan mengkategorikan orang yang terekam dalam rekaman. Para peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada.

Video lain, diambil di dalam gudang Tesla di Shanghai, menunjukkan para pekerja di jalur perakitan. Para peretas mengatakan mereka memperoleh akses ke 222 kamera di pabrik dan gudang Tesla.

Metode peretas tidaklah canggih: mereka memperoleh akses ke Verkada melalui akun “Admin Super”, memungkinkan mereka untuk mengintip ke kamera semua pelanggannya. Kottmann mengatakan mereka menemukan nama pengguna dan kata sandi untuk akun administrator yang terbuka secara publik di internet. Setelah Bloomberg menghubungi Verkada, para peretas kehilangan ke kamera video, kata Kottmann.

Kami telah menonaktifkan semua akun administrator internal untuk mencegah akses tidak sah, ”kata juru bicara Verkada dalam sebuah pernyataan. “Tim keamanan internal dan firma keamanan eksternal kami sedang menyelidiki skala dan cakupan masalah ini, dan kami telah memberi tahu penegak hukum.”

Source : Bloomberg

Samsung memperpanjang pembaruan keamanan untuk ponsel Galaxy hingga 4 tahun

by

Samsung pada hari Senin mengumumkan bahwa mereka akan memperpanjang jumlah waktu untuk menyediakan pembaruan keamanan untuk ponsel Galaxy-nya dari tiga tahun menjadi “minimal empat tahun.”

Pengumuman ini tidak berlaku untuk perangkat yang dibuat empat tahun lalu. Ini adalah untuk ponsel dan tablet yang dibuat pada tahun 2019, dan, tentu saja, semua yang baru di masa depan. Berikut daftar perangkat yang diterbitkan Samsung yang dicakup oleh kebijakan baru:

  • Galaxy Foldable devices: Fold, Z Fold2 5G, Z Flip, Z Flip 5G
  • Galaxy S series: S10, S10+, S10e, S10 5G, S10 Lite, S20 5G, S20+ 5G, S20 Ultra 5G, S20 FE 5G, S21 5G, S21+ 5G, S21 Ultra 5G
  • Galaxy Note series: Note10, Note10+, Note10+ 5G, Note20 5G, Note20 Ultra 5G
  • Galaxy A series: A10e, A20, A50, A11, A21, A51, A51 5G, A71 5G
  • Galaxy XCover series: XCover FieldPro, XCover Pro
  • Galaxy Tab series: Tab Active Pro, Tab Active3, Tab A 8 (2019), Tab A with S Pen, Tab A 8.4 (2020), Tab A7, Tab S5e, Tab S6, Tab S6 5G, Tab S6 Lite, Tab S7, Tab S7+

Agar jelas, pembaruan yang dibicarakan Samsung di sini tidak akan menambah fitur baru atau menjaga sistem operasi tetap mutakhir dengan versi terbaru Android. Paket pembaruan jangka panjang hanya untuk perbaikan keamanan.

Sumber: ZDNet

Alat penyadap seharga $40 ditanam pada iPhone aktivis Rusia

by Leave a Comment

Sebuah perangkat kecil yang menarik ditemukan ditanam di iPhone manajer kampanye aktivis anti-korupsi Rusia Lyubov Sobol selama tahun baru. Pada 21 Desember 2020, manajer kampanye Sobol Olga Klyuchnikova ditahan oleh FSB Rusia. Dia menghabiskan seminggu di penjara atas “biaya administrasi” dan dibebaskan – tetapi ada sesuatu yang salah.

Dalam sebuah video yang dirilis minggu ini, Sobol dan rekannya menunjukkan komponen internal dari smartphone-nya, termasuk apa yang tampak seperti alat pelacak yang ditanam. Dia rupanya memperhatikan ada sesuatu yang aneh ketika iPhone-nya diberikan kepadanya setelah ditahan. Diijinkan untuk menggunakan ponsel cerdasnya sendiri selama dalam tahanan cukup aneh – tetapi perangkat mulai “terasa tidak berfungsi” hingga dia menjadi curiga.

Ini sangat mirip dengan perangkat dengan nama “TOPIN Kecil ZX620 PCB Wifi LBS GSM Tracker Positioning kartu TF”. Anda akan menemukan perangkat ini tersedia untuk dijual di tempat-tempat seperti AliExpress dengan harga sekitar $ 40 USD.

Yang menarik dari perangkat kecil ini adalah kemampuannya yang belum sempurna. Anda perlu menempatkan kartu SIM Anda sendiri di perangkat untuk mengakses internet – tetapi di luar itu, yang dibutuhkan hanyalah daya.

Di dalam smartphone, pengguna hanya perlu menghubungkan beberapa kabel dari baterai perangkat untuk menjaga perangkat tetap aktif, lalu membiarkannya bekerja. Sederhana seperti itu.

Mereka mencopot perangkat keras kartu SIM asli perangkat dan langsung menyolder kartu SIM, memberi mereka sedikit ruang ekstra.Mereka kemudian mengganti baterai tersebut dengan yang lebih kecil. Ini memberi ruang yang lebih dari cukup untuk memberi jalan bagi pelacak.

Setelah pelacak ditanam, mereka akan memiliki akses ke informasi pelacakan GPS dan kemampuan merekam suara melalui telepon. Dan tentu saja ada cara yang jauh lebih mudah untuk melakukan semua bisnis ini, jika mereka lebih paham dengan perangkat lunak. Namun bukan itu masalahnya – intinya adalah, perangkat kecil ini ada, dan mereka ada di luar sana di alam liar, untuk diakses siapa saja dengan relatif mudah.

Source : slashgear

Departemen Keamanan Dalam Negeri US : China menggunakan TV TCL untuk memata-matai orang Amerika

by

Penjabat Sekretaris Departemen Keamanan Dalam Negeri Chad Wolf mengatakan agen federal sedang mencari tahu apakah pembuat televisi China TCL telah membangun “backdoors” keamanan-bypass ke dalam perangkat TV yang diberdayakan Android, seperti yang dilaporkan dalam Panduan Tom bulan lalu.

“DHS sedang meninjau entitas seperti pabrikan China TCL,” kata Wolf pada Senin (21 Desember) dalam pidatonya.

“Tahun ini ditemukan bahwa TCL memasukkan pintu belakang ke dalam semua perangkat TVnya yang mengekspos pengguna ke pelanggaran dunia maya dan eksfiltrasi data,” tambah Wolf.

“TCL juga menerima dukungan negara PKC [Partai Komunis China] untuk bersaing di pasar elektronik global, yang telah mendorongnya menjadi produsen televisi terbesar ketiga di dunia.”

Kami tidak yakin berapa banyak bantuan pemerintah yang sebenarnya didapat TCL dari pemerintah China, dan peringkat pasarnya bergantung pada statistik siapa yang Anda gunakan. Tapi kami tahu bahwa kekurangan yang kami tulis bulan lalu tidak memengaruhi set TCL yang menjalankan sistem operasi Roku, yang merupakan sebagian besar set TCL yang dijual di Amerika Utara.

TCL mengatakan kepada Tom’s Guide bulan lalu bahwa itu memperbaiki dua masalah dalam set TCL yang menjalankan Android yang telah ditemukan oleh dua peretas, John Jackson dan Sick Codes.

*Perhatikan bahwa tidak ada bukti yang diberikan untuk membuktikan informasi ini dan harus diambil dengan sedikit perhatian sebelum sepenuhnya mempercayai data ini.

sumber : Tomsguide