Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application

Software / Application

Google Play Store sekarang memaksa aplikasi untuk mengungkapkan data apa yang dikumpulkan

by

Google meluncurkan bagian Keamanan Data baru di Play Store, repositori aplikasi resmi Android, di mana pengembang harus menyatakan data apa yang dikumpulkan perangkat lunak mereka dari pengguna aplikasi mereka.

Ini dapat membantu pengguna memutuskan apakah mereka ingin melanjutkan penginstalan.

Aplikasi yang mendeklarasikan data apa yang dikumpulkannya
(Google)

Pengembang tidak hanya akan menyatakan data apa yang mereka kumpulkan, tetapi juga data apa yang mereka bagikan dengan pihak ketiga.

Jika pengguna ingin mempelajari lebih lanjut tentang entri tertentu, mengetuk item yang sesuai akan menciutkan menu untuk mengungkapkan lebih banyak informasi tentang apa yang dikumpulkan atau dibagikan.

Melihat detail di bagian data bersama
(Google)

Pilar ketiga dari bagian Keamanan Data adalah praktik keamanan aplikasi, yang menjelaskan mekanisme keamanan yang digunakan untuk melindungi data yang dikumpulkan, seperti standar MASVS.

Bagian ketiga ini juga menjelaskan apakah pengguna diberikan opsi untuk meminta penghapusan data mereka kapan saja.

Terakhir, Keamanan Data akan menentukan apakah aplikasi mengikuti Kebijakan Keluarga Google Play, yang ditujukan untuk perlindungan anak-anak.

Google meluncurkan bagian Keamanan Data baru secara bertahap sehingga pengguna Android tidak akan segera melihat bagian baru ini tetapi selama beberapa minggu ke depan.

Google mengatakan bahwa pengembang akan memberikan informasi ini sendiri, yang tidak akan dikonfirmasi oleh Google. Namun, jika ditemukan bahwa pengembang telah salah mengartikan pengungkapan penggunaan data mereka, mereka akan diminta untuk memperbaiki informasi yang diberikan.

Kegagalan untuk melakukannya akan menyebabkan pelanggaran kebijakan, yang menyebabkan penangguhan aplikasi di Google Play Store.

Hingga saat ini, aplikasi Android di Play Store harus mencantumkan tautan ke Kebijakan Privasi mereka di bawah bagian “Informasi Tambahan” dan memberikan email kontak.

Karena kebijakan privasi ini dihosting di lokasi eksternal, kebijakan tersebut dapat dimodifikasi, mungkin tidak jelas, mungkin tidak mengungkapkan semua detail penting tentang pengumpulan dan perlindungan data, dan bahkan dapat menyebabkan tautan yang rusak.

Cara saat ini untuk mengakses info pengumpulan data (Play Store)

Selain itu, karena membaca teks besar jargon hukum bukanlah hal yang diharapkan pengguna saat menjelajahi Google Play Store untuk aplikasi baru, hampir tidak ada yang memeriksanya.

Akhirnya, karena kesulitan praktis yang timbul dari hal di atas, Google tidak mungkin memvalidasi bahwa aplikasi menghormati persyaratan yang disajikan dalam kebijakan privasi mereka.

Keamanan Data memberi pengguna pemahaman yang jelas tentang apa yang terjadi dengan data mereka tanpa mengharuskan mereka menghabiskan waktu untuk menggali ke dalam beberapa bagian, sementara itu juga memberdayakan Google dengan penegakan.

Sementara langkah Google bermanfaat bagi pengguna Android, fitur serupa yang disebut ‘Label Nutrisi Privasi’ sudah diperkenalkan oleh Apple pada tahun 2020.

Ringkasan pengumpulan data Apple TV (Apple)

Ini adalah kasus lain di mana persaingan di ruang OS seluler telah membawa perkembangan positif, memberi pengguna lebih banyak wawasan dan kontrol atas bagaimana data mereka ditangani oleh berbagai perangkat lunak yang berjalan di ponsel cerdas mereka.

Dengan banyaknya aplikasi penipuan, malware, dan aplikasi riba yang ditemukan di Google Play, bagian Keamanan Data baru ini tidak hanya akan berguna bagi pengguna Android, tetapi juga memungkinkan Google untuk menemukan pelanggar kebijakan dengan lebih cepat.

Sumber: Bleeping Computer

Atlassian Mengatasi Cacat Bypass Otentikasi Jira yang Kritis

by

Atlassian memperbaiki kelemahan kritis dalam perangkat lunak Jira, dilacak sebagai CVE-2022-0540, yang dapat dieksploitasi untuk melewati otentikasi.

Atlassian telah mengatasi kerentanan kritis dalam perangkat lunak Jira Seraph-nya, dilacak sebagai CVE-2022-0540 (skor CVSS 9,9), yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk melewati otentikasi. Aktor ancaman dapat memicu kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat lunak yang rentan.

Masalah ini memengaruhi Server Atlassian Jira dan versi Pusat Data sebelum 8.13.18 sampai versi lebih baru sebelum 8.22.0. Cacat ini juga berdampak pada Service Management Server Atlassian Jira dan versi Data Center sebelum 4.13.18sampai versi yang lebih baru sebelum 4.22.0.

Perusahaan juga memberikan mitigasi bagi pengguna yang tidak dapat menginstal versi tetap Jira atau Jira Service Management dan menggunakan aplikasi yang terpengaruh. Aplikasi merekomendasikan pengguna untuk memperbarui aplikasi yang terpengaruh ke versi yang tidak terpengaruh.

Pelanggan juga dapat mengurangi risiko keamanan dengan menonaktifkan aplikasi hingga mereka dapat menginstal versi tetap Jira atau Jira Service Management.

Sumber: Security Affairs

VPN populer memiliki risiko keamanan yang berbahaya

by

Sebuah laporan baru menunjukkan beberapa jaringan pribadi virtual (VPN) populer mungkin membuat pengguna terkena risiko keamanan yang signifikan.

VPN adalah opsi populer untuk bisnis dan konsumen, memberikan ukuran keamanan dan privasi saat menjelajahi web. Sayangnya, sebuah laporan baru oleh AppEsteem menemukan bahwa sejumlah opsi populer termasuk Surfshark, Turbo VPN, Atlas VPN, VyprVPN, VPN Proxy Master, dan Sumrando VPN menempatkan penggunanya pada risiko dengan praktik yang meragukan.

AppEsteem menemukan bahwa keenam VPN yang terdaftar memasang sertifikat root mereka sendiri. Sertifikat root adalah komponen penting dalam kriptografi dan enkripsi, yang pada dasarnya membuktikan validitas kunci enkripsi. Karena sertifikat root ditandatangani sendiri, yang paling tepercaya dikeluarkan oleh otoritas sertifikat (CA) yang mapan.

Daripada menggunakan sertifikat root dari CA tepercaya, masing-masing dari enam VPN menginstal sertifikat root yang ditandatangani sendiri. Meskipun ini mungkin tidak tampak seperti masalah, ini membuat pengguna VPN tersebut rentan terhadap serangan karena sertifikat root memberi penerbit kemampuan untuk menangkap hampir semua data yang dikirim dan diterima komputer. Risiko itulah mengapa sangat penting untuk memercayai CA secara implisit dan mencoba membatasi jumlah sertifikat root yang diinstal pada perangkat.

Selain implikasi privasi, sertifikat root yang ditandatangani sendiri juga mewakili titik kemungkinan serangan oleh aktor jahat, peretas, dan pemerintah jahat. Daripada menyerang CA profil tinggi, entitas yang bermusuhan hanya perlu berkompromi dengan penyedia VPN dan sertifikat yang ditandatangani sendiri untuk kemudian membahayakan perangkat apa pun dengan sertifikat yang diinstal. Akibatnya, merupakan praktik yang sangat dipertanyakan bagi penyedia VPN untuk menggunakan sertifikat mereka sendiri, bukan sertifikat dari CA tepercaya.

Sayangnya, setidaknya dalam kasus Surfshark, memasang Sertifikat Root Tepercaya bukanlah satu-satunya praktik yang dipertanyakan. Surfshark juga menginstal aplikasi Surfshark TAP Driver Windows, Avira, dan Open VPN, semuanya tanpa meminta izin.

Lebih buruk lagi, Surfshark melanjutkan penginstalan Sertifikat Root Tepercaya bahkan jika pengguna membatalkan proses penginstalan. Aplikasi ini juga menjalankan banyak proses di latar belakang dan gagal menghapus proses tersebut sepenuhnya saat dicopot pemasangannya.

Surfshark menghubungi TechRadar untuk memberi tahu mereka bahwa itu bekerja dengan AppEsteem untuk mengatasi masalah yang diangkat. Perusahaan mempertahankan penggunaan sertifikat root terlepas dari kenyataan bahwa penyedia tingkat atas tidak melakukan ini meskipun dikatakan sedang berupaya untuk menghentikan protokol IKEv2, yang “akan menghilangkan kebutuhan untuk menginstal sertifikat.”

Terlepas dari perubahan yang telah dilakukan Surfshark, pengguna sebaiknya menunggu konfirmasi pihak ketiga bahwa keenam penyedia ini telah membuat perubahan yang diperlukan agar sesuai dengan praktik terbaik industri. Konsumen yang tertarik dengan keamanan VPN terbaik sebaiknya melihat Mullvad atau NordVPN sebagai gantinya.

Sumber : Android Authority

Aplikasi Android dengan 45 juta pemasangan menggunakan SDK pengumpulan data

by

Analis malware seluler memperingatkan tentang serangkaian aplikasi yang tersedia di Google Play Store, yang mengumpulkan data sensitif pengguna dari lebih dari 45 juta pemasangan aplikasi.

Aplikasi mengumpulkan data ini melalui SDK pihak ketiga yang mencakup kemampuan untuk menangkap konten clipboard, data GPS, alamat email, nomor telepon, dan bahkan alamat MAC router modem pengguna dan SSID jaringan.

Data sensitif ini dapat menyebabkan risiko privasi yang signifikan bagi pengguna jika disalahgunakan atau bocor karena keamanan server/database yang buruk.

Selain itu, konten clipboard berpotensi mencakup informasi yang sangat sensitif, termasuk benih pemulihan dompet kripto, kata sandi, atau nomor kartu kredit, yang tidak boleh disimpan dalam database pihak ketiga.

Menurut AppCensus, yang menemukan penggunaan SDK ini, data yang dikumpulkan digabungkan dan dikirimkan oleh SDK ke domain “mobile.measurelib.com”, yang tampaknya dimiliki oleh perusahaan analitik yang berbasis di Panama bernama Sistem Pengukuran.

Cuplikan dari situs Sistem Pengukuran

Perusahaan mempromosikan SDK pengumpulan data bernama Coelib sebagai peluang monetisasi untuk aplikasi, mempromosikannya sebagai cara bebas iklan bagi penerbit untuk menghasilkan pendapatan.

Peneliti AppCensus mengatakan bahwa banyak string di perpustakaan SDK dikaburkan menggunakan enkripsi AES dan kemudian dikodekan base64.

Pseudocode dekripsi runtime konstan string SDK
(AppSensus)

Aplikasi paling populer dan diunduh yang ditemukan menggunakan SDK ini untuk mengirim data sensitif pengguna adalah sebagai berikut:

  • Speed ​​Camera Radar – 10 juta instalasi (nomor telepon, IMEI, SSID router, alamat MAC router)
  • Al-Moazin Lite – 10 juta instalasi (nomor telepon, IMEI, router SSID, alamat MAC router)
  • WiFi Mouse – 10 juta instalasi (alamat MAC router)
  • QR & Barcode Scanner – 5 juta pemasangan (nomor telepon, alamat email, IMEI, data GPS, SSID router, alamat MAC router)

Selengkapnya : Bleeping Computer

Penting untuk dicatat bahwa semua aplikasi ini dilaporkan ke Google pada 20 Oktober 2021, dan kemudian diselidiki dan dihapus dari Play Store.

Namun, penerbit mereka berhasil memperkenalkannya kembali di Play Store setelah menghapus SDK pengumpulan data dan mengirimkan versi baru yang diperbarui ke Google untuk ditinjau.

Namun, jika pengguna menginstal aplikasi pada tanggal sebelumnya, SDK akan tetap berjalan di ponsel cerdas mereka, jadi penghapusan dan penginstalan ulang akan disarankan dalam kasus ini.

Sayangnya, karena perpustakaan pengumpulan data berjalan diam-diam di latar belakang mengumpulkan data, sulit bagi pengguna untuk melindungi diri mereka sendiri darinya. Oleh karena itu, disarankan agar Anda hanya menginstal aplikasi dari pengembang tepercaya yang memiliki sejarah panjang aplikasi yang sangat ditinjau.

Praktik baik lainnya adalah menjaga jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin dan memastikan bahwa izin yang diminta tidak terlalu luas.

Segera setelah kami dapat mengonfirmasi bahwa SDK yang dimiliki oleh Measurementsys mengeksploitasi beberapa kerentanan Android, beroperasi dengan cara yang tidak jelas dan privasi dipertanyakan, kami segera menghapus SDK yang rusak, merilis pembaruan, dan mengakhiri hubungan kami dengan mitra ini.

Sumber : Bleeping Computer

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

by

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Ulasan pengguna di Play Store

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Detail aplikasi di Play Store

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

by

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

by

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium