Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application

Software / Application

Mengapa Pesan Teks SMS Tidak Pribadi atau Aman

by

Dengan SMS, pesan yang Anda kirim tidak dienkripsi secara end-to-end. Operator selular Anda dapat melihat konten pesan yang Anda kirim dan terima. Pesan tersebut disimpan di sistem penyedia seluler Anda — jadi, alih-alih perusahaan teknologi seperti Facebook yang melihat pesan Anda, penyedia seluler dapat melihat pesan Anda.

Operator seluler menyimpan konten pesan tersebut untuk berbagai waktu. Pesan sering kali hanya disimpan selama beberapa hari, tetapi menyimpan metadata (nomor mana yang mengirim pesan ke nomor mana, dan jam berapa) bahkan lebih lama. Catatan ini dapat dikenakan panggilan pengadilan dalam proses hukum — misalnya, catatan pesan teks adalah bentuk bukti yang umum dalam kasus perceraian.

Mari kita cepat meringkas masalah terkait SMS, dan membandingkannya dengan aplikasi obrolan terenkripsi ujung ke ujung yang aman seperti Signal.

Dengan SMS:

  • Operator seluler Anda dapat melihat konten pesan yang Anda kirim dan terima. Semua catatan yang dikumpulkan dapat dipanggil dalam proses hukum.
  • Pesan SMS dapat dicegat oleh peretas karena kelemahan dalam protokol lama yang memberdayakan mereka. Hal ini membahayakan akun keuangan dan akun lainnya.
  • Pihak berwenang dapat menyebarkan ikan pari untuk mengintip isi pesan teks di suatu area.
  • Penipu dapat mencoba mencuri nomor ponsel Anda dengan menipu staf layanan pelanggan penyedia seluler Anda.

Dengan Signal, misalnya:

  • Operator seluler Anda tidak dapat melihat konten pesan Anda. Bahkan Signal tidak dapat melihat konten pesan Anda atau siapa yang Anda hubungi — itu tetap rahasia. Signal tidak mengumpulkan data ini. Jika dipaksa oleh panggilan pengadilan, Signal hampir tidak dapat mengungkapkan apa pun tentang penggunaan layanan Anda.
  • Pesan Signal tidak dapat secara realistis dibajak oleh peretas. Mereka harus membahayakan protokol enkripsi Signal, yang oleh para ahli keamanan dianggap sangat baik. (Sebaliknya, SS7 telah berulang kali dikompromikan.)
  • Ikan pari tidak dapat melihat percakapan Anda. Pihak berwenang tidak dapat mengintip konten pesan Signal — tidak tanpa mendapatkan ponsel yang berisi pesan tersebut. Yang dapat mereka lihat hanyalah lalu lintas terenkripsi yang dikirim bolak-balik ke server Signal.
  • Scam port-out yang menangkap nomor telepon Anda tidak akan memberikan akses ke akun Signal Anda. Anda dapat melindungi akun Signal Anda dengan PIN, jadi penipu tidak bisa begitu saja mengakses akun Signal Anda. Meskipun penipu entah bagaimana dapat menebak PIN Anda dan mengakses akun Signal Anda, pesan Signal Anda disimpan di ponsel Anda dan tidak akan disinkronkan ke perangkat baru mana pun yang mendapatkan akses ke akun Anda.

selengkapnya : HowToGeek

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Beralih ke Signal? Aktifkan setelan ini sekarang untuk privasi dan keamanan yang lebih baik

by

Tahukah Anda bahwa Anda dapat membuat Signal lebih aman? Ada beberapa perbedaan tampilan antara Signal versi iOS dan Android, tetapi tip ini berlaku untuk kedua platform.

Tempat pertama yang harus Anda tuju adalah layar Pengaturan. Untuk membukanya, ketuk inisial Anda di pojok kiri atas layar (di Android Anda juga dapat mengetuk tiga titik di kiri atas lalu Pengaturan).

Ada tiga pengaturan di iOS dan empat di Android yang saya sarankan untuk dinyalakan, dan beberapa lainnya layak untuk dilihat.

  • Kunci Layar (iOS dan Android): Berarti Anda harus memasukkan biometrik Anda (ID Wajah, ID Sentuh, sidik jari atau kode sandi) untuk mengakses aplikasi
  • Aktifkan Keamanan Layar (iOS) atau Keamanan Layar (Android): Di iPhone, ini mencegah pratinjau data ditampilkan di pengalih aplikasi, sedangkan di Android mencegah pengambilan tangkapan layar
  • Kunci Pendaftaran (iOS dan Android): Memerlukan PIN Anda saat mendaftar dengan Signal (cara praktis untuk mencegah perangkat kedua ditambahkan)
  • Incognito Keyboard (hanya Android): Mencegah keyboard mengirimkan apa yang Anda ketikkan ke pihak ketiga, yang dapat memungkinkan kebocoran data sensitif

sumber : ZDNET

Aplikasi pelacak kesuburan, Flo Health, menyelesaikan tuduhan FTC mengenai data yang tidak seharusnya dibagikan

by

Aplikasi pelacak kesuburan, Flo Health, telah menyelesaikan tuduhan Komisi Perdagangan Federal (FTC) bahwa mereka membagikan data pengguna dengan pihak ketiga, meskipun mereka berjanji sebaliknya.

Sebagai bagian dari penyelesaian yang diusulkan, pengembang aplikasi pelacakan period dan kesuburan, yang menurut FTC digunakan oleh lebih dari 100 juta konsumen, diwajibkan untuk mendapatkan tinjauan independen atas praktik privasinya dan mendapatkan persetujuan pengguna aplikasi sebelum membagikan informasi kesehatan mereka.

Dalam keluhannya, FTC menuduh bahwa Flo berjanji untuk merahasiakan data kesehatan pengguna dan hanya menggunakannya untuk menyediakan layanan aplikasi kepada pengguna.

Menurut keluhan tersebut, Flo mengungkapkan data kesehatan dari jutaan pengguna aplikasi Flo Period & Ovulation Tracker-nya kepada pihak ketiga yang menyediakan layanan pemasaran dan analitik untuk aplikasi, termasuk divisi analitik Facebook, divisi analitik Google, layanan Fabric Google, AppsFlyer, dan Flurry.

Keluhan tersebut menuduh Flo tidak membatasi bagaimana pihak ketiga dapat menggunakan data kesehatan ini.

Flo tidak berhenti mengungkapkan data sensitif ini sampai praktiknya terungkap dalam artikel berita pada Februari 2019, yang memicu ratusan keluhan dari pengguna aplikasi, kata FTC.

Seorang Juru Bicara Flo memberi tahu ZDNet bahwa prioritas tertinggi perusahaan adalah melindungi data penggunanya.

“Itulah sebabnya kami telah bekerja sama sepenuhnya selama tinjauan FTC terhadap kebijakan dan prosedur privasi kami,” kata mereka.

Sumber: ZDNet

Brian Acton dari Signal berbicara tentang ledakan pertumbuhan, monetisasi, dan penyebaran data WhatsApp

by

Brian Acton “bertemu kembali” dengan Facebook. Selama lebih dari satu dekade membangun dan mengoperasikan WhatsApp, pendiri perusahaan pertama-tama bersaing dan kemudian menjual aplikasi perpesanan instannya ke raksasa sosial. Hanya beberapa tahun yang lalu dia berpisah dengan perusahaan yang membuatnya menjadi miliarder dalam perpecahan pahit karena perpesanan dan privasi.

Sekarang Acton mengatakan kemarahan yang sedang berlangsung atas apa yang telah dilakukan Facebook pada layanan perpesanan yang dia bantu bangun mendorong orang-orang ke proyek terbarunya – Signal. Acton, yang menjabat sebagai ketua eksekutif perusahaan induk aplikasi perpesanan yang sadar privasi, mengatakan kepada TechCrunch dalam sebuah wawancara bahwa basis pengguna Signal telah “meledak” dalam beberapa pekan terakhir.

Melalui peringatan dalam aplikasi, WhatsApp telah meminta pengguna dalam beberapa hari terakhir untuk menyetujui persyaratan ketentuan baru yang memberikan aplikasi izin untuk membagikan data pribadi mereka dengan Facebook. Pengguna harus menyetujui persyaratan ini sebelum 8 Februari jika mereka ingin terus menggunakan aplikasi, kata peringatan itu.

Acton mengatakan WhatsApp bergulat dengan menggabungkan fitur-fitur monetisasi sambil tetap melindungi privasi orang. Dan “kebijakan rumit” barunya telah memaksa WhatsApp dan media untuk mencari penjelasan dan “semua orang bingung”.

sumber : Techcrunch

Telegram mempublikasikan lokasi pengguna secara online

by

Beberapa tahun yang lalu, saat menggunakan aplikasi Line, saya melihat fitur yang disebut “Orang di sekitar”. Fitur ini memungkinkan Anda terhubung dengan pengguna Line lainnya di area yang sama. Fitur ini akan memberi Anda jarak yang tepat dari Anda ke pengguna lain. Jika seseorang memalsukan garis lintang, bujurnya, mereka dapat melakukan pelacakan pengguna dan menemukan lokasinya. Saya melaporkan masalah di aplikasi Line, dan Mereka membayar saya $ 1000 untuk itu. Mereka memperbaikinya dengan menambahkan nomor acak ke tujuan pengguna. Anda dapat menemukan nama saya di sini.

Beberapa hari yang lalu, saya menginstal Telegram, dan saya perhatikan bahwa mereka memiliki fitur yang sama. Saya mencoba untuk melihat apakah saya dapat membuka kedok lokasi pengguna lain, dan saya menemukan mereka memiliki masalah yang sama dengan yang saya temukan di aplikasi Line beberapa tahun yang lalu. Saya melaporkan masalah tersebut ke keamanan Telegram, dan mereka mengatakan itu bukan masalah. Jika Anda mengaktifkan fitur untuk membuat diri Anda terlihat di peta, Anda menerbitkan alamat rumah Anda secara online.

Saya bisa mendapatkan alamat rumah persis pengguna itu.

Telegram memberi tahu saya bahwa itu bukan masalah. Jika Anda menggunakan fitur ini, pastikan untuk menonaktifkannya. Kecuali jika Anda ingin lokasi Anda dapat diakses oleh semua orang.

Sayangnya, keamanan aplikasi Telegram yang buruk dapat tercermin dengan jumlah scammer yang mereka miliki dalam fitur itu. Telegram memungkinkan pengguna membuat grup lokal dalam suatu wilayah geografis. Banyak scammer memalsukan lokasi mereka dan mencoba menjual investasi bitcoin palsu, alat peretasan, SSN yang digunakan untuk penipuan pengangguran, dan sebagainya.

oleh Ahmed’s Notes

Adobe Flash sudah EOL (End-Of-Life) : Inilah Artinya

by

Dukungan untuk Adobe Flash secara resmi berakhir pada 31 Desember 2020 (End-Of-Life).

Flash tidak lagi tersedia untuk diunduh sejak 31 Desember 2020, dan Adobe mulai memblokir konten Flash agar tidak berjalan sama sekali pada 12 Januari 2021. Perusahaan menyarankan pengguna untuk mencopot pemasangan / meng-uninstall Flash sepenuhnya demi keamanan. Tidak akan ada lagi pembaruan untuk Flash, Anda juga tidak akan dapat mengunduh versi lama langsung dari Adobe.

Ini juga berarti bahwa versi Flash yang dipaketkan dengan peramban seperti Google Chrome akan dihentikan. Perubahan tersebut kemungkinan tidak akan memengaruhi kebiasaan penjelajahan harian Anda karena sebagian besar situs web telah berhenti menggunakan Flash karena mendukung teknologi peramban modern.

Anda harus menghindari menginstal Flash Player versi lama dengan alasan keamanan. Jika Anda masih ingin mengakses konten Flash, ada opsi, tetapi tidak satupun yang secara resmi didukung oleh Adobe.

sumber : HowToGeek

CISA Releases Free Detection Tool for Azure/M365 Environment

by

CISA telah membuat alat gratis untuk mendeteksi aktivitas tidak biasa dan berpotensi berbahaya yang mengancam pengguna dan aplikasi di lingkungan Azure / Microsoft O365. Alat ini dimaksudkan untuk digunakan oleh penanggap insiden dan secara sempit difokuskan pada aktivitas yang endemik pada serangan berbasis identitas dan otentikasi baru-baru ini yang terlihat di berbagai sektor.

CISA sangat mendorong pengguna dan administrator untuk mengunjungi halaman GitHub berikut untuk informasi tambahan dan tindakan pencegahan deteksi.

sumber : US-CERT