Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

VPN untuk iOS Rusak dan Apple Mengetahuinya, Kata Peneliti Keamanan

by

VPN pihak ketiga yang dibuat untuk iPhone dan iPad secara rutin gagal merutekan semua lalu lintas jaringan melalui terowongan aman setelah diaktifkan, sesuatu yang telah diketahui Apple selama bertahun-tahun, klaim peneliti keamanan lama (melalui ArsTechnica).

Menulis di posting blog yang terus diperbarui, Michael Horowitz mengatakan bahwa setelah menguji beberapa jenis perangkat lunak jaringan pribadi virtual (VPN) pada perangkat iOS, sebagian besar tampaknya berfungsi dengan baik pada awalnya, mengeluarkan perangkat alamat IP publik baru dan server DNS baru, dan mengirim data ke server VPN. Namun, seiring waktu terowongan VPN membocorkan data.

Biasanya, ketika pengguna terhubung ke VPN, sistem operasi menutup semua koneksi internet yang ada dan kemudian membangunnya kembali melalui terowongan VPN. Bukan itu yang diamati Horowitz dalam logging router canggihnya. Sebagai gantinya, sesi dan koneksi yang dibuat sebelum VPN dihidupkan tidak dihentikan seperti yang diharapkan, dan masih dapat mengirim data di luar terowongan VPN saat sedang aktif, sehingga berpotensi tidak terenkripsi dan terpapar ke ISP dan pihak lain.
“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Horowitz mengklaim bahwa temuannya didukung oleh laporan serupa yang dikeluarkan pada Maret 2020 oleh perusahaan privasi Proton, yang mengatakan kerentanan bypass VPN iOS telah diidentifikasi di iOS 13.3.1 yang bertahan melalui tiga pembaruan berikutnya ke iOS 13.

Menurut Proton, Apple mengindikasikan akan menambahkan fungsionalitas Kill Switch ke pembaruan perangkat lunak di masa mendatang yang memungkinkan pengembang memblokir semua koneksi yang ada jika terowongan VPN hilang.

Namun, fungsionalitas tambahan tampaknya tidak memengaruhi hasil pengujian Horowitz, yang dilakukan pada Mei 2022 di iPadOS 15.4.1 menggunakan klien VPN Proton, dan peneliti mengatakan saran apa pun yang akan mencegah kebocoran data “tidak aktif. basis.”

Horowitz baru-baru ini melanjutkan pengujiannya dengan iOS 15.6 terinstal dan OpenVPN menjalankan protokol WireGuard, tetapi iPad-nya terus membuat permintaan di luar terowongan terenkripsi ke layanan Apple dan Amazon Web Services.

Seperti dicatat oleh ArsTechnica, Proton menyarankan solusi untuk masalah yang melibatkan pengaktifan VPN dan kemudian menghidupkan dan mematikan mode Pesawat untuk memaksa semua lalu lintas jaringan dibangun kembali melalui terowongan VPN.

Namun, Proton mengakui bahwa ini tidak dijamin berhasil, sementara Horowitz mengklaim mode Pesawat tidak dapat diandalkan, dan tidak boleh diandalkan sebagai solusi untuk masalah tersebut. Kami telah menghubungi Apple untuk mengomentari penelitian dan akan memperbarui posting ini jika kami mendengarnya kembali.

Sumber: MacRumors

Browser Dalam Aplikasi TikTok Termasuk Kode yang Dapat Memantau Keystroke Anda, Kata Peneliti

by

Ketika pengguna TikTok memasuki situs web melalui tautan di aplikasi, TikTok menyisipkan kode yang dapat memantau sebagian besar aktivitas mereka di situs web luar tersebut, termasuk penekanan tombol dan apa pun yang mereka ketuk di halaman, menurut penelitian baru yang dibagikan dengan Forbes. Pelacakan akan memungkinkan TikTok untuk menangkap informasi kartu kredit atau kata sandi pengguna.

TikTok memiliki kemampuan untuk memantau aktivitas itu karena modifikasi yang dibuatnya pada situs web menggunakan browser dalam aplikasi perusahaan, yang merupakan bagian dari aplikasi itu sendiri. Saat orang mengetuk iklan TikTok atau mengunjungi tautan di profil pembuat konten, aplikasi tidak membuka halaman dengan peramban biasa seperti Safari atau Chrome. Alih-alih, ini default ke browser dalam aplikasi buatan TikTok yang dapat menulis ulang bagian halaman web.

TikTok dapat melacak aktivitas ini dengan menyuntikkan baris bahasa pemrograman JavaScript ke situs web yang dikunjungi dalam aplikasi, membuat perintah baru yang mengingatkan TikTok tentang apa yang dilakukan orang di situs web tersebut.

“Ini adalah pilihan aktif yang dibuat perusahaan,” kata Felix Krause, seorang peneliti perangkat lunak yang berbasis di Wina, yang menerbitkan laporan tentang temuannya pada hari Kamis. “Ini adalah tugas rekayasa non-sepele. Ini tidak terjadi secara tidak sengaja atau acak.” Krause adalah pendiri Fastlane, layanan untuk menguji dan menerapkan aplikasi, yang diakuisisi Google lima tahun lalu.

Tiktok sangat menolak gagasan bahwa itu melacak pengguna di browser dalam aplikasinya. Perusahaan mengkonfirmasi fitur-fitur itu ada dalam kode, tetapi mengatakan TikTok tidak menggunakannya.

“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. ,” kata juru bicara Maureen Shanahan dalam sebuah pernyataan.

Perusahaan mengatakan kode JavaScript adalah bagian dari kit pengembangan perangkat lunak pihak ketiga, atau SDK, seperangkat alat yang digunakan untuk membangun atau memelihara aplikasi. SDK menyertakan fitur yang tidak digunakan aplikasi, kata perusahaan itu. TikTok tidak menjawab pertanyaan tentang SDK, atau pihak ketiga apa yang membuatnya.

Sementara penelitian Krause mengungkapkan perusahaan kode termasuk TikTok dan induk Facebook, Meta, menyuntikkan ke situs web dari browser dalam aplikasi mereka, penelitian tidak menunjukkan bahwa perusahaan-perusahaan ini benar-benar menggunakan kode itu untuk mengumpulkan data, mengirimkannya ke server mereka atau membagikannya dengan Pihak ketiga. Alat juga tidak mengungkapkan jika ada aktivitas yang terkait dengan identitas atau profil pengguna. Meskipun Krause dapat mengidentifikasi beberapa contoh spesifik tentang apa yang dapat dilacak oleh aplikasi (seperti kemampuan TikTok untuk memantau penekanan tombol), dia mengatakan daftarnya tidak lengkap dan perusahaan dapat memantau lebih banyak.

Penelitian baru ini mengikuti laporan minggu lalu oleh Krause tentang browser dalam aplikasi, yang berfokus secara khusus pada aplikasi milik Meta Facebook, Instagram dan Facebook Messenger. WhatsApp, yang juga dimiliki perusahaan, tampaknya jelas karena tidak menggunakan browser dalam aplikasi.

Krause pada hari Kamis juga merilis alat yang memungkinkan orang memeriksa apakah browser yang mereka gunakan menyuntikkan kode baru ke situs web, dan aktivitas apa yang mungkin dipantau perusahaan. Untuk menggunakan alat untuk memeriksa browser Instagram, misalnya, kirim tautan InAppBrowser.com ke teman dalam pesan langsung (atau minta teman DM tautannya). Jika Anda mengeklik tautan di DM, alat ini akan memberi Anda ikhtisar tentang apa yang berpotensi dilacak oleh aplikasi — meskipun alat tersebut menggunakan beberapa istilah pengembang dan mungkin sulit diuraikan untuk non-coder.

Untuk penelitian barunya, Krause menguji tujuh aplikasi iPhone yang menggunakan browser dalam aplikasi: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon, dan Robinhood. (Dia tidak menguji versi untuk Android, sistem operasi seluler Google.)

Dari tujuh aplikasi yang diuji Krause, TikTok adalah satu-satunya yang tampaknya memantau penekanan tombol, katanya, dan tampaknya memantau lebih banyak aktivitas daripada yang lain. Seperti TikTok, Instagram, dan Facebook, keduanya melacak setiap ketukan di situs web. Kedua aplikasi tersebut juga memantau saat orang menyorot teks di situs web.

Meta tidak menjawab pertanyaan spesifik terkait pelacakan, tetapi mengatakan browser dalam aplikasi “umum di seluruh industri.” Juru bicara Alisha Swinteck mengatakan browser perusahaan mengaktifkan fitur-fitur tertentu, seperti memungkinkan pengisian otomatis terisi dengan benar dan mencegah orang dialihkan ke situs jahat. (Namun, browser termasuk Safari dan Chrome juga memiliki fitur tersebut.)

“Menambahkan salah satu fitur semacam ini memerlukan kode tambahan,” kata Swinteck dalam sebuah pernyataan. “Kami telah merancang pengalaman ini dengan hati-hati untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan.”

Meta juga mengatakan bahwa nama skrip yang ditampilkan dalam alat dapat menyesatkan karena itu adalah istilah teknis Javascript yang mungkin disalahpahami orang. Misalnya, “pesan” dalam konteks ini mengacu pada komponen kode yang berkomunikasi satu sama lain, bukan pesan teks pribadi.

Snapchat tampaknya paling tidak haus data. Peramban dalam aplikasinya tampaknya tidak menyuntikkan kode baru apa pun ke halaman web. Namun, aplikasi memiliki kemampuan untuk menyembunyikan aktivitas JavaScript mereka dari situs web (seperti alat Krause) karena pembaruan sistem operasi yang dibuat Apple pada tahun 2020. Jadi mungkin saja beberapa aplikasi menjalankan perintah tanpa terdeteksi. Snapchat tidak menanggapi permintaan komentar tentang aktivitas apa, jika ada, yang dipantau di browser dalam aplikasinya.

Peramban dalam aplikasi hampir tidak lazim di TikTok seperti di Instagram. TikTok tidak mengizinkan pengguna untuk mengklik tautan di DM, jadi browser dalam aplikasi biasanya muncul ketika orang mengklik iklan atau tautan di profil pembuat atau merek.

Penelitian pelacakan browser ini dilakukan ketika TikTok, yang dimiliki oleh perusahaan induk China ByteDance, menghadapi pengawasan ketat atas batas-batas pengawasan potensialnya, dan pertanyaan tentang hubungannya dengan pemerintah China. Pada bulan Juni, BuzzFeed News melaporkan bahwa data pengguna AS telah berulang kali diakses dari China. Perusahaan juga telah bekerja untuk memindahkan beberapa informasi pengguna A.S. ke Amerika Serikat, untuk disimpan di pusat data yang dikelola oleh Oracle, dalam upaya yang secara internal dikenal sebagai Project Texas.

Tetapi pelacakan potensial juga dapat membahayakan privasi yang terkait dengan pemilihan. TikTok pada hari Rabu mengumumkan upayanya dalam integritas pemilihan, menjelang ujian tengah semester AS. Inisiatif ini mencakup Pusat Pemilihan baru, yang menghubungkan orang-orang dengan informasi otoritatif dari sumber terpercaya termasuk Asosiasi Nasional Sekretaris Negara dan Ballotpedia.

TikTok secara eksplisit menjanjikan privasi sebagai bagian dari inisiatif tersebut. “Untuk tindakan apa pun yang mengharuskan pengguna untuk berbagi informasi, seperti mendaftar untuk memilih, pengguna akan diarahkan dari TikTok ke situs web negara atau nirlaba terkait untuk melakukan proses itu,” kata perusahaan itu dalam sebuah pernyataan. posting blog “TikTok tidak akan memiliki akses ke data atau aktivitas di luar platform itu.”

TikTok kemungkinan akan menggunakan browser dalam aplikasinya untuk membuka situs web tersebut. Alat Krause menunjukkan TikTok dapat memiliki akses ke informasi itu, berpotensi membiarkan perusahaan melacak alamat, usia, dan partai politik seseorang. TikTok juga menentang skenario itu, sekali lagi menekankan bahwa sementara fitur pelacakan tersebut ada dalam kode, perusahaan tidak menggunakannya.

Dalam beberapa tahun terakhir, model bisnis di balik teknologi besar — ​​di mana perusahaan seperti Facebook dan Google mengumpulkan data pengguna untuk menopang mesin iklan yang ditargetkan — telah dikenal luas, sehingga beberapa orang mungkin tidak terkejut dengan pelacakan di browser dalam aplikasi. . Namun, baik Meta maupun TikTok tidak memiliki bagian khusus dalam kebijakan privasi mereka di browser dalam aplikasi yang mengungkapkan praktik pemantauan tersebut kepada pengguna.

Beberapa pakar privasi juga menolak jenis pemantauan keystroke yang tampaknya mampu dilakukan TikTok. “Ini sangat licik,” kata Jennifer King, rekan kebijakan privasi dan data di Stanford University Institute for Human-Centered Artificial Intelligence. “Asumsi bahwa data Anda sedang dibaca sebelumnya bahkan sebelum Anda mengirimkannya, saya pikir itu melewati batas.”

Krause mengatakan dia ingin melihat industri beralih dari browser dalam aplikasi, alih-alih menggunakan browser seperti Safari atau Chrome, yang biasanya telah ditetapkan orang sebagai browser default di ponsel mereka. Apple tidak menanggapi permintaan komentar yang menanyakan apakah perusahaan akan menindak browser dalam aplikasi, mengharuskan aplikasi untuk menggunakan browser default perangkat.

Baik TikTok dan Meta menawarkan opsi bagi Anda untuk membuka tautan di Safari atau browser default ponsel Anda, tetapi hanya setelah aplikasi membawa Anda ke browser dalam aplikasi masing-masing terlebih dahulu. Opsi default juga ada di belakang layar menu di TikTok dan Instagram — sudah terlalu jauh bagi banyak pengguna yang bahkan tidak tahu opsi itu ada.

Sumber: Forbes

Peretas APT41 yang Didukung China Menargetkan 13 Organisasi di Seluruh Dunia Tahun Lalu

by

Aktor ancaman persisten lanjutan (APT) China yang dilacak sebagai Winnti telah menargetkan setidaknya 13 organisasi yang secara geografis tersebar di AS, Taiwan, India, Vietnam, dan China dengan latar belakang empat kampanye berbeda pada tahun 2021.

“Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan,” kata perusahaan keamanan siber Group-IB dalam sebuah laporan yang dibagikan kepada The Hacker News.

Ini juga termasuk serangan terhadap Air India yang terungkap pada Juni 2021 sebagai bagian dari kampanye dengan nama kode ColunmTK. Tiga kampanye lainnya telah diberi moniker DelayLinkTK, Mute-Pond, dan Gentle-Voice berdasarkan nama domain yang digunakan dalam serangan.

APT41, juga dikenal sebagai Barium, Bronze Atlas, Double Dragon, Wicked Panda, atau Winnti, adalah kelompok ancaman dunia maya Tiongkok yang dikenal melakukan aktivitas spionase yang disponsori negara secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2007.

Menggambarkan tahun 2021 sebagai “tahun yang intens untuk APT41,” serangan yang dilakukan oleh musuh terutama melibatkan penggunaan injeksi SQL pada domain yang ditargetkan sebagai vektor akses awal untuk menyusup ke jaringan korban, diikuti dengan mengirimkan suar Cobalt Strike kustom ke titik akhir.

Namun dalam pendekatan yang agak tidak biasa, Cobalt Strike Beacon diunggah dalam potongan yang lebih kecil dari string yang dikodekan Base64 sebagai taktik kebingungan untuk terbang di bawah radar, sebelum menuliskan seluruh muatan ke file di host yang terinfeksi.

“Anggota APT41 biasanya menggunakan phishing, mengeksploitasi berbagai kerentanan (termasuk Proxylogon), dan melakukan serangan lubang air atau rantai pasokan untuk awalnya membahayakan korban mereka,” kata para peneliti.

Tindakan lain yang dilakukan pasca-eksploitasi berkisar dari membangun kegigihan hingga pencurian kredensial dan melakukan pengintaian melalui teknik living-off-the-land (LotL) untuk mengumpulkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.

Perusahaan yang bermarkas di Singapura itu mengatakan telah mengidentifikasi 106 server Cobalt Strike unik yang secara eksklusif digunakan oleh APT41 antara awal 2020 dan akhir 2021 untuk perintah-dan-kontrol. Sebagian besar server tidak lagi aktif.

Temuan ini menandai penyalahgunaan berkelanjutan dari kerangka simulasi musuh yang sah oleh aktor ancaman yang berbeda untuk aktivitas berbahaya pasca-intrusi.

“Di masa lalu, alat ini dihargai oleh geng penjahat dunia maya yang menargetkan bank, sementara hari ini populer di antara berbagai pelaku ancaman terlepas dari motivasi mereka, termasuk operator ransomware yang terkenal,” Analis Ancaman Grup-IB, Nikita Rostovtsev, mengatakan.

Sumber: The Hacker News

Peretas Korea Utara Menggunakan Malware macOS yang Ditandatangani untuk Menargetkan Pencari Kerja TI

by

Peretas Korea Utara dari grup Lazarus telah menggunakan executable berbahaya yang ditandatangani untuk macOS untuk meniru Coinbase dan memikat karyawan di sektor teknologi keuangan.

Meskipun tidak mengherankan bahwa mereka menargetkan pekerja di perusahaan Web3, detail tentang kampanye rekayasa sosial khusus ini sejauh ini terbatas pada malware untuk platform Windows.

Peretas Lazarus telah menggunakan tawaran pekerjaan palsu di masa lalu dan dalam operasi baru-baru ini mereka menggunakan malware yang disamarkan sebagai file PDF dengan detail tentang posisi di Coinbase.

Nama dokumen palsu itu adalah “Coinbase_online_careers_2022_07.” Saat diluncurkan, ini menampilkan PDF umpan di atas dan memuat DLL berbahaya yang pada akhirnya memungkinkan pelaku ancaman untuk mengirim perintah ke perangkat yang terinfeksi.

Peneliti keamanan di perusahaan keamanan siber ESET menemukan bahwa para peretas juga memiliki malware yang siap untuk sistem macOS. Mereka mengatakan bahwa file berbahaya dikompilasi untuk Mac dengan silikon Intel dan Apple, yang berarti bahwa pengguna model lama dan baru menjadi sasaran.

Di utas di Twitter, mereka mencatat bahwa malware menjatuhkan tiga file:
bundel FinderFontsUpdater.app
pengunduh safarifontagen
PDF umpan yang disebut PDF “Coinbase_online_careers_2022_07” (sama seperti malware Windows)
Kampanye serupa yang menargetkan pengguna macOS dan dikaitkan dengan Lazarus telah diidentifikasi tahun lalu. Pelaku ancaman mengandalkan taktik rekayasa sosial tawaran pekerjaan palsu yang sama tetapi menggunakan PDF yang berbeda.

ESET menautkan malware macOS baru-baru ini ke Operation In(ter)ception, kampanye Lazarus yang menargetkan organisasi kedirgantaraan dan militer profil tinggi dengan cara yang sama.

Melihat malware macOS, para peneliti memperhatikan bahwa itu ditandatangani pada 21 Juli (sesuai dengan nilai stempel waktu) dengan sertifikat yang dikeluarkan pada bulan Februari untuk pengembang menggunakan nama Shankey Nohria dan pengenal tim 264HFWQH63.

Pada 12 Agustus, sertifikat itu belum dicabut oleh Apple. Namun, aplikasi berbahaya tidak disahkan – proses otomatis yang digunakan Apple untuk memeriksa perangkat lunak untuk komponen berbahaya.

Dibandingkan dengan malware macOS sebelumnya yang dikaitkan dengan kelompok peretas Lazarus, peneliti ESET mengamati bahwa komponen pengunduh terhubung ke server perintah dan kontrol (C2) yang berbeda, yang tidak lagi merespons pada saat analisis.

Kelompok peretas Korea Utara telah lama dikaitkan dengan peretasan cryptocurrency serta menggunakan tawaran pekerjaan palsu dalam kampanye phishing yang bertujuan untuk menginfeksi target yang diminati.

VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

by

(Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

Sumber: Ars Technica

Serangan Penyelundupan Permintaan HTTP Kelas Baru Dipamerkan di Black Hat USA

by

Berbicara di Black Hat USA kemarin (10 Agustus), James Kettle meluncurkan penelitian yang membuka batas baru dalam penyelundupan permintaan HTTP – serangan desinkronisasi yang didukung browser.

Pengarahan dan buku-putihnya, berjudul ‘Serangan Desinkronisasi Bertenaga Browser: Perbatasan Baru dalam Penyelundupan Permintaan HTTP’, didasarkan pada penelitian Kettle sebelumnya tentang serangan desinkronisasi.

Serangan desync tradisional meracuni koneksi antara server front-end dan back-end dan oleh karena itu tidak mungkin dilakukan di situs web yang tidak menggunakan arsitektur front-end/back-end.

Namun teknik baru ini menyebabkan desinkronisasi antara front-end dan browser, yang memungkinkan penyerang untuk “membuat eksploit dengan tingkat keparahan tinggi tanpa bergantung pada permintaan cacat yang tidak akan pernah dikirim oleh browser”, kata Kettle.

Ini dapat mengekspos berbagai situs web baru ke penyelundupan permintaan sisi server dan memungkinkan penyerang untuk melakukan variasi sisi klien dari serangan ini dengan mendorong browser korban untuk meracuni koneksinya sendiri ke server web yang rentan.

Kettle mendemonstrasikan bagaimana dia dapat mengubah browser web korban menjadi platform pengiriman desinkronisasi, menggeser batas penyelundupan permintaan dengan mengekspos situs web server tunggal dan jaringan internal.

Dia mampu menggabungkan permintaan lintas-domain dengan kelemahan server untuk meracuni kumpulan koneksi browser, menginstal backdoors, dan melepaskan worm desync – yang pada gilirannya membahayakan target termasuk Amazon, Apache, Akamai, Varnish, dan beberapa VPN web.

Sumber: PortSwigger

Peretas Menguras Uang Pernikahan Dari Akun Pasangan di Registri Zola

by

Peretas membobol akun beberapa pasangan menggunakan situs layanan pernikahan Zola dan menguras akun pendaftaran pernikahan mereka, kata para korban kepada Motherboard. Yang lain dikunci dari akun mereka menjelang pernikahan mereka.

“Mereka menagih ribuan dolar pada kartu kredit saya di luar batas maksimal dan berpotensi mencuri dana pernikahan jika ini tidak diselesaikan pada hari Rabu,” kata salah satu korban kepada Motherboard dalam obrolan online. “Saya merasa bahwa tidak peduli tentang masalah kata sandi, Zola harus bertanggung jawab dan tidak mengizinkan transaksi kartu kredit tanpa memerlukan konfirmasi kode keamanan.”

Korban mengatakan bahwa Zola akhirnya meneleponnya pada Senin pagi dan mengatakan kepadanya bahwa transaksi kartu kredit “semuanya akan dikembalikan.”

Korban lain, yang meminta untuk diidentifikasi hanya dengan nama depannya, Ali, mengatakan kepada Motherboard dalam obrolan online bahwa tunangannya Jackie mendapat peringatan penipuan dari banknya pada hari Sabtu yang memperingatkannya bahwa seseorang menggunakan kartu kreditnya untuk membeli barang di Zola.

“​​Kami memeriksa akun Zola kami dan melihat bahwa alamat email untuk akun tersebut telah diubah menjadi seseorang yang tidak kami kenal,” kata Ali. “Kemudian kami perhatikan bahwa semua dana pernikahan kami yang telah diberikan kepada kami sedang diproses untuk ditransfer ke rekening bank yang bukan milik kami.”

Tangkapan layar laporan bank yang ditunjukkan ke Motherboard oleh para korban menunjukkan serangkaian transaksi secara berurutan ke atau dari “Zola Registry.”

Perusahaan mengungkapkan peretasan di Twitter meminta maaf kepada “mereka yang mendeteksi aktivitas akun yang tidak teratur.”

Beberapa orang di Twitter mengatakan peretas dapat menggunakan kartu kredit mereka dan melakukan pembelian, yang mengakibatkan mereka kehilangan ribuan dolar.

Juru bicara Zola, Emily Forrest, mengatakan bahwa “transfer tunai diblokir. Semua dana tunai telah dikembalikan. Tindakan apa pun yang tidak dilakukan pasangan akan diperbaiki.”

Ashley Smith, korban lain, mengatakan kepada Motherboard bahwa dia dan tunangannya telah “$1000 dicuri dari dana tunai di Zola dan informasi kartu kredit kami dicuri dan digunakan untuk membeli $675 dalam bentuk kartu hadiah dari situs web Zola.”

“Selain itu, email dan kata sandi akun diubah jadi sekarang kami terkunci. Dukungan Zola ditutup sepanjang akhir pekan dan meskipun mereka seharusnya buka pukul 10 pagi hari ini adalah 11:34 dan saluran telepon masih ditutup, ”katanya dalam obrolan online.

“Kami memperhatikan bahwa semua dana pernikahan kami yang telah diberikan kepada kami sedang diproses untuk ditransfer ke rekening bank yang bukan milik kami.”

Dalam sebuah pernyataan yang dikirim melalui email ke Motherboard, perusahaan mengatakan bahwa peretas menggunakan teknik credential stuffing, di mana peretas mencoba membobol akun menggunakan kata sandi dan login yang telah terungkap dalam pelanggaran data lain dengan harapan target menggunakan kembali kata sandi tersebut.

“Peretas ini kemungkinan memperoleh akses ke kumpulan kredensial yang terbuka di situs pihak ketiga dan menggunakannya untuk mencoba masuk ke Zola dan mengambil tindakan buruk. Tim kami segera bertindak untuk memastikan bahwa semua pasangan dan tamu di Zola dilindungi. Karena sangat berhati-hati, tim Trust & Safety kami juga mengambil beberapa tindakan tambahan termasuk mengatur ulang semua kata sandi, ”kata juru bicara Zola Emily Forrest kepada Motherboard. “Kami memahami gangguan dan tekanan yang disebabkan oleh beberapa pasangan kami, tetapi kami dengan senang hati melaporkan bahwa semua upaya penipuan transfer dana tunai telah diblokir. Kartu kredit dan info bank tidak pernah terekspos dan terus dilindungi. Tidak ada pelanggaran infrastruktur yang diketahui. Layanan untuk aplikasi iOS dan Android telah dipulihkan. Tindakan yang tidak dilakukan oleh pengguna akun kami akan diperbaiki.”

Sumber: VICE

Berhati-hatilah dengan Stik USB ‘Microsoft Office’ yang Muncul di Email: Ini Penipuan

by

Jika Anda menerima produk Microsoft Office secara acak melalui pos, berhati-hatilah: Ini bisa jadi penipuan.

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna. (Sumber: Twitter)

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah. Tetapi jika Anda mencolokkan stik USB ke PC, itu tidak akan menginstal program Office. Sebaliknya, itu akan mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439. Konsultan keamanan siber Martin Pitman memulihkan stik USB dan kemasannya melalui ibunya, yang akhirnya meneleponnya ketika dia berada di rumah orang lain yang mencoba memasangnya.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Sumber: PCMag