Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Aplikasi Pesan Go SMS Pro Mengekspos File Media Pribadi Pengguna

by

Aplikasi Android yang populer menggunakan alamat Web yang mudah ditebak saat pengguna mengirim foto pribadi, video, dan pesan suara. Kerentanan keamanan di Go SMS Pro, aplikasi perpesanan Android populer, mengekspos foto pribadi, video, dan pesan suara dari jutaan pengguna, lapor peneliti. Peneliti dengan Trustwave SpiderLabs menemukan kelemahan Go SMS Pro versi 7.91, yang memiliki lebih dari 100 juta pengguna. Meskipun tidak jelas versi lain mana yang terpengaruh, diyakini versi sebelumnya dan versi yang akan datang rentan terhadap masalah yang sama, kata mereka.

Go SMS Pro, seperti banyak aplikasi messenger lainnya, memungkinkan orang mengirim media pribadi ke pengguna lain. Jika penerima memiliki aplikasi, media akan muncul di dalam aplikasi. Jika penerima tidak memiliki Go SMS Pro, file media dikirim sebagai alamat Web melalui SMS dan kemudian dibuka di dalam browser. Peneliti menemukan tautan ini dapat diakses tanpa otentikasi atau otorisasi apa pun, sehingga siapa pun yang memiliki tautan dapat melihat kontennya. Mereka juga mempelajari bahwa tautan URL berurutan (heksadesimal) dan dapat diprediksi, yang berarti penyerang dapat menaikkan nilai dalam URL tertentu untuk melihat atau mendengarkan pesan media pengguna lain tanpa otentikasi.

Trustwave menemukan kerentanan pada bulan Agustus dan berusaha menghubungi vendor aplikasi beberapa kali. Perusahaan tidak menanggapi, artinya kerentanan ini masih menimbulkan risiko bagi pengguna. Peneliti menyarankan agar tidak mengirim file media yang mungkin berisi data sensitif sampai Bug diperbaiki.

sumber : DarkReading

Serangan LidarPhone mengubah penyedot debu pintar menjadi mikrofon

by

Sebuah tim akademisi telah merinci penelitian baru minggu ini yang mengubah penyedot debu pintar menjadi mikrofon yang mampu merekam percakapan di sekitarnya.

Dinamakan LidarPhone, teknik ini bekerja dengan mengambil komponen navigasi berbasis laser LiDAR built-in dari vakum dan mengubahnya menjadi mikrofon laser.

Mikrofon laser adalah alat pengintai terkenal yang digunakan selama Perang Dingin untuk merekam percakapan dari jauh. Agen intelijen mengarahkan laser ke jendela yang jauh untuk memantau bagaimana kaca bergetar dan menerjemahkan getaran untuk menguraikan percakapan yang terjadi di dalam ruangan.

Akademisi dari University of Maryland dan National University of Singapore mengambil konsep sederhana yang sama tetapi menerapkannya pada robot pembersih vakum Xiaomi Roborock.

Serangan LidarPhone tidak langsung, dan kondisi tertentu harus dipenuhi. Sebagai permulaan, penyerang perlu menggunakan malware atau proses pembaruan yang tercemar untuk memodifikasi firmware penyedot debu untuk mengambil kendali komponen LiDAR.

Ini diperlukan karena LiDAR vakum bekerja dengan berputar setiap saat, sebuah proses yang mengurangi jumlah titik data yang dapat dikumpulkan penyerang.

Melalui firmware yang telah terkompromi, penyerang perlu menghentikan LiDAR vakum agar tidak berputar dan sebaliknya memfokuskannya pada satu objek terdekat pada satu waktu, di mana ia dapat merekam bagaimana permukaannya bergetar menjadi gelombang suara.

Para peneliti juga mengatakan pembacaan laser yang dikumpulkan perlu diunggah ke server jarak jauh penyerang untuk diproses lebih lanjut guna meningkatkan sinyal dan mendapatkan kualitas suara ke keadaan yang dapat dipahami oleh pengamat manusia.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Bug Facebook Messenger bisa saja memungkinkan peretas untuk memata-matai pengguna

by

Facebook telah memperbaiki bug keamanan utama hari ini di aplikasi Messenger untuk Android yang memungkinkan penyerang untuk melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi penelepon.

Kerentanan tersebut, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.

Dalam laporan bug yang dipublikasikan hari ini, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.

Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya ada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.

sumber : ZDNET

Highlight dari Unit 42 Cloud Threat Report, 2H 2020

by

Dalam Laporan Ancaman Cloud dari Unit 42 edisi 2H 2020, para peneliti melakukan Red Team exercise, memindai data cloud publik, dan menarik data milik Palo Alto Networks untuk menjelajahi lanskap ancaman dari identitas dan manajemen akses (IAM) dan mengidentifikasi di mana organisasi dapat meningkatkan konfigurasi IAM mereka.

Selama Red Team exercise, peneliti Unit 42 dapat menemukan dan memanfaatkan kesalahan konfigurasi IAM untuk mendapatkan akses admin ke seluruh lingkungan cloud Amazon Web Services (AWS) – potensi pelanggaran data jutaan dolar di dunia nyata.

Para peneliti berhasil mengeksploitasi IAM role trust policy “AssumeRole” yang salah dikonfigurasi untuk mendapatkan akses sementara ke resource sensitif.

Kebijakan yang salah dikonfigurasi memungkinkan setiap pengguna AWS yang tidak berada di akun untuk mengambil peran dan mendapatkan token akses. Hal ini dapat mengakibatkan sejumlah serangan terhadap organisasi, termasuk denial-of-service (DoS) dan ransomware, atau bahkan membuka pintu untuk advanced persistent threat (APT).

Peneliti Unit 42 menemukan bahwa 75% organisasi di Jepang dan Asia-Pasifik (JAPAC), serta 74% organisasi di Eropa, Timur Tengah, dan Afrika (EMEA), menggunakan Google Cloud untuk menjalankan workloads dengan hak istimewa admin.

Sebaliknya, hanya 54% organisasi di Amerika yang menjalankan jenis hak istimewa yang sama. Ini adalah praktik terbaik untuk menjalankan workloads dengan prinsip hak istimewa paling rendah – membatasi izin untuk pengguna seminimal yang mereka butuhkan.

Jika penyerang dapat membahayakan workload dengan hak istimewa admin, penyerang akan mendapatkan tingkat akses yang sama. Ini menyediakan jalur yang mudah bagi penyerang untuk menggunakan sumber daya cloud untuk melakukan serangan, seperti operasi cryptojacking, dengan mengorbankan organisasi.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Unit 42 Paloalto

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

by

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Egregor ransomware membombardir printer korban dengan catatam tebusan

by

Ransomware Egregor menggunakan pendekatan baru untuk menarik perhatian korban setelah serangan – ambil catatan tebusan dari semua printer yang tersedia.

Geng ransomware tahu bahwa banyak bisnis lebih suka menyembunyikan serangan ransomware daripada mempublikasikannya, termasuk kepada karyawan, karena takut akan berita yang memengaruhi harga saham dan reputasi mereka.

Untuk meningkatkan kesadaran publik atas serangan tersebut dan menekan korban agar membayar, operasi Egregor diketahui berulang kali mencetak catatan tebusan dari semua jaringan dan printer lokal yang tersedia setelah serangan terjadi.

Menurut BleepingComputer, mereka dapat mengonfirmasi bahwa itu bukan ransomware yang dapat menjalankan pencetakan catatan tebusan.

Sebaliknya, diyakini bahwa penyerang ransomware menggunakan skrip di akhir serangan untuk mencetak catatan tebusan ke semua printer yang tersedia.

Skrip ini belum ditemukan pada saat penulisan.

Sumber: Bleeping Computer

Bug Cisco Webex memungkinkan penyerang untuk bergabung dalam rapat sebagai pengguna hantu

by

Cisco berencana untuk memperbaiki tiga kerentanan di aplikasi konferensi video Webex yang memungkinkan penyerang menyelinap dan bergabung dengan rapat Webex sebagai pengguna bayangan, yang tidak terlihat oleh peserta lain.

Kerentanan tersebut ditemukan awal tahun ini oleh peneliti keamanan dari IBM, yang melakukan peninjauan terhadap alat kerja jarak jauh yang digunakan raksasa perangkat lunak teknologi tersebut secara internal selama pandemi virus corona.

Para peneliti mengatakan tiga bug, jika digabungkan, akan memungkinkan penyerang untuk:
1. Bergabunglah dengan rapat Webex sebagai pengguna bayangan, tidak terlihat oleh orang lain di daftar peserta, tetapi dengan akses penuh ke audio, video, obrolan, dan berbagi layar.
2. Tetap berada dalam rapat Webex sebagai pengguna audio hantu bahkan setelah dikeluarkan darinya.
3. Dapatkan informasi tentang peserta rapat, seperti nama lengkap, alamat email, dan alamat IP. Informasi ini juga dapat diperoleh dari lobi ruang rapat, bahkan sebelum penyerang menerima panggilan.

Peneliti IBM mengatakan bug berada dalam proses “jabat tangan” yang terjadi saat pertemuan Webex baru dibuat. Cisco akan merilis patch hari ini untuk tiga kerentanan Webex yang dilaporkan oleh tim IBM – yaitu CVE-2020-3441, CVE-2020-3471, dan CVE-2020-3419.

sumber : ZDNET

Berikut adalah kata sandi paling umum pada tahun 2020

by

Kembali ke tahun 2015, kata sandi terburuk yang masih umum digunakan termasuk “123456” dan “password.” Lima tahun berlalu, dan contoh-contoh ini masih banyak digunakan.

Setelah menganalisis 275.699.516 kata sandi yang bocor selama pelanggaran data tahun 2020, NordPass dan mitranya menemukan bahwa kata sandi yang paling umum sangat mudah ditebak – dan mungkin perlu waktu kurang dari satu atau dua detik bagi penyerang untuk membobol akun menggunakan kredensial ini. Hanya 44% dari yang tercatat dianggap “unik”.

Pada hari Rabu, penyedia solusi pengelola kata sandi menerbitkan laporan tahunannya tentang keadaan keamanan kata sandi, menemukan bahwa opsi yang paling populer adalah “123456”, “123456789”, “picture1”, “password”, dan “12345678.”

Dengan pengecualian “picture1”, yang akan membutuhkan waktu sekitar tiga jam untuk dipecahkan menggunakan serangan brute-force, setiap sandi memerlukan hanya beberapa detik saja menggunakan dictionary scripts – yang mengumpulkan frasa umum dan kombinasi numerik untuk dicoba – atau lebih sederhana, tebakan manusia.

Sebagai salah satu peserta dalam daftar 200-strong menggambarkan keadaan dalam hal keamanan kata sandi, “whatever”, tampaknya banyak dari kita masih enggan menggunakan kata sandi yang kuat dan sulit untuk dipecahkan – dan sebaliknya, kita malah menggunakan opsi termasuk “football”, “iloveyou”, “letmein”, dan “pokemon”.

10 kata sandi paling umum tahun 2020, berdasarkan kumpulan data NordPass, tercantum di bawah ini:

sumber: ZDNet

Sumber: ZDNet