Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Fitbit Spyware Mencuri Data Pribadi melalui Watch Face

by

Immersive Labs Researcher memanfaatkan kontrol privasi Fitbit yang lemah untuk membuat tampilan jam spyware yang berbahaya.

Sebuah API pembuatan aplikasi yang terbuka lebar akan memungkinkan penyerang membuat aplikasi berbahaya yang dapat mengakses data pengguna Fitbit, dan mengirimkannya ke server mana pun.

Kev Breen, direktur penelitian ancaman dunia maya untuk Immersive Labs, membuat bukti konsep untuk skenario itu, setelah menyadari bahwa perangkat Fitbit dimuat dengan data pribadi yang sensitif.

“Pada dasarnya, [API pengembang] dapat mengirimkan jenis perangkat, lokasi, dan informasi pengguna termasuk jenis kelamin, usia, tinggi, detak jantung, dan berat badan,” jelas Breen. “Itu juga bisa mengakses informasi kalender. Meskipun ini tidak termasuk data profil PII, undangan kalender dapat memperlihatkan informasi tambahan seperti nama dan lokasi.”

Upaya Breen menghasilkan tampilan jam yang berbahaya, yang kemudian dapat dia sediakan melalui Galeri Fitbit (tempat Fitbit memamerkan berbagai aplikasi pihak ketiga dan internal). Jadi, spyware tampak sah, dan meningkatkan kemungkinan diunduh.

Breen juga menemukan bahwa fetch API Fitbit memungkinkan penggunaan HTTP ke rentang IP internal, yang disalahgunakannya untuk mengubah tampilan jam berbahaya menjadi pemindai jaringan primitif.

“Dengan fungsi ini, tampilan jam kami bisa menjadi ancaman bagi perusahaan,” katanya. “Ini dapat digunakan untuk melakukan apa saja mulai dari mengidentifikasi dan mengakses router, firewall, dan perangkat lain, hingga brute-forcing password dan membaca intranet perusahaan – semuanya dari dalam aplikasi di ponsel.”

Setelah menghubungi Fitbit tentang masalah tersebut, Breen mengatakan bahwa perusahaan tersebut responsif dan berjanji untuk melakukan perubahan yang diperlukan untuk mengurangi pelanggaran di masa depan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Layanan penandatanganan dokumen Docsketch mengungkapkan adanya pelanggaran keamanan

by

Layanan penandatanganan dokumen elektronik Docsketch memberi tahu pelanggan mereka tentang adanya pelanggaran keamanan yang terjadi selama musim panas lalu.

Dalam email yang dikirim ke pelanggan, perusahaan mengatakan bahwa pihak ketiga yang tidak sah memperoleh akses ke salinan database-nya pada awal Agustus tahun ini. File database berisi snapshot dari layanan Docsketch tertanggal 9 Juli 2020, kata perusahaan itu.

“Basis data ini berisi informasi kontak dan bidang formulir yang terkait dengan dokumen yang diisi oleh pengguna dan penerima pengguna,” kata pendiri Docsketch, Ruben Gamez.

Gamez mengatakan penyusup tidak mengakses dokumen itu sendiri, tetapi mereka dapat membaca informasi apa yang dimasukkan pengguna di dalam dokumen – seperti nama, tanda tangan, data pribadi, dan bahkan detail kartu pembayaran, jika ada.

Selain itu, database juga berisi informasi login dan kontak pengguna (orang yang diminta mengisi dokumen). Kata sandi juga termasuk, tetapi Docsketch mengatakan bahwa string kata sandi diasinkan dan di-hash.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Chrome mengubah cara kerja sistem cache untuk meningkatkan privasi

by

Google telah mengubah cara kerja komponen inti browser Chrome untuk menambahkan perlindungan privasi tambahan bagi penggunanya.

Dikenal sebagai Cache HTTP atau Shared Cache, komponen Chrome ini bekerja dengan menyimpan salinan sumber daya yang dimuat di halaman web, seperti gambar, file CSS, dan file JavaScript.

Idenya adalah ketika pengguna mengunjungi kembali situs yang sama atau mengunjungi situs web lain tempat file yang sama digunakan, Chrome akan memuatnya dari cache internalnya, daripada membuang waktu mengunduh ulang setiap file dari awal lagi.

Di semua browser, sistem cache biasanya bekerja dengan cara yang sama. Setiap file gambar, CSS, atau JS yang disimpan dalam cache menerima kunci penyimpanan yang biasanya merupakan URL sumber daya.

Misalnya, kunci penyimpanan untuk gambar akan menjadi URL gambar itu sendiri: https: //x.example/doge.png.

Saat browser memuat halaman baru, browser akan mencari kunci (URL) di dalam database cache internalnya dan melihat apakah perlu mendownload gambar atau memuatnya dari cache.

Sayangnya, selama bertahun-tahun, perusahaan periklanan dan analitik web menyadari bahwa fitur yang sama ini juga dapat disalahgunakan untuk melacak pengguna.

Tetapi dengan Chrome 86, yang dirilis awal minggu ini, Google telah meluncurkan perubahan penting pada mekanisme ini.

Dikenal sebagai “partisi cache”, fitur ini bekerja dengan mengubah cara sumber daya disimpan dalam cache HTTP berdasarkan dua faktor tambahan. Mulai sekarang, kunci penyimpanan sumber daya akan berisi tiga item, bukan satu:

  • The top-level site domain (http://a.example)
  • The resource’s current frame (http://c.example)
  • The resource’s URL (https://x.example/doge.png)
Sumber: ZDNet

Dengan menambahkan kunci tambahan ke proses pemeriksaan cache pre-load, Chrome telah secara efektif memblokir semua serangan sebelumnya terhadap mekanisme cache, karena sebagian besar komponen situs web hanya akan memiliki akses ke sumber dayanya sendiri dan tidak akan dapat memeriksa sumber daya yang tidak mereka buat sendiri.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Pemerintah Five Eyes, India, dan Jepang membuat seruan baru untuk backdoor enkripsi

by

Anggota aliansi berbagi intelijen, Five Eyes, bersama dengan perwakilan pemerintah untuk Jepang dan India, telah menerbitkan pernyataan yang meminta perusahaan teknologi untuk menghasilkan solusi bagi penegakan hukum untuk mengakses komunikasi terenkripsi ujung ke ujung.

Pernyataan tersebut adalah upaya terbaru aliansi untuk membuat perusahaan teknologi menyetujui enkripsi backdoors.

Pejabat pemerintah mengklaim bahwa perusahaan teknologi telah menyudutkan diri mereka sendiri dengan memasukkan enkripsi ujung ke ujung (E2EE) ke dalam produk mereka. Jika diterapkan dengan benar, E2EE memungkinkan pengguna melakukan percakapan yang aman – baik itu obrolan, audio, atau video – tanpa membagikan kunci enkripsi dengan perusahaan teknologi.

Perwakilan dari tujuh pemerintah berpendapat bahwa cara enkripsi E2EE didukung pada platform teknologi utama saat ini melarang penegakan hukum menyelidiki circle kejahatan, tetapi juga platform teknologi itu sendiri untuk menegakkan persyaratan layanan mereka sendiri.

Pejabat mengatakan bahwa mereka berkomitmen untuk bekerja dengan perusahaan teknologi dalam mengembangkan solusi yang memungkinkan pengguna untuk terus menggunakan komunikasi terenkripsi yang aman, tetapi juga memungkinkan penegakan hukum dan perusahaan teknologi untuk menindaklanjuti aktivitas kriminal.

Upaya serupa juga terjadi di AS dan Eropa, tetapi kurang berhasil, terutama karena penentangan dari perusahaan teknologi, nirlaba, atau masyarakat umum.

Namun, tekanan telah meningkat dalam beberapa tahun terakhir karena pemerintah barat berusaha mencapai kesetaraan pengumpulan intelijen dengan China.

CVE-2020-14386: Kerentanan Eskalasi Hak Istimewa di kernel Linux

by

Peneliti di perusahaan keamanan siber Palo Alto telah menemukan adanya kerentanan pada Linux kernel.

Dicatat sebagai CVE-2020-14386, adalah sebuah kerentanan kerusakan memori di kernel Linux. Kerentanan ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna yang tidak memiliki hak menjadi pengguna root pada sistem Linux.

Masalah aritmatika yang menyebabkan kerusakan memori ini. Masalahnya terletak pada fungsi tpacket_rcv, yang terletak di (net/packet/af_packet.c).

Agar kerentanan dapat dipicu, ini memerlukan kernel untuk mengaktifkan soket AF_PACKET (CONFIG_PACKET = y) dan hak istimewa CAP_NET_RAW untuk proses pemicuan, yang dapat diperoleh dalam namespace pengguna tanpa hak jika namespace pengguna diaktifkan (CONFIG_USER_NS = y) dan dapat diakses oleh pengguna yang tidak memiliki hak istimewa.

Dan ternyata, daftar panjang batasan ini terpenuhi secara default di beberapa Linux distro, seperti Ubuntu.

Palo Alto telah merilis patch perbaikan untuk bug ini dan detail teknis yang dapat diakses pada tautan berikut:
Source: Palo Alto

Pengguna Gmail: Akan melihat peringatan keamanan baru ini, kata Google

by

Selama beberapa minggu ke depan, Google akan mulai meluncurkan notifikasi keamanan baru untuk masalah kritis yang memengaruhi akun Google individu, dengan notifikasi yang ditampilkan di aplikasi Google yang sedang digunakan.

Manfaat utamanya adalah penerima peringatan keamanan Google – yang diteruskan ke pengguna saat mendeteksi akun mereka mungkin telah diretas – tidak perlu memeriksa email atau sistem telepon untuk peringatan tersebut.

Sebaliknya, peringatan akan langsung muncul di aplikasi Google yang sedang digunakan, berpotensi mengurangi waktu yang dibutuhkan individu yang berisiko untuk mengambil tindakan dan mengamankan akun mereka.

Pengguna akan melihat ikon peringatan di sebelah avatar mereka di bilah pencarian aplikasi Gmail. Mengklik peringatan membawa mereka ke halaman ‘Peringatan keamanan kritis’ dengan tombol ‘Periksa aktivitas’ yang mengarah ke penjelasan mengapa Google mengeluarkan peringatan.

Menurut Google, peringatan keamanan dalam aplikasi baru untuk aplikasi Google “tahan terhadap spoofing”.

Google merencanakan peluncuran terbatas dalam beberapa minggu mendatang dan akan memperluas ketersediaannya awal tahun depan. Perusahaan telah mengumumkan fitur baru sebagai bagian dari kontribusinya pada bulan Kesadaran Cybersecurity Nasional yang jatuh pada bulan Oktober.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

240 lebih aplikasi Android tertangkap basah menampilkan iklan di luar konteks

by

Google telah menghapus lebih dari 240 aplikasi Android dari Play Store resmi karena menampilkan iklan di luar konteks dan melanggar kebijakan Google yang baru diperkenalkan terhadap jenis iklan yang mengganggu ini.

Iklan di luar konteks (juga dikenal sebagai iklan di luar aplikasi) adalah iklan seluler yang ditampilkan di luar penampung normal aplikasi. Mereka dapat muncul sebagai popup atau sebagai iklan layar penuh.

Iklan di luar konteks dilarang di Play Store sejak Februari tahun ini, ketika Google melarang lebih dari 600 aplikasi yang menyalahgunakan praktik ini untuk mengirim spam kepada pengguna mereka dengan iklan yang mengganggu.

Penemuan terbaru ini datang dari firma pendeteksi penipuan iklan White Ops. Dalam sebuah posting blog, perusahaan mengatakan telah menemukan cluster baru lebih dari 240+ aplikasi Android yang membombardir penggunanya dengan iklan di luar konteks – tetapi dibuat agar terlihat seperti berasal dari aplikasi lain yang lebih sah.

White Ops menamai grup ini RainbowMix dan mengatakan telah mendeteksi tanda-tanda aktivitas pertama pada awal April tahun ini.

Menurut telemetri White Ops, sebagian besar aplikasi dipasang oleh pengguna di seluruh Amerika dan Asia, dengan negara teratas adalah:

  • 20.8% – Brazil
  • 19.7% – Indonesia
  • 11.0% – Vietnam
  • 7.7% – US
  • 6.2% – Mexico
  • 5.9% – Philippines

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft memperingatkan ransomware Android yang aktif saat Anda menekan tombol Home

by

Jenis baru ransomware seluler menyalahgunakan mekanisme di balik pemberitahuan “panggilan masuk” dan tombol “Home” untuk mengunci layar pada perangkat pengguna.

Dinamakan AndroidOS/MalLocker.B, ransomware tersembunyi di dalam aplikasi Android yang ditawarkan untuk diunduh di forum online dan situs web pihak ketiga.

Sama seperti kebanyakan jenis ransomware Android, MalLocker.B tidak benar-benar mengenkripsi file korban tetapi hanya mencegah akses ke bagian telepon lainnya.

Setelah terpasang, ransomware mengambil alih layar ponsel dan mencegah pengguna menutup catatan tebusan – yang dirancang agar terlihat seperti pesan dari penegak hukum setempat yang memberi tahu pengguna bahwa mereka melakukan kejahatan dan perlu membayar denda.

Sumber: Microsoft

Ransomware ini menggunakan mekanisme dua bagian untuk menampilkan catatan tebusannya.

Bagian pertama menyalahgunakan notifikasi “panggilan”. Ini adalah fungsi yang mengaktifkan panggilan masuk untuk menunjukkan detail tentang pemanggil, dan MalLocker.B menggunakannya untuk menampilkan jendela yang mencakup seluruh area layar dengan detail tentang panggilan masuk.

Bagian kedua menyalahgunakan function “onUserLeaveHint()”. Function ini dipanggil saat pengguna ingin mendorong aplikasi ke latar belakang dan beralih ke aplikasi baru, dan terpicu saat menekan tombol seperti Home atau Recent Apps. MalLocker.B menyalahgunakan function ini untuk menampilkan catatan tebusan kembali ke latar depan dan mencegah pengguna meninggalkan catatan tebusan untuk layar utama atau aplikasi lain.

Karena MalLocker.B berisi kode yang terlalu sederhana dan keras untuk melewati ulasan Play Store, pengguna disarankan untuk menghindari menginstal aplikasi Android dari lokasi pihak ketiga seperti forum, iklan situs web, atau toko aplikasi pihak ketiga yang tidak sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet