Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Apple

Apple

Apple merilis iOS 14.4.1 dengan pembaruan keamanan untuk pengguna iPhone

by

Apple telah merilis pembaruan perbaikan bug untuk pengguna iPhone hari ini. iOS 14.4.1 diluncurkan, dan Apple mengatakan itu termasuk perbaikan keamanan penting untuk pengguna iPhone. Anda dapat memperbarui nya dengan membuka menu Pengaturan di iPhone Anda.

Catatan rilis untuk pembaruan tersebut hanya berbunyi: “Pembaruan ini menyediakan pembaruan keamanan penting dan disarankan untuk semua pengguna.” Apple menginstruksikan pengguna untuk mengunjungi halaman web keamanan Apple untuk detail lebih lanjut, yang sekarang telah diperbarui untuk menyertakan informasi di iOS 14.41.

Apple mengatakan bahwa iOS 14.4.1 menambal kerentanan di WebKit, mesin browser yang menjalankan Safari dan browser pihak ketiga di iOS. Perusahaan menjelaskan:

  • Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
  • Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
  • Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
  • CVE-2021-1844: Clément Lecigne dari Grup Analisis Ancaman Google, Alison Huffman dari Riset Kerentanan Browser Microsoft

Disarankan untuk pengguna dan administrator untuk meninjau halaman keamanan Apple untuk produk berikut dan menerapkan pembaruan yang diperlukan.

Sumber: 9to5mac

Peretas menemukan cara untuk bersembunyi di dalam walled garden Apple

by

Anda pernah mendengar tentang taman bertembok (walled garden) Apple yang terkenal, ekosistem teknologi yang dikontrol ketat yang memberi perusahaan kontrol fitur dan keamanan yang unik.

Semua aplikasi melalui proses persetujuan Apple yang ketat, mereka dibatasi sehingga informasi sensitif tidak dikumpulkan di ponsel, dan pengembang tidak dapat masuk ke tempat yang dapat mereka masuki di sistem lain. Penghalang sekarang sangat tinggi sehingga mungkin lebih akurat untuk menganggapnya sebagai dinding kastil.

Namun, ketika peretas paling canggih berhasil menerobos, sesuatu yang aneh terjadi: pertahanan luar biasa Apple akhirnya melindungi penyerang itu sendiri.

“Itu pedang bermata dua,” kata Bill Marczak, peneliti senior di pengawas keamanan siber Citizen Lab. “Anda akan menghindari banyak kekacauan dengan mempersulit pembobolan iPhone. Tapi 1% dari peretas top akan menemukan jalan masuk dan, begitu mereka masuk, benteng iPhone yang tak tertembus melindungi mereka.”

Dia berpendapat bahwa sementara keamanan iPhone semakin ketat karena Apple menginvestasikan jutaan untuk meningkatkan tembok, peretas terbaik memiliki jutaan mereka sendiri untuk membeli atau mengembangkan eksploitasi zero-click yang memungkinkan mereka mengambil alih iPhone tanpa terlihat.

Ini memungkinkan penyerang untuk menggali ke dalam bagian terlarang ponsel tanpa pernah memberi target indikasi bahwa ponsel mereka telah disusupi.

Terkadang sistem yang terkunci dapat menjadi bumerang bahkan lebih langsung. Ketika Apple merilis versi baru iOS musim panas lalu di tengah penyelidikan Marczak, fitur keamanan baru ponsel membunuh alat “jailbreak” tidak resmi yang digunakan Citizen Lab untuk membuka iPhone. Pembaruan tersebut menguncinya dari area pribadi ponsel, termasuk folder untuk pembaruan baru — yang ternyata persis dimana peretas bersembunyi.

Selengkapnya: Technology Review

Peretas merilis alat jailbreak baru untuk hampir setiap iPhone

by

Tim peretasan iPhone telah merilis alat jailbreak baru untuk hampir setiap iPhone, termasuk model terbaru, dengan menggunakan kerentanan yang sama yang bulan lalu dikatakan Apple sedang diserang oleh peretas.

Tim Unc0ver merilis jailbreak terbaru akhir pekan ini, dan mengatakan itu berfungsi di iOS 11 (iPhone 5s dan yang lebih baru) hingga iOS 14.3, yang dirilis Apple pada bulan Desember.

Dalam sebuah tweet, grup jailbreak mengatakan mereka menggunakan “exploitnya sendiri” untuk CVE-2021-1782, kerentanan kernel yang menurut Apple adalah salah satu dari tiga kelemahan yang “mungkin telah secara aktif dieksploitasi” oleh peretas. Dengan menargetkan kernel, para peretas dapat masuk ke sistem operasi yang mendasarinya.

Apple memperbaiki kerentanan di iOS 14.4, yang dirilis bulan lalu, yang juga mencegah jailbreak bekerja pada versi yang lebih baru.

Pakar keamanan umumnya menyarankan pengguna iPhone agar tidak melakukan jailbreak karena itu membuat perangkat lebih rentan terhadap serangan. Dan ketika memperbarui ponsel Anda dapat memperkenalkan perbaikan keamanan yang menghapus jailbreak, itu adalah salah satu cara terbaik untuk menjaga keamanan perangkat Anda.

Selengkapnya: Tech Crunch

Perubahan pada iOS 14.5 membuat eksploitasi iPhone ‘zero-click’ lebih sulit untuk dilakukan

by

Perubahan yang akan datang di iOS 14.5 membuat eksploitasi zero-click jauh lebih sulit untuk dilakukan di iPhone, beberapa peneliti malware telah menyatakan.

Apple diam-diam membuat perubahan pada cara mengamankan kode yang berjalan di iOS dalam iOS 14.5 beta, menyarankan bahwa itu dapat dirilis dengan pembaruan publik berikutnya. Beberapa peneliti keamanan menemukan kontrol tersebut, Vice melaporkan Senin.

Secara khusus, perusahaan telah menambahkan Pointer Authentication Codes (PAC) untuk melindungi pengguna dari eksploitasi yang menyuntikkan kode berbahaya melalui kerusakan memori. Sistem sekarang mengautentikasi dan memvalidasi apa yang disebut pointer ISA – fitur yang memberi tahu program iOS kode apa yang harus dijalankan – sebelum digunakan.

Peneliti keamanan memberi tahu Motherboard bahwa mitigasi keamanan akan membuat eksploitasi zero-click lebih sulit untuk dilakukan. Zero-click mengacu pada eksploitasi yang memungkinkan penyerang menyusupi iPhone tanpa interaksi apa pun dari pengguna. Itu juga bisa memperumit pelarian kotak pasir, yang merupakan serangan yang mencoba melewati sistem keamanan isolasi bawaan di iOS

Eksploitasi zero-click telah digunakan dalam beberapa serangan profil tinggi pada pengguna iPhone di masa lalu. Pada 2016, peretas yang bekerja untuk pemerintah Uni Emirat Arab menggunakan alat klik nol yang disebut Karma untuk membobol ratusan iPhone. Pada tahun 2020, sebuah laporan menunjukkan bahwa eksploitasi zero-click digunakan untuk mengawasi iPhone milik 37 jurnalis. Tim Project Zero Google juga telah menemukan kerentanan yang memungkinkan terjadinya serangan zero-click.

Peneliti keamanan memberi tahu Motherboard bahwa mitigasi keamanan akan membuat eksploitasi zero-click lebih sulit untuk dilakukan. Zero-click mengacu pada eksploitasi yang memungkinkan penyerang menyusupi iPhone tanpa interaksi apa pun dari pengguna. Itu juga bisa memperumit pelarian kotak pasir, yang merupakan serangan yang mencoba melewati sistem keamanan isolasi bawaan di iOS

Eksploitasi zero-click telah digunakan dalam beberapa serangan profil tinggi pada pengguna iPhone di masa lalu. Pada 2016, peretas yang bekerja untuk pemerintah Uni Emirat Arab menggunakan alat klik nol yang disebut Karma untuk membobol ratusan iPhone. Pada tahun 2020, sebuah laporan menunjukkan bahwa eksploitasi zero-click digunakan untuk mengawasi iPhone milik 37 jurnalis. Tim Project Zero Google juga telah menemukan kerentanan yang memungkinkan terjadinya serangan zero-click.

Source : Appleinsider

Bug XSS yang tersimpan di domain Apple iCloud diungkapkan oleh bug bounty hunter

by

Kerentanan cross-site scripting (XSS) yang disimpan di domain iCloud dilaporkan telah ditambal oleh Apple.

Bug bounty hunter dan penetration tester Vishal Bharad mengklaim telah menemukan kelemahan keamanan, yang merupakan masalah XSS yang tersimpan di icloud.com.

Kerentanan stored XSS, juga dikenal sebagai persistent XSS, dapat digunakan untuk menyimpan muatan di server target, menyuntikkan skrip berbahaya ke situs web, dan berpotensi digunakan untuk mencuri cookie, token sesi, dan data browser.

Menurut Bharad, cacat XSS di icloud.com ditemukan di fitur Halaman/Catatan Utama domain iCloud Apple.

Untuk memicu bug, penyerang perlu membuat Halaman baru atau konten Keynote dengan muatan XSS yang dikirimkan ke bidang nama.

Bharad juga menyediakan video Proof-of-Concept (PoC) untuk mendemonstrasikan kerentanan.

Sumber: ZDNet

Sistem operasi desktop terpopuler kedua di dunia bukan lagi macOS

by

Selama berabad-abad, setiap laporan tahunan tentang pangsa pasar sistem operasi desktop memiliki dua pesaing teratas yang sama: Microsoft Windows memimpin di nomor satu dan macOS Apple di tempat kedua yang terpaut jauh. Namun pada tahun 2020, Chrome OS menjadi OS terpopuler kedua, dan Apple turun ke urutan ketiga.

Sumber: Ars Technica

Itu menurut angka dari firma data pasar IDC dan laporan data IDC oleh publikasi GeekWire. Chrome OS telah melewati macOS secara singkat di setiap kuartal sebelumnya, tetapi tahun 2020 adalah tahun penuh pertama ketika Apple OS menempati posisi ketiga.

Tren tersebut tampaknya menguntungkan Google di sini, tetapi tahun 2020 jauh dari tahun normal. Bulan lalu, laporan IDC tentang penjualan PC menunjukkan tahun pertama pertumbuhan konsisten penjualan PC tradisional (desktop, laptop, workstation) dalam beberapa tahun. Meskipun demikian, IDC menunjukkan bahwa peningkatan penjualan sebagian besar didorong oleh perluasan Chromebook baik di dalam maupun di luar pasar pendidikan.

Sumber: Ars Technica

Apple memperbaiki bug data loss pada macOS Big Sur

by

Selama beberapa minggu terakhir, macOS Big Sur mengalami bug yang dapat menyebabkan kehilangan data yang serius. Bug ini diperkenalkan di Big Sur 11.2, dan berhasil masuk ke data 11.3.

Bug datang ke penginstal macOS Big Sur yang tidak memeriksa apakah Mac memiliki ruang kosong yang diperlukan untuk melakukan peningkatan. Pemutakhiran mengalami masalah, dan jika itu tidak cukup buruk, jika Mac pengguna dienkripsi menggunakan FileVault, maka pengguna tidak dapat mengakses datanya.

Bug ini dieksplorasi secara ekstensif oleh Mr. Macintosh, bersama dengan video yang sangat informatif dan rinci. Bug itu dipersempit ke zona Goldilocks, di mana pengguna memiliki lebih dari 13GB ruang kosong, tetapi kurang dari 35,5GB.

Kabar baiknya adalah Apple akhirnya merilis penginstal macOS Big Sur 11.2.1 yang diperbarui – (20D75) – yang memeriksa ruang kosong dengan benar.

Untuk melakukan update pada macOS :

Pilih “System Preference” dari menu Apple, lalu klik “Software Update” untuk memeriksa pembaruan.

Pengguna disarankan untuk membackup filenya. Juga, periksa persyaratan sistem dan jangan mengandalkan penginstal untuk memeriksa semuanya.

Source : ZDnet

Apple akan membuat proxy lalu lintas Penjelajahan Aman di iOS 14.5 untuk menyembunyikan IP pengguna dari Google

by

Rilis iOS 14.5 Apple yang akan datang akan dikirimkan dengan fitur yang akan merutekan ulang semua lalu lintas Penjelajahan Aman Safari melalui server proxy yang dikendalikan Apple sebagai solusi untuk menjaga privasi pengguna dan mencegah Google mempelajari alamat IP pengguna iOS.

Fitur baru, yang ditemukan oleh pengguna Reddit awal pekan ini dan tercakup dalam laporan dari 8-bit, telah dikonfirmasi secara resmi oleh Maciej Stachowiak, Kepala Teknik Webkit di Apple.

Fitur baru ini hanya akan berfungsi jika pengguna mengaktifkan opsi “Peringatan Situs Web Palsu” di pengaturan aplikasi Safari iOS.

Ini mengaktifkan dukungan untuk teknologi Penjelajahan Aman Google di Safari. Teknologi Penjelajahan Aman bekerja dengan mengambil URL yang coba diakses pengguna, mengirimkan URL dalam keadaan anonim ke server Penjelajahan Aman Google, tempat Google mengakses situs dan memindai ancaman.

Jika malware, formulir phishing, atau ancaman lain ditemukan di situs, Google memberi tahu browser Safari pengguna untuk memblokir akses ke situs dan menampilkan peringatan merah layar penuh.

Beberapa tahun lalu, ketika Google meluncurkan API Penjelajahan Aman, perusahaan mengetahui situs apa yang sedang diakses pengguna; dalam beberapa tahun terakhir, Google telah mengambil beberapa langkah untuk menganonimkan data yang dikirim dari perangkat pengguna melalui fitur Penjelajahan Aman.

Namun, meskipun Google memiliki string URL yang dianonimkan, dengan mengirimkan tautan dalam status terpotong dan dicirikan, Google masih melihat alamat IP tempat pemeriksaan Penjelajahan Aman datang.

Fitur baru Apple pada dasarnya mengambil semua pemeriksaan Penjelajahan Aman ini dan meneruskannya melalui server proxy milik Apple, membuat semua permintaan muncul dari alamat IP yang sama.

Banyak yang akan menyebut langkah itu tidak berguna, karena Google masih tidak dapat melihat URL apa yang sedang diperiksa pengguna, tetapi fitur tersebut konsisten dengan tindakan lain yang telah diambil Apple akhir-akhir ini, dengan fokus pada peningkatan privasi penggunanya.

Banyak dari fitur ini yang sering mengganggu dan mengganggu kehadiran besar Google di sektor analitik dan pelacakan pengguna.

Ini termasuk merintis fitur anti-pelacakan yang luas di Safari, dan memaksa pembuat aplikasi untuk menambahkan “label privasi” ke daftar App Store mereka, sebuah persyaratan yang secara misterius dihindari oleh Google hanya dengan tidak memperbarui aplikasinya sejak tahun lalu.

iOS 14.5 saat ini dalam versi beta dan diharapkan akan dirilis dalam beberapa bulan mendatang.

sumber : ZDNET