Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Apple

Apple

Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

Sumber: Bleeping Computer

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Mode Lockdown baru Apple bertahan dari spyware pemerintah

by

Apple mengumumkan bahwa fitur keamanan baru yang dikenal sebagai Lockdown Mode akan diluncurkan dengan iOS 16, iPadOS 16, dan macOS Ventura untuk melindungi individu berisiko tinggi seperti pembela hak asasi manusia, jurnalis, dan pembangkang dari serangan spyware yang ditargetkan.

Setelah diaktifkan, Mode Penguncian akan memberi pelanggan Apple perpesanan, penelusuran web, dan perlindungan konektivitas yang dirancang untuk memblokir spyware tentara bayaran (seperti Pegasus NSO Group) yang digunakan oleh peretas yang didukung pemerintah untuk memantau perangkat Apple mereka setelah menginfeksi mereka dengan malware.

Upaya penyerang untuk berkompromi dengan perangkat Apple menggunakan eksploitasi tanpa klik yang menargetkan aplikasi perpesanan seperti WhatsApp dan Facetime atau browser web akan diblokir secara otomatis, melihat bahwa fitur rentan seperti pratinjau tautan akan dinonaktifkan.

Versi pertama dari Mode Lockdown akan mencakup perlindungan untuk beberapa fitur sistem operasi yang terkena serangan, termasuk:

Pesan: Sebagian besar jenis lampiran pesan selain gambar diblokir. Beberapa fitur, seperti pratinjau tautan, dinonaktifkan.
Penjelajahan web: Teknologi web kompleks tertentu, seperti kompilasi JavaScript just-in-time (JIT), dinonaktifkan kecuali pengguna mengecualikan situs tepercaya dari Mode Penguncian.

Layanan Apple: Undangan masuk dan permintaan layanan, termasuk panggilan FaceTime, diblokir jika pengguna belum pernah mengirim panggilan atau permintaan kepada pemrakarsa sebelumnya.

Koneksi kabel dengan komputer atau aksesori diblokir saat iPhone terkunci.
Profil konfigurasi tidak dapat dipasang, dan perangkat tidak dapat mendaftar ke manajemen perangkat seluler (MDM) saat Mode Penguncian diaktifkan.

Mode Penguncian Apple (Apple)

Pengumuman hari ini datang setelah Apple menggugat pembuat spyware Pegasus NSO Group pada November 2021 karena menargetkan dan dan memata-matai pengguna Apple menggunakan teknologi pengawasan NSO.

Apple mengatakan pada saat itu bahwa serangan yang disponsori negara menggunakan spyware NSO hanya menargetkan “sejumlah kecil” individu, di berbagai platform, termasuk Android dan iOS Apple.

Para penyerang menyebarkan perangkat lunak pengawasan NSO pada perangkat target profil tinggi yang disusupi, termasuk pejabat pemerintah, diplomat, pembangkang, akademisi, dan jurnalis di seluruh dunia.

Sejak Desember 2021, spyware NSO Group juga ditemukan di iPhone milik politisi, jurnalis, dan aktivis Catalan, diplomat Finlandia, pegawai pemerintah Inggris, dan pegawai Departemen Luar Negeri AS.

Biro Industri dan Keamanan (BIS) Departemen Perdagangan AS juga memberi sanksi kepada NSO Group dan tiga perusahaan lain dari Israel, Rusia, dan Singapura pada November atas pengembangan spyware dan penjualan alat peretasan yang digunakan oleh kelompok peretas yang didukung pemerintah.

Sumber: Bleeping Computer

Peretas iCloud mendapat 9 tahun penjara karena mencuri foto telanjang

by

Seorang pria California yang meretas ribuan akun Apple iCloud dijatuhi hukuman 8 tahun penjara setelah mengaku bersalah atas konspirasi dan penipuan komputer pada Oktober 2021.

Sejak awal September 2014, Hao Kuo Chi, 41 tahun dari La Puente, California, mulai memasarkan dirinya sebagai “icloudripper4you,” seseorang yang mampu membobol akun iCloud dan mencuri apa pun yang ada di penyimpanan iCloud yang ditautkan (dalam apa yang dia sebut sebagai “merobek”).

“Pria ini memimpin kampanye teror dari komputernya, menyebabkan ketakutan dan penderitaan bagi ratusan korban,” kata agen FBI David Walker.

Untuk mengkompromikan akun yang ditargetkan, Chi menggunakan email yang memungkinkannya untuk menyamar sebagai perwakilan dukungan pelanggan Apple dan menipu target agar menyerahkan ID dan kata sandi Apple mereka, menurut dokumen pengadilan.

Setelah mengkompromikan akun iCloud, dia akan mencari dan mencuri foto dan video telanjang dari penyimpanan online korban (disebut sebagai “wins”), membaginya dengan konspirator yang kemudian menerbitkannya secara online.

Chi juga membagikan beberapa foto dan video kompromi di situs porno balas dendam yang sekarang sudah tidak berfungsi (Anon-IB) tanpa persetujuan korbannya dan bermaksud “untuk mengintimidasi, melecehkan, atau mempermalukan.”

Sampai tertangkap, Chi memperoleh akses tidak sah ke ratusan akun iCloud target dari seluruh Amerika Serikat, termasuk Arizona, California, Florida, Kentucky, Louisiana, Maine, Massachusetts, Ohio, Pennsylvania, Carolina Selatan, dan Texas.

“Akun email Chi berisi kredensial iCloud dari sekitar 4.700 korban. Akun ini juga mengungkapkan bahwa dia telah mengirim konten yang dicuri dari korban ke konspirator lebih dari 300 kali,” ungkap Departemen Kehakiman hari ini.

Dia menyimpan 3,5 terabyte konten curian dari lebih dari 500 korban di cloud dan penyimpanan fisik, dengan sekitar 1 terabyte penyimpanan cloud didedikasikan untuk foto dan video telanjang yang dicuri.

“Chi mengorbankan ratusan wanita di seluruh negeri, membuat mereka takut akan keselamatan dan reputasi mereka,” kata Jaksa AS Roger Handberg.

Sumber: Bleeping Computer

Chip PC dan Ponsel Apple Mengalami Eksploitasi Pencurian Data Pertama di Dunia

by

Sejumlah perangkat Apple yang lebih baru membawa kelemahan unik, yang mengingatkan kita pada Spectre/Meltdown, yang dapat memungkinkan pelaku ancaman untuk mencuri data sensitif, para ahli telah memperingatkan.

Sebuah tim peneliti dari University of Illinois Urbana-Champaign, Tel Aviv University, dan University of Washington, telah menemukan cacat dalam fitur unik untuk silikon Apple, yang disebut Data Memory-Dependent Prefetcher (DMP).

Cacat itu mungkin memengaruhi seluruh host silikon Apple, termasuk chip M1 dan M1 Max internalnya sendiri.

Ide di balik DMP adalah untuk meningkatkan kinerja sistem dengan mengambil data terlebih dahulu, bahkan sebelum dibutuhkan – data yang pada dasarnya tidak aktif. Biasanya, karena alasan keamanan, data akan dibatasi dan dibagi di antara berbagai kompartemen, dan hanya ditarik saat dibutuhkan.

Dengan DMP, data diambil terlebih dahulu, dan data inilah yang dapat diakses oleh pihak ketiga yang tidak berwenang, mirip dengan cacat Spectre/Meltdown. Pada Spectre/Meltdown, silikon akan mencoba untuk berspekulasi data mana yang dapat digunakan dalam waktu dekat, agak membatasi permukaan serangan. Sedangkan pada DMP Apple, seluruh isi memori bisa bocor.

Para peneliti menamakan cacat itu “Augury”. Sejauh ini, A14 System on Chip (SoC) Apple, yang ditemukan di iPad Air Generasi ke-4 dan perangkat iPhone Generasi ke-12, M1, dan M1 Max, semuanya ditemukan rentan. Meskipun mereka mencurigai silikon yang lebih tua (M1 Pro, dan M1 Ultra, misalnya) mungkin juga rentan terhadap Augury, mereka hanya berhasil menunjukkan kelemahan pada titik akhir ini.

Apple diduga “sepenuhnya menyadari” penemuan tersebut, yang dilaporkan telah didiskusikan dengan para peneliti, tetapi belum membagikan rencana mitigasi dan garis waktu patch.

Sumber: TechRadar

Apple masih belum menangkap aplikasi scam, dan kali ini ada di Mac

by

Pemburu / pengembang aplikasi scam Kosta Eleftheriou, yang dikenal karena menangkap penipuan mengerikan yang berhasil melewati proses peninjauan Apple, sekali lagi membawa perhatian pada aplikasi baru yang dijajakan melalui App Store.

Kali ini mereka menggunakan Mac, dan mereka menggunakan pop-up yang membuatnya sangat sulit untuk keluar dari aplikasi tanpa menyetujui harga berlangganan yang keterlaluan — semua tanpa sepengetahuan Apple, meskipun argumennya bahwa proses Peninjauan Aplikasinya membuat perangkat dan pengguna tetap terjaga. aman.

Aplikasi yang memulai perburuan, yang tampaknya ditemukan oleh Edoardo Vacchi, disebut My Metronome. Menurut Vacchi, Eleftheriou, dan ulasan pengguna, aplikasi terkunci dan tidak akan membiarkan Anda keluar menggunakan pintasan keyboard atau bilah menu sampai Anda menyetujui langganan $9,99 per bulan. (Namun, itu dapat dihentikan secara paksa.)

Eleftheriou mengatakan kepada The Verge bahwa “sepertinya pengembang ini telah bereksperimen dengan berbagai teknik selama bertahun-tahun untuk mencegah orang menutup paywall,” mengarahkan kami ke beberapa aplikasi lain yang masih ada di toko dengan perilaku serupa — kita akan membahasnya sebentar lagi.

Beberapa saat setelah Eleftheriou men-tweet tentang My Metronome, aplikasi itu tampaknya dihapus dari toko. Mencoba membuka tautan muncul dengan pesan yang mengatakan bahwa itu tidak lagi tersedia di wilayah saya. (Meskipun, untuk lebih jelasnya, Anda mungkin tidak harus mencoba mengunduhnya atau aplikasi apa pun yang akan kita bicarakan.)

Apple tidak menanggapi permintaan The Verge untuk berkomentar tentang apakah itu yang mengambil aplikasi turun, atau bagaimana hal itu lulus Tinjauan Aplikasi di tempat pertama.

Selengkapnya: The Verge

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

by

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica