Browser

Teknik pelacakan browser baru bekerja bahkan saat Anda membersihkan cache atau menggunakan incognito

February 20, 2021 by Mally

Prospek pengguna Web yang dilacak oleh situs yang mereka kunjungi telah mendorong beberapa tindakan pencegahan selama bertahun-tahun, termasuk menggunakan Privacy Badger atau ekstensi anti-pelacakan alternatif, mengaktifkan sesi penjelajahan pribadi atau penyamaran (incognito), atau menghapus cookie. Sekarang, situs web memiliki cara baru untuk mengalahkan ketiganya.

Teknik ini memanfaatkan penggunaan favicon, ikon kecil yang ditampilkan situs web di tab browser dan daftar bookmark pengguna.

Peneliti dari University of Illinois, Chicago mengatakan dalam makalah baru bahwa sebagian besar browser menyimpan gambar dalam cache di lokasi yang terpisah dari yang digunakan untuk menyimpan data situs, riwayat penjelajahan, dan cookie. Situs web dapat menyalahgunakan pengaturan ini dengan memuat serangkaian favicon pada peramban pengunjung yang secara unik mengidentifikasinya selama periode waktu yang lama.

Serangan tersebut bekerja terhadap Chrome, Safari, Edge, dan hingga saat ini Brave, yang mengembangkan countermeasure yang efektif setelah menerima laporan pribadi dari para peneliti. Firefox juga rentan terhadap teknik ini, tetapi bug mencegah serangan tersebut bekerja saat ini.

Situs web menggunakan Favicons untuk membantu pengguna lebih mudah mengidentifikasi halaman yang saat ini terbuka di tab browser atau disimpan dalam daftar bookmark.

Browser menyimpan ikon dalam cache sehingga mereka tidak perlu memintanya berulang kali. Cache ini tidak dikosongkan saat pengguna menghapus cache atau cookie browser mereka, atau saat mereka beralih ke mode penjelajahan pribadi.

Situs web dapat mengeksploitasi perilaku ini dengan menyimpan kombinasi favicon tertentu saat pengguna pertama kali mengunjunginya, lalu memeriksa gambar tersebut saat pengguna mengunjungi kembali situs tersebut, sehingga memungkinkan situs web tersebut mengidentifikasi browser bahkan saat pengguna telah mengambil tindakan aktif untuk mencegah pelacakan.

Sumber: Ars Technica

Malvertisers mengeksploitasi browser zero-day untuk mengarahkan pengguna ke situs penipuan

February 18, 2021 by Mally

Grup pengiklan jahat ScamClub menggunakan kerentanan zero-day di mesin browser web WebKit untuk mendorong muatan yang dialihkan ke penipuan gift card.

Selama kampanye mereka selama tiga bulan terakhir, jumlah tayangan iklan berbahaya yang ditayangkan dalam sehari mencatat lonjakan hingga 16 juta.

Pengiklan jahat ScamClub terkenal karena taktik berisik mereka yang terdiri dari membanjiri ekosistem iklan dengan iklan berbahaya yang berharap persentase yang lebih kecil berhasil.

Menjelaskan “strategi pengeboman” ScamClub, Confiant, perusahaan keamanan iklan dan kontrol kualitas, mengatakan bahwa peningkatan hanya 1% pada tingkat pengalihan dapat diterjemahkan ke dalam “puluhan ribu tayangan yang terpengaruh” selama satu kampanye.

Dalam postingan blog nya, engineer dan peneliti keamanan Confiant Eliya Stein menemukan bahwa malvertiser mengandalkan kerentanan di WebKit yang melewati kebijakan sandbox iframe.

Mengingat penargetan SscamClub yang luas dan volume besar iklan berbahaya yang mereka dorong, beberapa di antaranya masih lolos dan memiliki dampak yang signifikan. Di bawah ini adalah domain yang digunakan dalam kampanye malvertising ScamClub.

Selengkapnya: Bleeping Computer

Google Chrome, Microsoft Edge mendapatkan fitur keamanan Intel ini

February 15, 2021 by Mally

Browser berbasis Chromium seperti Microsoft Edge dan Google Chrome akan segera mendukung fitur keamanan Intel CET untuk mencegah berbagai kerentanan.

Teknologi Control-flow Enforcement (CET) Intel adalah fitur keamanan perangkat keras yang pertama kali diperkenalkan pada tahun 2016 dan ditambahkan ke CPU Intel generasi ke-11 pada tahun 2020.

Fitur CET dirancang untuk melindungi program dari serangan Return Oriented Programming (ROP) dan Jump Oriented Programming (JOP) yang mengubah aliran normal aplikasi sehingga kode berbahaya penyerang akan dieksekusi.

“Serangan JOP atau ROP bisa sangat sulit untuk dideteksi atau dicegah karena penyerang menggunakan kode yang ada yang berjalan dari memori yang dapat dieksekusi dengan cara yang kreatif untuk mengubah perilaku program,” jelas Baiju V Patel dari Microsoft.

Kerentanan ini termasuk serangan yang melewati sandbox browser atau melakukan eksekusi kode jarak jauh saat mengunjungi situs web.

Intel CET adalah solusi berbasis perangkat keras yang memblokir upaya ini dengan memicu pengecualian saat aliran alami diubah.

Minggu ini, pimpinan penelitian kerentanan Microsoft Edge Johnathan Norman mentweet bahwa Microsoft Edge 90 akan mendukung fitur Intel CET dalam proses non-perender.

Fitur keamanan ini tampaknya tidak khusus untuk Microsoft Edge tetapi akan hadir di semua browser Chromium, termasuk Google Chrome, Brave, dan Opera.

Selengkapnya: Bleeping Computer

‘Favicons’ Browser Dapat Digunakan sebagai ‘Supercookies’ yang Tidak Dapat Dihapus untuk Melacak Anda Secara Online

February 11, 2021 by Mally

Favicons adalah salah satu hal yang pada dasarnya digunakan setiap situs web tetapi tidak ada yang memikirkannya.

Namun, menurut seorang peneliti, ikon-ikon ini bisa menjadi kerentanan keamanan yang memungkinkan situs web melacak pergerakan Anda dan melewati VPN, status penjelajahan penyamaran, dan metode tradisional lainnya untuk menyembunyikan pergerakan Anda secara online.

Metode pelacakan tersebut disebut Supercookie, dan ini hasil karya perancang perangkat lunak Jerman Jonas Strehle.

“Supercookie menggunakan favicon untuk menetapkan pengenal unik bagi pengunjung situs web. Tidak seperti metode pelacakan tradisional, ID ini dapat disimpan hampir secara terus-menerus dan tidak dapat dengan mudah dihapus oleh pengguna, ”kata Strehle di Github-nya.

Untuk lebih jelasnya, ini adalah proof of the concept dan bukan sesuatu yang ditemukan Strehle di alam liar. Program supercookie Strehle (yang menggunakan favicon Cookie Monster) adalah proof of the concept yang dijelaskan oleh peneliti universitas.

“Favicon harus dibuat sangat mudah diakses oleh browser. Oleh karena itu, mereka di-cache dalam database lokal terpisah pada sistem, yang disebut cache favicon (F-Cache), “kata Strehle.

Entri F-Cache menyertakan banyak data tentang di mana pengguna berada, semuanya dalam layanan untuk mengirimkan ikon kecil cepat ke jendela penelusuran Anda. Data ini memungkinkan server web untuk mengetahui sedikit tentang pengunjungnya.

Selengkapnya: Vice

Google Chrome tidak lagi mendukung beberapa prosesor lama

February 9, 2021 by Mally

Tim pengembang Chromium mengumumkan melalui dokumen kebijakan> bahwa dukungan akan dihentikan untuk CPU x86 lama yang tidak memenuhi minimal dukungan SSE3 (Supplemental Streaming SIMD Extensions 3), mulai dari Chrome 89.

Dampak yang diharapkan pada penggunaan Chrome diperkirakan sangat kecil, mengingat perangkat yang terpengaruh sebagian besar akan menjalankan prosesor pra-Intel Core 2 Duo. Karena sebagian besar prosesor pasca-2005 sudah mendukung SSE3, perangkat keras harus berusia di atas 15 tahun agar dapat terpengaruh oleh perubahan ini.

Windows akan menjadi satu-satunya sistem operasi yang terpengaruh oleh pengumuman ini karena Mac, Android, dan Chrome OS semuanya memerlukan dukungan SSE3 untuk beroperasi. Kemungkinan besar Microsoft Edge juga akan terpengaruh oleh penurunan dukungan ini, mengingat browser ini berbasis Chromium.

Dimulai dari Chrome 89, perangkat apa pun yang tidak memenuhi persyaratan CPU minimum yang baru tidak akan lagi mencoba memasang Chrome, dan menjalankan perangkat lunak itu sendiri akan mengakibatkan crash.

Perangkat apa pun yang akan terpengaruh oleh perubahan ini akan mulai menerima peringatan dari Chrome 87 yang memberi tahu pengguna bahwa dukungan untuk perangkat keras mereka akan segera berakhir.

Sumber: Tech Radar

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Mally

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Chromium membersihkan tindakannya – dan kueri server root DNS harian turun hingga 60 miliar

February 5, 2021 by Mally

Proyek Chromium yang disponsori Google telah membereskan tindakannya, dan hasilnya adalah permintaan yang menurun tajam ke server root DNS.

Seperti yang dilaporkan The Register pada Agustus 2020, browser berbasis Chromium menghasilkan banyak lalu lintas DNS saat mereka mencoba menentukan apakah masukan ke dalam omnibox mereka adalah nama domain atau kueri penelusuran.

Engineer Verisign, Matthew Thomas dan Duane Wessels memeriksa lalu lintas yang dihasilkan dan mencapai kesimpulan bahwa itu menyumbang hingga 60 miliar kueri DNS setiap hari.

Di posnya Wessels mengatakan tim Chromium mendesain ulang kodenya untuk menghentikan permintaan DNS junk, dan merilis pembaruan di Chromium 87.

Hasilnya? “Sebelum perangkat lunak dirilis, sistem server root mencapai puncak ~ 143 miliar kueri per hari,” tulisnya. “Volume lalu lintas sejak itu menurun menjadi ~ 84 miliar kueri sehari. Ini mewakili lebih dari 41 persen pengurangan volume kueri secara total.”

Selengkapnya: The Register

Add-on Chrome dan Edge yang berbahaya memiliki cara baru untuk bersembunyi di dalam 3 juta perangkat

February 4, 2021 by Mally

Pada bulan Desember, Ars melaporkan bahwa sebanyak 3 juta orang telah terinfeksi oleh extension browser Chrome dan Edge yang mencuri data pribadi dan mengarahkan pengguna ke situs iklan atau phishing.

Sekarang, para peneliti yang menemukan penipuan tersebut telah mengungkapkan sejauh mana pengembang extension menyembunyikan perbuatan jahat mereka.

28 extension yang tersedia di repositori resmi Google dan Microsoft mengiklankan diri mereka sendiri sebagai cara untuk mengunduh gambar, video, atau konten lain dari situs-situs termasuk Facebook, Instagram, Vimeo, dan Spotify.

Di belakang layar, mereka ternyata juga mengumpulkan tanggal lahir pengguna, alamat email, dan informasi perangkat serta mengalihkan klik dan hasil penelusuran ke situs berbahaya. Google dan Microsoft akhirnya menghapus extension tersebut.

Para peneliti dari Avast mengatakan pada hari Rabu bahwa pengembang extension menggunakan cara baru untuk menyembunyikan lalu lintas berbahaya yang dikirim antara perangkat yang terinfeksi dan server perintah dan kontrol tempat mereka terhubung.

Secara khusus, extension tersebut menyalurkan perintah ke tajuk kontrol cache lalu lintas yang disamarkan agar muncul sebagai data yang terkait dengan Google analytics, yang digunakan situs web untuk mengukur interaksi pengunjung.

Server penyerang kemudian akan merespons dengan header Cache-Control yang dibentuk khusus, yang kemudian akan didekripsi, diurai, dan dieksekusi oleh klien.

Selengkapnya: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Browser

Cookies Settings