Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Wormable Apple iCloud Memungkinkan Pencurian Foto Otomatis

by

Sekelompok ethical hackers membongkar infrastruktur dan sistem Apple dan, selama tiga bulan, menemukan 55 kerentanan, beberapa di antaranya akan memberi penyerang kendali penuh atas aplikasi pelanggan dan karyawan.

Sebagai catatan, bug wormable pengambilalihan akun iCloud yang penting akan memungkinkan penyerang mencuri semua dokumen, foto, video korban, dan lainnya secara otomatis.

Penemuan oleh peretas Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb dan Tanner Barnes menunjukkan kelemahan utama dalam infrastruktur “besar” perusahaan sementara itu juga memberi penghasilan tim hampir $300.000 hingga saat ini sebagai penghargaan atas upaya mereka, Curry menulis dalam postingan blog yang panjang yang merinci temuan tim.

Di antara kekurangan yang ditemukan di bagian inti infrastruktur Apple termasuk yang memungkinkan penyerang untuk: “sepenuhnya membahayakan aplikasi pelanggan dan karyawan; meluncurkan worm yang mampu secara otomatis mengambil alih akun iCloud korban; mengambil kode sumber untuk proyek internal Apple; sepenuhnya membahayakan perangkat lunak gudang kendali industri yang digunakan oleh Apple; dan mengambil alih sesi karyawan Apple dengan kemampuan mengakses alat manajemen dan sumber daya sensitif,” tulisnya.

Dari 55 kerentanan yang ditemukan, 11 peringkat dengan tingkat keparahan kritis, 29 dengan tingkat keparahan tinggi, 13 dengan tingkat keparahan sedang dan dua dengan tingkat keparahan rendah.

Bug wormable iCloud adalah masalah cross-site scripting (XSS), menurut artikel tersebut. iCloud menyediakan layanan seperti Mail dan Find my iPhone.

“Layanan email adalah platform email lengkap di mana pengguna dapat mengirim dan menerima email yang mirip dengan Gmail dan Yahoo,” jelas Curry. “Selain itu, ada aplikasi email di iOS dan Mac yang diinstal secara default di produk. Layanan email dihosting di www.icloud.com bersama dengan semua layanan lain seperti penyimpanan file dan dokumen.”

Dia menambahkan, “Ini berarti, dari perspektif penyerang, bahwa kerentanan cross-site scripting apa pun akan memungkinkan penyerang untuk mengambil informasi apa pun yang mereka inginkan dari layanan iCloud.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Fitbit Spyware Mencuri Data Pribadi melalui Watch Face

by

Immersive Labs Researcher memanfaatkan kontrol privasi Fitbit yang lemah untuk membuat tampilan jam spyware yang berbahaya.

Sebuah API pembuatan aplikasi yang terbuka lebar akan memungkinkan penyerang membuat aplikasi berbahaya yang dapat mengakses data pengguna Fitbit, dan mengirimkannya ke server mana pun.

Kev Breen, direktur penelitian ancaman dunia maya untuk Immersive Labs, membuat bukti konsep untuk skenario itu, setelah menyadari bahwa perangkat Fitbit dimuat dengan data pribadi yang sensitif.

“Pada dasarnya, [API pengembang] dapat mengirimkan jenis perangkat, lokasi, dan informasi pengguna termasuk jenis kelamin, usia, tinggi, detak jantung, dan berat badan,” jelas Breen. “Itu juga bisa mengakses informasi kalender. Meskipun ini tidak termasuk data profil PII, undangan kalender dapat memperlihatkan informasi tambahan seperti nama dan lokasi.”

Upaya Breen menghasilkan tampilan jam yang berbahaya, yang kemudian dapat dia sediakan melalui Galeri Fitbit (tempat Fitbit memamerkan berbagai aplikasi pihak ketiga dan internal). Jadi, spyware tampak sah, dan meningkatkan kemungkinan diunduh.

Breen juga menemukan bahwa fetch API Fitbit memungkinkan penggunaan HTTP ke rentang IP internal, yang disalahgunakannya untuk mengubah tampilan jam berbahaya menjadi pemindai jaringan primitif.

“Dengan fungsi ini, tampilan jam kami bisa menjadi ancaman bagi perusahaan,” katanya. “Ini dapat digunakan untuk melakukan apa saja mulai dari mengidentifikasi dan mengakses router, firewall, dan perangkat lain, hingga brute-forcing password dan membaca intranet perusahaan – semuanya dari dalam aplikasi di ponsel.”

Setelah menghubungi Fitbit tentang masalah tersebut, Breen mengatakan bahwa perusahaan tersebut responsif dan berjanji untuk melakukan perubahan yang diperlukan untuk mengurangi pelanggaran di masa depan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Layanan penandatanganan dokumen Docsketch mengungkapkan adanya pelanggaran keamanan

by

Layanan penandatanganan dokumen elektronik Docsketch memberi tahu pelanggan mereka tentang adanya pelanggaran keamanan yang terjadi selama musim panas lalu.

Dalam email yang dikirim ke pelanggan, perusahaan mengatakan bahwa pihak ketiga yang tidak sah memperoleh akses ke salinan database-nya pada awal Agustus tahun ini. File database berisi snapshot dari layanan Docsketch tertanggal 9 Juli 2020, kata perusahaan itu.

“Basis data ini berisi informasi kontak dan bidang formulir yang terkait dengan dokumen yang diisi oleh pengguna dan penerima pengguna,” kata pendiri Docsketch, Ruben Gamez.

Gamez mengatakan penyusup tidak mengakses dokumen itu sendiri, tetapi mereka dapat membaca informasi apa yang dimasukkan pengguna di dalam dokumen – seperti nama, tanda tangan, data pribadi, dan bahkan detail kartu pembayaran, jika ada.

Selain itu, database juga berisi informasi login dan kontak pengguna (orang yang diminta mengisi dokumen). Kata sandi juga termasuk, tetapi Docsketch mengatakan bahwa string kata sandi diasinkan dan di-hash.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: ZDNet

Pemerintah Five Eyes, India, dan Jepang membuat seruan baru untuk backdoor enkripsi

by

Anggota aliansi berbagi intelijen, Five Eyes, bersama dengan perwakilan pemerintah untuk Jepang dan India, telah menerbitkan pernyataan yang meminta perusahaan teknologi untuk menghasilkan solusi bagi penegakan hukum untuk mengakses komunikasi terenkripsi ujung ke ujung.

Pernyataan tersebut adalah upaya terbaru aliansi untuk membuat perusahaan teknologi menyetujui enkripsi backdoors.

Pejabat pemerintah mengklaim bahwa perusahaan teknologi telah menyudutkan diri mereka sendiri dengan memasukkan enkripsi ujung ke ujung (E2EE) ke dalam produk mereka. Jika diterapkan dengan benar, E2EE memungkinkan pengguna melakukan percakapan yang aman – baik itu obrolan, audio, atau video – tanpa membagikan kunci enkripsi dengan perusahaan teknologi.

Perwakilan dari tujuh pemerintah berpendapat bahwa cara enkripsi E2EE didukung pada platform teknologi utama saat ini melarang penegakan hukum menyelidiki circle kejahatan, tetapi juga platform teknologi itu sendiri untuk menegakkan persyaratan layanan mereka sendiri.

Pejabat mengatakan bahwa mereka berkomitmen untuk bekerja dengan perusahaan teknologi dalam mengembangkan solusi yang memungkinkan pengguna untuk terus menggunakan komunikasi terenkripsi yang aman, tetapi juga memungkinkan penegakan hukum dan perusahaan teknologi untuk menindaklanjuti aktivitas kriminal.

Upaya serupa juga terjadi di AS dan Eropa, tetapi kurang berhasil, terutama karena penentangan dari perusahaan teknologi, nirlaba, atau masyarakat umum.

Namun, tekanan telah meningkat dalam beberapa tahun terakhir karena pemerintah barat berusaha mencapai kesetaraan pengumpulan intelijen dengan China.

CVE-2020-14386: Kerentanan Eskalasi Hak Istimewa di kernel Linux

by

Peneliti di perusahaan keamanan siber Palo Alto telah menemukan adanya kerentanan pada Linux kernel.

Dicatat sebagai CVE-2020-14386, adalah sebuah kerentanan kerusakan memori di kernel Linux. Kerentanan ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna yang tidak memiliki hak menjadi pengguna root pada sistem Linux.

Masalah aritmatika yang menyebabkan kerusakan memori ini. Masalahnya terletak pada fungsi tpacket_rcv, yang terletak di (net/packet/af_packet.c).

Agar kerentanan dapat dipicu, ini memerlukan kernel untuk mengaktifkan soket AF_PACKET (CONFIG_PACKET = y) dan hak istimewa CAP_NET_RAW untuk proses pemicuan, yang dapat diperoleh dalam namespace pengguna tanpa hak jika namespace pengguna diaktifkan (CONFIG_USER_NS = y) dan dapat diakses oleh pengguna yang tidak memiliki hak istimewa.

Dan ternyata, daftar panjang batasan ini terpenuhi secara default di beberapa Linux distro, seperti Ubuntu.

Palo Alto telah merilis patch perbaikan untuk bug ini dan detail teknis yang dapat diakses pada tautan berikut:
Source: Palo Alto

Pengguna Gmail: Akan melihat peringatan keamanan baru ini, kata Google

by

Selama beberapa minggu ke depan, Google akan mulai meluncurkan notifikasi keamanan baru untuk masalah kritis yang memengaruhi akun Google individu, dengan notifikasi yang ditampilkan di aplikasi Google yang sedang digunakan.

Manfaat utamanya adalah penerima peringatan keamanan Google – yang diteruskan ke pengguna saat mendeteksi akun mereka mungkin telah diretas – tidak perlu memeriksa email atau sistem telepon untuk peringatan tersebut.

Sebaliknya, peringatan akan langsung muncul di aplikasi Google yang sedang digunakan, berpotensi mengurangi waktu yang dibutuhkan individu yang berisiko untuk mengambil tindakan dan mengamankan akun mereka.

Pengguna akan melihat ikon peringatan di sebelah avatar mereka di bilah pencarian aplikasi Gmail. Mengklik peringatan membawa mereka ke halaman ‘Peringatan keamanan kritis’ dengan tombol ‘Periksa aktivitas’ yang mengarah ke penjelasan mengapa Google mengeluarkan peringatan.

Menurut Google, peringatan keamanan dalam aplikasi baru untuk aplikasi Google “tahan terhadap spoofing”.

Google merencanakan peluncuran terbatas dalam beberapa minggu mendatang dan akan memperluas ketersediaannya awal tahun depan. Perusahaan telah mengumumkan fitur baru sebagai bagian dari kontribusinya pada bulan Kesadaran Cybersecurity Nasional yang jatuh pada bulan Oktober.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Microsoft memperingatkan ransomware Android yang aktif saat Anda menekan tombol Home

by

Jenis baru ransomware seluler menyalahgunakan mekanisme di balik pemberitahuan “panggilan masuk” dan tombol “Home” untuk mengunci layar pada perangkat pengguna.

Dinamakan AndroidOS/MalLocker.B, ransomware tersembunyi di dalam aplikasi Android yang ditawarkan untuk diunduh di forum online dan situs web pihak ketiga.

Sama seperti kebanyakan jenis ransomware Android, MalLocker.B tidak benar-benar mengenkripsi file korban tetapi hanya mencegah akses ke bagian telepon lainnya.

Setelah terpasang, ransomware mengambil alih layar ponsel dan mencegah pengguna menutup catatan tebusan – yang dirancang agar terlihat seperti pesan dari penegak hukum setempat yang memberi tahu pengguna bahwa mereka melakukan kejahatan dan perlu membayar denda.

Sumber: Microsoft

Ransomware ini menggunakan mekanisme dua bagian untuk menampilkan catatan tebusannya.

Bagian pertama menyalahgunakan notifikasi “panggilan”. Ini adalah fungsi yang mengaktifkan panggilan masuk untuk menunjukkan detail tentang pemanggil, dan MalLocker.B menggunakannya untuk menampilkan jendela yang mencakup seluruh area layar dengan detail tentang panggilan masuk.

Bagian kedua menyalahgunakan function “onUserLeaveHint()”. Function ini dipanggil saat pengguna ingin mendorong aplikasi ke latar belakang dan beralih ke aplikasi baru, dan terpicu saat menekan tombol seperti Home atau Recent Apps. MalLocker.B menyalahgunakan function ini untuk menampilkan catatan tebusan kembali ke latar depan dan mencegah pengguna meninggalkan catatan tebusan untuk layar utama atau aplikasi lain.

Karena MalLocker.B berisi kode yang terlalu sederhana dan keras untuk melewati ulasan Play Store, pengguna disarankan untuk menghindari menginstal aplikasi Android dari lokasi pihak ketiga seperti forum, iklan situs web, atau toko aplikasi pihak ketiga yang tidak sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

by

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet