Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for iOS

iOS

iOS Mail Memiliki Kelemahan Keamanan ‘Kritis’ Dan Telah Diperbaiki

by

Badan keamanan siber federal Jerman telah mengeluarkan peringatan yang mendesak semua pengguna iOS untuk menginstal pembaruan keamanan terbaru Apple yang menambal dua kerentanan keamanan tanpa klik yang berdampak pada aplikasi email default perusahaan.

Kerentanan ini pertama kali ditemukan oleh perusahaan keamanan yang berbasis di AS ZecOps yang menemukan bahwa kerentanan ini sedang dieksploitasi secara aktif dalam serangan yang menargetkan pengguna iOS sejak setidaknya Januari 2018. Apple telah mengakui kelemahan keamanan meskipun perusahaan mengatakan mereka menemukan “tidak adanya bukti bahwa kerentanan ini digunakan untuk melawan pelanggan mereka.”

Dalam peringatannya, BSI (Bundesamt für Sicherheit in der Informationstechnik) menekankan pentingnya menginstal pembaruan segera, dengan mengatakan:

“Apple telah merilis pembaruan keamanan dengan iOS 12.4.7, iOS 13.5 dan iPadOS 13.5 yang memperbaiki kerentanan untuk semua versi iOS yang terpengaruh. Karena kekritisan kerentanan, BSI merekomendasikan agar pembaruan keamanan masing-masing segera diinstal pada semua sistem yang terpengaruh.”

Kedua kelemahan keamanan yang memengaruhi aplikasi Mail Apple adalah kerentanan tanpa klik yang dihasilkan dari masalah konsumsi memori dan keduanya dapat dipicu setelah aplikasi memproses pesan yang dibuat dengan cara jahat.

Untungnya Apple mengatasi kekurangan dengan merilis iOS 13.5 dan iPadOS 13.5 yang menawarkan penanganan memori yang lebih baik dan pemeriksaan batas. Kerentanan mempengaruhi iPhone 6S dan yang lebih baru, iPad Air 2 dan yang lebih baru, iPad mini 4 dan yang lebih baru dan iPod touch generasi ke-7, menurut catatan rilis keamanan iOS 13.5.

Sangat disarankan agar semua pengguna iOS menginstal pembaruan keamanan terbaru Apple untuk menghindari korban dari setiap serangan potensial yang mengeksploitasi kedua kerentanan tersebut.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tech Radar

Apple mengirimkan 11 peringatan keamanan – dapatkan perbaikannya sekarang!

by

Apple baru saja meluncurkan 11 email advisories yang merinci perbaikan keamanan terbarunya.

Yang membingungkan, beberapa pembaruan ini telah tersedia selama beberapa hari sebelumnya – versi terbaru iOS adalah 13,5, dan diumumkan secara resmi di halaman pembaruan Keamanan utama Apple pada 20 Mei 2020.

Bahkan, pembaruan yang terdaftar untuk iOS dan watchOS masih ditandai [2020-05-27T12: 00Z] dengan kata-kata “perincian segera tersedia”, meskipun Apple Security Advisories memiliki perincian lengkap.

Dan pembaruan Apple untuk produk-produk perangkat lunak non-mobile tercakup secara rinci dalam email Advisory, tetapi belum disebutkan sama sekali di halaman keamanan HT201222.

Pembaruan ini memperbaiki 63 kerentanan yang ditandai dengan CVE di 11 email advisory. Catat bahwa 11 dari kerentanan ini memengaruhi perangkat lunak tepat di seluruh produk seluler, Mac dan Windows Apple.

Untuk setiap bug yang ditambal, Apple mencantumkan kemungkinan dampaknya, Sophos telah memfilter semua dampak disini.

Jadi apa yang harus dilakukan? “Menambal lebih awal, menambal lebih sering.”

Bahkan jika Anda telah mengatur Mac atau iDevice Anda untuk diperbarui secara otomatis, pastikan Anda memeriksa secara teratur bahwa sistem Anda benar-benar terbaru:
– Pada Mac, buka System Preferences> Update Software.
– Pada iPhone atau iPad, buka Sistem> Umum> Pembaruan Perangkat Lunak.

Selengkapnya dapat dibaca pada tautan di bawah ini:

Source: Naked Security by Sophos

Ponsel Pintar, Laptop, Perangkat IoT Rentan Terhadap Serangan Baru Bluetooth BIAS

by

Para peneliti telah mengungkapkan kerentanan baru dalam protokol nirkabel Bluetooth, yang secara luas digunakan untuk menghubungkan perangkat modern, seperti smartphone, tablet, laptop, dan perangkat IoT.

Kerentanan, dengan nama kode BIAS (Bluetooth Impersonation AttackS), berdampak pada versi klasik dari protokol Bluetooth, juga dikenal sebagai Basic Rate / Enhanced Data Rate, Bluetooth BR / EDR, atau hanya Bluetooth Classic.

Celah keamanan BIAS terletak pada cara perangkat menangani kunci tautan, juga dikenal sebagai kunci jangka panjang.

Kunci ini dihasilkan ketika dua perangkat Bluetooth memasangkan (ikatan) untuk pertama kalinya. Mereka menyetujui kunci jangka panjang, yang mereka gunakan untuk mendapatkan kunci sesi untuk koneksi di masa depan tanpa harus memaksa pemilik perangkat untuk melalui proses pemasangan yang sama setiap kali perangkat Bluetooth perlu berkomunikasi.

Para peneliti mengatakan mereka menemukan bug dalam proses otentikasi pasca-ikatan ini. Celah ini dapat memungkinkan penyerang memalsukan identitas perangkat yang sebelumnya dipasangkan/terikat serta berhasil mengautentikasi dan terhubung ke perangkat lain tanpa mengetahui kunci pasangan jangka panjang yang sebelumnya dibuat di antara keduanya.

Setelah serangan BIAS berhasil, penyerang kemudian dapat mengakses atau mengambil kendali perangkat Bluetooth Classic lainnya.

Status dan ketersediaan pembaruan untuk memperbaiki kerentanan tersebut saat ini tidak jelas, bahkan untuk tim peneliti.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Celah di iPhone & iPad Memungkinkan Peretas Mencuri Data Selama Bertahun-tahun

by

Sebuah bug ditemukan pada perangkat Apple, termasuk iPad, oleh ZecOps, sebuah perusahaan forensik keamanan mobile yang berbasis di San Francisco. Zuk Avraham, kepala eksekutif ZecOps, mengatakan ia menemukan bukti kerentanan itu dieksploitasi di setidaknya enam serangan cyber.

Kerentanan yang mungkin membuat lebih dari setengah miliar iPhone dan iPad rentan terhadap peretas, ada pada software email Apple, Mail. Perusahaan telah mengembangkan perbaikan dan akan diluncurkan dalam pembaruan yang akan datang pada jutaan perangkat yang telah terjual secara global.

Untuk menjalankan peretasan, Avraham mengatakan para korban akan dikirimi pesan email yang tampaknya kosong melalui aplikasi Mail yang memaksa crash dan reset. Kecelakaan itu membuka pintu bagi peretas untuk mencuri data lain pada perangkat, seperti foto dan detail kontak.

ZecOps mengklaim bahwa kerentanan memungkinkan peretas untuk mencuri data pada iPhone dari jarak jauh meskipun mereka menjalankan versi terbaru iOS. Dengan sendirinya, kelemahan tersebut dapat memberikan akses ke apa pun yang dapat diakses aplikasi Mail, termasuk pesan rahasia.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Reuters

Bagaimana Anda Akan Mendapatkan Pembaruan ”Contact Tracking” dari Apple dan Google Untuk Ponsel Anda

by

Apple dan Google bekerja sama dalam upaya besar untuk menghentikan penyebaran COVID-19 yang menggunakan sinyal dari ponsel orang untuk memperingatkan mereka jika mereka telah melakukan kontak dengan seseorang yang dites positif terkena penyakit tersebut.

Proyek gabungan ini mengambil keuntungan dari dua sistem operasi paling populer di dunia – Apple iOS dan Google Android – untuk berpotensi menjangkau miliaran orang.  Alat tersebut akan menggunakan teknologi radio Bluetooth untuk mendukung aplikasi yang akan dikembangkan oleh otoritas kesehatan masyarakat. Google dan Apple akan mulai merilis pembaruan pada bulan Mei, kata raksasa teknologi itu saat briefing bersama pada hari Senin.

Untuk Google, pembaruan untuk mengaktifkan alat pelacakan tidak akan seperti upgrade sistem operasi normal. Alih-alih itu akan datang melalui seperangkat alat yang disebut Google Play Services, yang memungkinkan Android menghindari beberapa masalah fragmentasi dengan mendorong pembaruan secara langsung, tanpa persetujuan perangkat dan mitra nirkabel. Alat pelacak kontak akan tersedia untuk ponsel yang menjalankan perangkat lunak setua Android Marshmallow, versi sistem operasi yang dirilis pada 2015.

Sepertinya akan lebih mudah bagi Apple untuk meluncurkan pembaruan iOS untuk semua penggunanya sekaligus daripada Google. Karena Apple mengontrol perangkat keras, perangkat lunak, dan layanan pada iPhone, Apple dapat memastikan pembaruan berfungsi di perangkat yang lebih baru dan meluncurkannya ke semua perangkat sekaligus.

Bertia selengkapnya dapat dibaca pada tautan di bawah;

Source: CNET

Seorang Peretas Menemukan Cara untuk Mengambil alih Webcam Apple

by

Minggu lalu, seorang peneliti keamanan secara terbuka membagikan temuan baru tentang kerentanan yang memungkinkan penyerang mengeksploitasi tiga bug Safari secara berturut-turut dan mengambil alih webcam dan mikrofon target pada perangkat iOS dan MacOS.

Apple telah menambal kerentanan tersebut pada pembaruan Januari dan Maret. Tetapi sebelum perbaikan, jika korban mengeklik satu tautan berbahaya memungkinkan penyerang dapat memata-matai mereka dari jarak jauh.

 

“Safari mendorong penggunanya untuk menyimpan preferensi mereka untuk izin situs (site permission), seperti apakah akan mempercayai Skype dengan akses mikrofon dan kamera,” kata Ryan Pickren, peneliti keamanan yang mengungkap kerentanan ini kepada Apple. “Jadi yang bisa dilakukan penyerang dengan rantai pembantaian ini adalah membuat situs web jahat yang dapat dilihat dari sudut pandang Safari sebagai ‘Skype’. Dan kemudian situs jahat itu akan memiliki semua izin yang sebelumnya Anda berikan ke Skype, yang berarti penyerang bisa memulai untuk mengambil gambar Anda atau nyalakan mikrofon Anda atau bahkan berbagi layar.”

 

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Wired

Aplikasi ZOOM di iOS mengirim data ke Facebook, Bahkan Jika Anda Tidak Memiliki Akun Facebook

by

Ketika orang-orang bekerja dan bersosialisasi dari rumah, perangkat lunak konferensi video Zoom semakin populer. Apa yang tidak dijelaskan oleh perusahaan dan kebijakan privasinya adalah bahwa versi iOS dari aplikasi Zoom mengirimkan beberapa data analitik ke Facebook, bahkan jika pengguna Zoom tidak memiliki akun Facebook, menurut analisis Motherboard.

 

Transfer data semacam ini tidak jarang terjadi, terutama untuk Facebook; banyak aplikasi menggunakan kit software development (SDK) Facebook sebagai sarana untuk mengimplementasikan fitur ke dalam aplikasi mereka dengan lebih mudah, yang juga memiliki efek mengirim informasi ke Facebook. Tetapi pengguna Zoom mungkin tidak menyadari itu terjadi, atau memahami bahwa ketika mereka menggunakan satu produk, mereka mungkin memberikan data ke layanan lain sama sekali.

 

Setelah mengunduh dan membuka aplikasi, Zoom terhubung ke Grafik API Facebook , menurut analisis Motherboard tentang aktivitas jaringan aplikasi. Grafik API adalah cara utama pengembang mendapatkan data masuk atau keluar dari Facebook.

Aplikasi Zoom memberi tahu Facebook ketika pengguna membuka aplikasi, rincian pada perangkat pengguna seperti model, zona waktu dan kota tempat mereka terhubung, operator telepon mana yang mereka gunakan, dan advertiser identifier unik yang dibuat oleh perangkat pengguna yang perusahaan dapat gunakan untuk menargetkan pengguna dengan iklan.

 

Berita selanjutnya dapat dibaca pada tautan di bawah ini;

Source: Vice

 

Apple Mengakui Masalah Hotspot Pribadi yang Mempengaruhi Beberapa Pengguna iOS 13 dan iPadOS 13

by

Apple belum sepenuhnya lolos dari gangguan iOS 13. MacRumors melaporkan telah memperoleh dokumen dukungan yang mengakui masalah koneksi yang sedang berlangsung dengan fitur Hotspot Pribadi di iOS 13 dan iPadOS 13-nya. 

 

Pengguna yang terkena dampak, jaringannya sering terputus atau tidak dapat terhubung sama sekali – masalah yang signifikan jika Anda mengandalkan hotspot perangkat Anda sebagai koneksi cadangan. Tidak pasti kapan masalah ini pertama kali terjadi, meskipun pengguna iPhone dan iPad telah melaporkan masalah nya.

 

Untuk solusi sementara Anda dapat mengatasi masalah ini dengan mematikan Hotspot Pribadi lalu menghidupkannya lagi. Kemungkinan ada perbaikan dalam pembaruan perangkat lunak di masa mendatang, tetapi tidak jelas apakah masalah telah diselesaikan di iOS 13.4, dan catatan rilis GM terbaru tidak menyebutkan perbaikan Hotspot Pribadi.

 

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Endgadget