Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for iOS

iOS

Apple merilis iOS 16.0.3

by

Apple terus memperbaiki beberapa bug awal yang memengaruhi iOS 16 serta iPhone 14 dan iPhone 14 Pro. Perusahaan tersebut sekarang meluncurkan iOS 16.0.3, yang mencakup perbaikan bug tambahan dan peningkatan kinerja untuk notifikasi, aplikasi Kamera, dan banyak lagi.

Nomor build untuk pembaruan terbaru adalah 20A392 dan tersedia untuk iPhone apa pun yang mampu menjalankan iOS 16, yang mencakup iPhone 8 dan yang lebih baru.

  • Panggilan masuk dan pemberitahuan aplikasi mungkin tertunda atau tidak terkirim di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Volume mikrofon rendah dapat terjadi selama panggilan telepon CarPlay pada model iPhone 14.
  • Kamera mungkin lambat diluncurkan atau beralih di antara mode di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Email crash saat diluncurkan setelah menerima email yang salah format.

Salah satu hal terbesar yang kami perhatikan adalah apakah iOS 16.0.3 mengatasi keluhan masa pakai baterai yang saat ini membanjiri banyak pengguna iPhone atau tidak.

Selengkapnya: 9to5mac

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Lebih dari 1.800 Aplikasi Android dan iOS Ditemukan Membocorkan Kredensial AWS Hard-Coded

by

Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.

“Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.

Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.

Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.

Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.

Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.

“Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.

Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.

Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.

Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.

Sumber: The Hackernews

VPN untuk iOS Rusak dan Apple Mengetahuinya, Kata Peneliti Keamanan

by

VPN pihak ketiga yang dibuat untuk iPhone dan iPad secara rutin gagal merutekan semua lalu lintas jaringan melalui terowongan aman setelah diaktifkan, sesuatu yang telah diketahui Apple selama bertahun-tahun, klaim peneliti keamanan lama (melalui ArsTechnica).

Menulis di posting blog yang terus diperbarui, Michael Horowitz mengatakan bahwa setelah menguji beberapa jenis perangkat lunak jaringan pribadi virtual (VPN) pada perangkat iOS, sebagian besar tampaknya berfungsi dengan baik pada awalnya, mengeluarkan perangkat alamat IP publik baru dan server DNS baru, dan mengirim data ke server VPN. Namun, seiring waktu terowongan VPN membocorkan data.

Biasanya, ketika pengguna terhubung ke VPN, sistem operasi menutup semua koneksi internet yang ada dan kemudian membangunnya kembali melalui terowongan VPN. Bukan itu yang diamati Horowitz dalam logging router canggihnya. Sebagai gantinya, sesi dan koneksi yang dibuat sebelum VPN dihidupkan tidak dihentikan seperti yang diharapkan, dan masih dapat mengirim data di luar terowongan VPN saat sedang aktif, sehingga berpotensi tidak terenkripsi dan terpapar ke ISP dan pihak lain.
“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Horowitz mengklaim bahwa temuannya didukung oleh laporan serupa yang dikeluarkan pada Maret 2020 oleh perusahaan privasi Proton, yang mengatakan kerentanan bypass VPN iOS telah diidentifikasi di iOS 13.3.1 yang bertahan melalui tiga pembaruan berikutnya ke iOS 13.

Menurut Proton, Apple mengindikasikan akan menambahkan fungsionalitas Kill Switch ke pembaruan perangkat lunak di masa mendatang yang memungkinkan pengembang memblokir semua koneksi yang ada jika terowongan VPN hilang.

Namun, fungsionalitas tambahan tampaknya tidak memengaruhi hasil pengujian Horowitz, yang dilakukan pada Mei 2022 di iPadOS 15.4.1 menggunakan klien VPN Proton, dan peneliti mengatakan saran apa pun yang akan mencegah kebocoran data “tidak aktif. basis.”

Horowitz baru-baru ini melanjutkan pengujiannya dengan iOS 15.6 terinstal dan OpenVPN menjalankan protokol WireGuard, tetapi iPad-nya terus membuat permintaan di luar terowongan terenkripsi ke layanan Apple dan Amazon Web Services.

Seperti dicatat oleh ArsTechnica, Proton menyarankan solusi untuk masalah yang melibatkan pengaktifan VPN dan kemudian menghidupkan dan mematikan mode Pesawat untuk memaksa semua lalu lintas jaringan dibangun kembali melalui terowongan VPN.

Namun, Proton mengakui bahwa ini tidak dijamin berhasil, sementara Horowitz mengklaim mode Pesawat tidak dapat diandalkan, dan tidak boleh diandalkan sebagai solusi untuk masalah tersebut. Kami telah menghubungi Apple untuk mengomentari penelitian dan akan memperbarui posting ini jika kami mendengarnya kembali.

Sumber: MacRumors

VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

by

(Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

Sumber: Ars Technica

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

by

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica