IoT

Fitbit Spyware Mencuri Data Pribadi melalui Watch Face

October 12, 2020 by Winnie the Pooh

Immersive Labs Researcher memanfaatkan kontrol privasi Fitbit yang lemah untuk membuat tampilan jam spyware yang berbahaya.

Sebuah API pembuatan aplikasi yang terbuka lebar akan memungkinkan penyerang membuat aplikasi berbahaya yang dapat mengakses data pengguna Fitbit, dan mengirimkannya ke server mana pun.

Kev Breen, direktur penelitian ancaman dunia maya untuk Immersive Labs, membuat bukti konsep untuk skenario itu, setelah menyadari bahwa perangkat Fitbit dimuat dengan data pribadi yang sensitif.

“Pada dasarnya, [API pengembang] dapat mengirimkan jenis perangkat, lokasi, dan informasi pengguna termasuk jenis kelamin, usia, tinggi, detak jantung, dan berat badan,” jelas Breen. “Itu juga bisa mengakses informasi kalender. Meskipun ini tidak termasuk data profil PII, undangan kalender dapat memperlihatkan informasi tambahan seperti nama dan lokasi.”

Upaya Breen menghasilkan tampilan jam yang berbahaya, yang kemudian dapat dia sediakan melalui Galeri Fitbit (tempat Fitbit memamerkan berbagai aplikasi pihak ketiga dan internal). Jadi, spyware tampak sah, dan meningkatkan kemungkinan diunduh.

Breen juga menemukan bahwa fetch API Fitbit memungkinkan penggunaan HTTP ke rentang IP internal, yang disalahgunakannya untuk mengubah tampilan jam berbahaya menjadi pemindai jaringan primitif.

“Dengan fungsi ini, tampilan jam kami bisa menjadi ancaman bagi perusahaan,” katanya. “Ini dapat digunakan untuk melakukan apa saja mulai dari mengidentifikasi dan mengakses router, firewall, dan perangkat lain, hingga brute-forcing password dan membaca intranet perusahaan – semuanya dari dalam aplikasi di ponsel.”

Setelah menghubungi Fitbit tentang masalah tersebut, Breen mengatakan bahwa perusahaan tersebut responsif dan berjanji untuk melakukan perubahan yang diperlukan untuk mengurangi pelanggaran di masa depan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Botnet HEH baru dapat menghapus router dan perangkat IoT

October 7, 2020 by Winnie the Pooh

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Peringatan! Steker pintar ini dapat diretas dan menyalakan api

October 6, 2020 by Winnie the Pooh

Sebuah studi baru-baru ini menemukan beberapa kelemahan keamanan utama dengan steker pintar yang diuji. Jika Anda menggunakan steker pintar di rumah, Anda mungkin ingin mencatat masalahnya.

Organisasi yang berbasis di Inggris, Which?, baru-baru ini menyelesaikan studi tentang steker pintar, dan apa yang ditemukan cukup mengganggu.

Ternyata beberapa steker pintar murah yang ditemukan di pasar online dapat datang dengan masalah keamanan kritis yang membuat Anda rentan terhadap peretas. Lebih buruk lagi? Beberapa kekurangan desain bahkan dapat memicu kebakaran.

Sebagai bagian dari studi, Which? membeli 10 steker pintar dari pengecer online populer untuk pengujian.

Mulai dari merek populer seperti TP-Link dan Hive hingga merek yang kurang terkenal seperti Hictkon, Meross, dan Ajax Online. Sembilan dari 10 steker pintar yang diuji memiliki masalah, dan total 13 kerentanan ditemukan secara bersamaan.

Steker pintar dengan masalah keamanan:

Hictkon Smart Plug

Masalah utamanya adalah steker yang dirancang dengan buruk menimbulkan risiko kebakaran, terutama untuk rumah dengan kabel yang lebih tua. Jika Anda menggunakan steker pintar ini, Which? merekomendasikan Anda untuk mencabutnya dan segera berhenti menggunakannya.

Steker pintar dengan masalah keamanan:

TP Link Kasa Smart Plug

Masalah utama adalah Cacat keamanan kritis dapat memungkinkan peretas untuk mengambil kendali penuh atas steker dan daya yang mengalir ke perangkat yang terhubung. Kerentanan khusus ini adalah hasil dari enkripsi yang lemah. Menurut Which?, TP-Link telah mengembangkan perbaikan untuk masalah dengan steker pintar Kasa. Patch akan diluncurkan bulan ini (Oktober).

Meross Smart Plug

Masalah utama yang diidentifikasi Which? adalah bahwa sandi Wi-Fi pengguna tidak dienkripsi selama penyiapan steker pintar. Itu berarti seorang peretas dapat, secara teori, mencuri mereka dan menggunakan koneksi Wi-Fi atau membahayakan perangkat lain. Meross memberi tahu Which? bahwa mereka akan bekerja untuk memperbaiki masalah tersebut, tetapi belum ada tanggal untuk perbaikan yang telah dicatat.

Untuk beberapa kerentanan pada steker pintar yang lain dapat di baca pada tautan di bawah ini;
Source: Komando

Pemerintah Australia merilis kode praktik keamanan siber IoT sukarela

September 4, 2020 by Winnie the Pooh

Pemerintah Australia telah merilis kode praktik sukarela untuk mengamankan Internet of Things (IoT) di Australia.

Kode Praktik sukarela ini dimaksudkan untuk memberikan panduan praktik terbaik kepada industri tentang cara merancang perangkat IoT dengan fitur keamanan siber.

Ini didasarkan pada 13 prinsip, dan berlaku untuk semua perangkat IoT yang terhubung ke internet untuk mengirim dan menerima data di Australia, termasuk “perangkat sehari-hari seperti lemari es pintar, televisi pintar, monitor bayi, dan kamera keamanan”.

“Perangkat yang terhubung ke internet semakin menjadi bagian dari rumah dan bisnis warga Australia dan banyak dari perangkat ini memiliki fitur keamanan yang buruk sehingga pemiliknya dapat terkompromi,” kata Menteri Dalam Negeri Peter Dutton.

Di samping kode praktik, Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) telah merilis panduan untuk membantu produsen menerapkan kode praktik IoT.

Berita selengkapnya:
Source: ZDNet

Patch Segera ! Router Asus dapat direflash menggunakan Malware

July 25, 2020 by Winnie the Pooh

Jika Anda memiliki router ASUS RT-AC1900P, perangkat high-end dan berbandwidth tinggi maka segera lakukan pembaruan sekarang, Pasalnya para peneliti di Trustwave menemukan celah keamanan di firmware router ini pada akhir tahun 2019, yang tidak ditanggapi penuh oleh ASUS, dan para peneliti sekarang mempublish bagaimana melakukan mitigasi terhadap celah keamanan ini.

Ironisnya, bug yang terkait dengan pembaruan firmware router, sehingga pembaruan ini menambal sistem pembaruan itu sendiri. Trustwave menemukan dua kerentanan, CVE-2020-15498 dan CVE-2020-15499, yang memungkinkan penjahat melakukan serangan ganda :

Pembaruan asli ini tidak akan melakukan pengecekan digital signature selama pengunduhan. Secara teori, penjahat bisa membuat pembaruan palsu dan mengalahkan pembaruan yang asli.
Terdapat catatan rilis dengan JavaScript pada pembaruan yang akan dijalankan browser Anda tanpa peringatan. Secara teori, penjahat bahkan tidak perlu firmware palsu untuk meluncurkan serangan.

Yang Harus Anda Lakukan

Cek dan Update firmware anda, menurut Trustwave, bug ini diperbaiki jika versi software anda 3.0.0.4.385_20253 keatas.

Jika anda seorang programmer IOT :

Jangan menggunakan kriptografi sebagai jalan pintas. Jika HTTPS anda mermasalah, jangan matikan pengecekan Sertifikat

Cek penggunaan kriptografi secara berkala. Gunakan kriptografi yang terbaru, jangan pernah menggunakan kriptografi model lama karena dengan berkembangnya teknologi, hacker dengan mudah meretas itu.

Validasi semua inputmu. Selalu berhati-hati dengan booby-trapped input, Contoh menggunakan string yang terlalu panjang,atau mengandung karakter yuang tidak diperbolehkan. Jangan beri kesempatan pada attacker untuk melakukan Buffer Overflow.

Source : Sophos

Perangkat IoT adalah mimpi buruk keamanan siber

March 13, 2020 by Winnie the Pooh

Palo Alto Networks telah merilis laporan IoT Threat 2020 dan mengungkapkan bahwa sekitar 98% lalu lintas yang dikirim oleh perangkat internet-of-things (IoT) tidak terenkripsi, memperlihatkan sejumlah besar data pribadi dan rahasia kepada penyerang.

Terlebih lagi, sebagian besar jaringan mencampurkan perangkat IoT dengan aset TI yang lebih tradisional seperti laptop, desktop, dan perangkat seluler, yang mengekspos jaringan tersebut terhadap malware dari kedua ujungnya: perangkat IoT yang rentan dapat menginfeksi PC; dan laptop yang belum diperbarui atau dipasang patch dapat memberikan akses penyerang ke perangkat IoT – dan sejumlah besar data yang dapat dijual.

Laporan itu juga berfokus pada industri kesehatan dan menemukan situasi keamanan yang benar-benar mengkhawatirkan: sekitar 83% perangkat medis dijalankan pada sistem operasi yang tidak didukung; meningkat drastis 56% dari dua tahun yang lalu karena akhir dukungan untuk Windows 7. Membuat rumah sakit “rentan terhadap serangan yang dapat mengganggu perawatan atau mengekspos informasi medis yang sensitif,” laporan itu menyampaikan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: The Register | Unit42 Palo Alto Networks

Peneliti di Check Point menggunakan celah pada perangkat IoT untuk masuk ke jaringan pemilik

February 6, 2020 by Winnie the Pooh

Para peneliti di check point telah memberi bukti nyata adanya “Drive-by” hacking. Mereka menemukan kerentanan pada teknologi sehari-hari disekitar kita yang dapat membuat celah untuk hacker untuk mengambil alih perangkat korban dan masuk ke jaringan mereka. Dan perangkat yang mereka test telah terjual puluhan juta di seluruh dunia, yaitu bola lampu pintar.

Dalam laporannya, Check Point mengatakan mereka menggunakan bola lampu sebagai platform untuk mengambil alih jembatan kontrol pada bola lampu sepenuhnya.

Cek bagaimana pengambilalihan itu terjadi pada video di bawah

Ini peringatannya. Lonjakan perangkat IoT yang murah seperti bohlam, colokan, lemari es, tempat sampah, pemanggang roti. Semakin murah mereka, semakin besar resikonya.

Buka link dibawah ini untuk membaca berita selengkapnya!

Source: Forbes

Perangkat IoT Membahayakan Jaringan Perusahaan

February 5, 2020 by Winnie the Pooh

Karyawan seringkali membawa perangkat Internet of Things (pelacak kebugaran, jam tangan pintar, perangkat medis dan banyak lagi) mereka ke tempat kerja dan dapat membahayakan organisasi dari serangan cyber karena tim keamanan perusahaan tidak selalu menyadari bahwa perangkat ini terhubung ke jaringan perusahaan.

Menghubungkan produk-produk ini ke jaringan perusahaan semakin menjadi hal yang biasa dilakukan bagi karyawan, namun sementara itu memberikan kenyamanan bagi pengguna, peningkatan penggunaan perangkat yang terhubung ke internet, terutama yang tidak dikenal organisasi, membawa risiko lebih tinggi dari serangan siber dan peretasan.

Sudah banyak yang mengetahui bahwa produsen IoT mengirimkan perangkat yang sangat tidak aman – dan kadang-kadang produk mereka tidak pernah menerima tambalan (patch) apapun karena pengguna tidak mengetahui cara menerapkannya, atau perusahaan tidak pernah mengeluarkannya.

Hal ini tidak hanya membuat produk IoT berpotensi rentan untuk dikompromikan dan diubah menjadi botnet, perangkat IoT yang tidak aman yang terhubung ke jaringan perusahaan juga dapat memungkinkan peretas menggunakan sesuatu yang sepele seperti pelacak kebugaran atau jam pintar sebagai titik masuk ke dalam jaringan.

Klik link dibawah ini untuk membaca berita selengkapnya

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

IoT

Steker pintar dengan masalah keamanan:

Steker pintar dengan masalah keamanan:

Yang Harus Anda Lakukan

Cookies Settings