Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Inggris dapat memaksa layanan Facebook mengizinkan akses pintu belakang untuk polisi

by

Para menteri sedang mempertimbangkan untuk memaksa Facebook menerapkan pintu belakang untuk memungkinkan badan keamanan dan polisi membaca konten pesan yang dikirim melalui layanan obrolan Messenger, WhatsApp, dan Instagram.

Sumber industri mengatakan mereka memahami bahwa Kantor Pusat mengancam untuk menggunakan kekuatan hukum khusus yang disebut pemberitahuan kemampuan teknis untuk memaksa Facebook mengembangkan sistem yang memungkinkan penyadapan pesan.

Open Rights Group, sebuah pengawas privasi, mengatakan mereka khawatir bahwa menuntut akses pintu belakang akan berarti “menyerahkan semua pesan pribadi kita ke pemantauan dan pengawasan dengan asumsi bahwa kita semua adalah penjahat”.

Kantor Pusat berpendapat bahwa produk Facebook dapat dieksploitasi oleh para pedofil, dan menggunakan kekhawatiran tentang keselamatan anak untuk menambah tekanan pada perusahaan AS saat mencoba meningkatkan keamanan semua layanannya – khususnya dengan memperluas enkripsi ujung-ke-ujung ke aplikasi Messenger-nya.

Meskipun Departemen Dalam Negeri mengatakan tidak akan berkomentar apakah akan masuk ke Facebook dengan pemberitahuan kemampuan teknis, dengan alasan alasan keamanan nasional, seorang juru bicara menegaskan kembali kekhawatiran pemerintah.

“Enkripsi ujung-ke-ujung menimbulkan risiko yang tidak dapat diterima bagi keselamatan pengguna dan masyarakat. Ini akan mencegah akses apa pun ke konten perpesanan dan sangat mengikis kemampuan perusahaan teknologi untuk menangani konten ilegal paling serius di platform mereka sendiri, termasuk pelecehan anak dan terorisme, ”kata mereka.

selengkapnya : www.theguardian.com

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

by

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Penelitian menunjukkan Google mengumpulkan 20x lebih banyak data dari Android daripada yang dikumpulkan Apple dari iOS

by

Perusahaan teknologi telah berbicara lebih banyak tentang privasi dalam beberapa tahun terakhir, dan Apple dengan bangga mengatakan bahwa mereka melindungi data pengguna lebih dari siapa pun.

Minggu ini, penelitian baru oleh Douglas Leith dari Trinity College menunjukkan bahwa Google mengumpulkan hingga 20 kali lebih banyak data dari pengguna Android dibandingkan dengan data yang dikumpulkan Apple dari pengguna iOS.

Seperti dilansir Ars Technica, penelitian tersebut menganalisis jumlah data telemetri yang dikirimkan langsung ke perusahaan yang bertanggung jawab atas sistem operasi iOS dan Android. Itu tidak hanya memeriksa data yang dikirim ke Apple atau Google melalui aplikasi yang sudah diinstal sebelumnya, tetapi juga selama periode idle.

Hal menarik lainnya dari penelitian ini adalah bahwa iOS dan Android juga mempertimbangkan data yang dikirim dari pengguna yang memilih untuk tidak membagikan informasi apa pun dengan perusahaan dalam pengaturan untuk setiap sistem operasi.

Sementara iOS secara otomatis mengumpulkan data dari Siri, Safari, dan iCloud untuk dikirim ke Apple, Android mendapatkan data dari Chrome, YouTube, Google Docs, Safetyhub, Google Messenger, Jam, dan pencarian, bahkan ketika pengguna tidak masuk ke akun Google. Yang cukup menarik, iOS mengirimkan sekitar 42KB data ke Apple tepat setelah perangkat dinyalakan. Android, di sisi lain, mengirimkan 1MB data ke Google.

Pihak Google menghubungi 9to5Mac dengan pernyataan tentang studi tersebut, yang dapat Anda baca di bawah.

Kami mengidentifikasi kelemahan dalam metodologi peneliti untuk mengukur volume data dan tidak setuju dengan klaim makalah bahwa perangkat Android berbagi data 20 kali lebih banyak daripada iPhone. Menurut penelitian kami, temuan ini tidak sesuai urutan besarnya, dan kami membagikan masalah metodologi kami dengan peneliti sebelum dipublikasikan.

Penelitian ini sebagian besar menguraikan cara kerja smartphone. Mobil modern secara teratur mengirimkan data dasar tentang komponen kendaraan, status keselamatan dan jadwal servisnya ke produsen mobil, dan telepon seluler berfungsi dengan cara yang sangat mirip. Laporan ini merinci komunikasi tersebut, yang membantu memastikan bahwa perangkat lunak iOS atau Android adalah yang terbaru, layanan berfungsi sebagaimana mestinya, dan bahwa telepon aman dan berjalan secara efisien.

Selengkapnya: 9to5mac

Google menghapus ekstensi Chrome ClearURL yang berfokus pada privasi

by

Google secara misterius telah menghapus ClearURL, ekstensi browser populer, dari Toko Web Chrome.

ClearURLs adalah add-on browser yang menjaga privasi yang secara otomatis menghapus elemen pelacakan dari URL. Ini, menurut pengembangnya, dapat membantu melindungi privasi Anda saat menjelajah Internet.

ClearURLs adalah add-on browser web yang tersedia untuk Google Chrome dan Mozilla Firefox yang bertugas menghapus bit pelacakan dari URL.

Banyak situs web memiliki URL yang sangat panjang dengan parameter tambahan yang tidak memiliki nilai fungsional tetapi hanya digunakan untuk tujuan pelacakan.

Menariknya, URL hasil pencarian Google juga menggunakannya.

Saat mengklik hasil pencarian gambar, misalnya, Google tidak langsung mengirim Anda ke URL asli halaman webnya, melainkan URL perantara yang mengarahkan Anda.

Bleeping Computer memberi contoh:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bleepingcomputer.com%2F&psig=AXXXXXYAWa
&ust=1616XXXXXXX&source=images&cd=vfe&ved=0CXXXXe-p3XXX

Parameter tambahan pada URL di atas (ved, cd, dll.) Hanya melacak bit dan perujuk yang digunakan untuk analitik.

ClearURLs dirancang untuk menyaring parameter pelacakan tersebut dari URL dan meningkatkan privasi online pengguna.

Namun, pengguna melihat ClearURL menghilang dari Toko Web Chrome dengan lamannya menampilkan pesan kesalahan 404 (tidak ditemukan).

Pengembang mengajukan banding ke Google agar tidak memblokir ekstensi dan mendapat respon dari Google.

Dalam salinan email yang dibagikan oleh pengembang, Google mengklaim bahwa deskripsi ekstensi “terlalu mendetail” dan melanggar aturan Toko Web Chrome.

Selengkapnya: Bleeping Computer

Broker perdagangan online FBS mengekspos 20TB data dengan 16 miliar catatan

by

Tim peneliti keamanan di WizCase yang dipimpin oleh Ata Hakcil menemukan banyak sekali data milik FBS, broker perdagangan online terkemuka yang berkantor di Belize dan Siprus.

FBS adalah rumah bagi 16 juta pedagang dan 400.000 mitra dari lebih 190 negara.

Menurut para peneliti, FBS mengekspos hampir 20 terabyte data yang terdiri lebih dari 16 miliar catatan. Hasilnya, jutaan pelanggan FBS dapat mengakses informasi pribadi dan sensitif mereka secara online.

Perlu dicatat bahwa data dibiarkan terbuka untuk akses publik di server Elasticsearch tanpa otentikasi keamanan. Ini berarti bahwa siapa pun yang memiliki pengetahuan tentang basis data yang tidak aman dapat mengunduh data tanpa memerlukan kata sandi.

Data yang bocor, yang dianalisis secara menyeluruh oleh tim WizCase meliputi:

  • Negara
  • Alamat
  • Nama lengkap
  • Alamat IP
  • Alamat email
  • Nomor telepon
  • Nomor paspor
  • Sistem operasi
  • Model perangkat seluler
  • Email dikirim ke pengguna FBS
  • ID media sosial termasuk Facebook dan Google

Yang lebih buruk adalah perusahaan juga mengungkap file yang dikirim oleh pengguna untuk verifikasi akun atau konfirmasi identitas. Ini termasuk:

  • Foto pribadi
  • Surat Izin Mengemudi
  • Akta kelahiran
  • Laporan bank
  • Kartu ID Nasional
  • Kartu kredit yang belum disetujui

Selengkapnya: Hackread

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

by

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet

Google Mengungkapkan Data Pribadi yang Dikumpulkan Chrome dan Aplikasinya tentang Anda

by

Mesin pencari yang berfokus pada privasi, DuckDuckGo, menyebut saingannya Google karena “memata-matai” pengguna setelah raksasa pencarian itu memperbarui aplikasi andalannya untuk menjelaskan jenis informasi yang tepat yang dikumpulkannya untuk tujuan personalisasi dan pemasaran.

“Setelah berbulan-bulan terhenti, Google akhirnya mengungkapkan berapa banyak data pribadi yang mereka kumpulkan di Chrome dan aplikasi Google. Tidak heran mereka ingin menyembunyikannya,” kata perusahaan itu dalam tweet. “Memata-matai pengguna tidak ada hubungannya dengan membuat browser web atau mesin telusur yang hebat.”

“privacy nutrition labels” adalah bagian dari kebijakan baru yang mulai berlaku pada 8 Desember 2020, yang mewajibkan pengembang aplikasi untuk mengungkapkan praktik pengumpulan data mereka dan membantu pengguna memahami bagaimana informasi pribadi mereka digunakan.

Sindiran dari DuckDuckGo muncul karena Google terus menambahkan label privasi aplikasi ke aplikasi iOS-nya selama beberapa minggu terakhir sesuai dengan aturan App Store Apple, tetapi tidak sebelum penundaan selama tiga bulan yang menyebabkan sebagian besar aplikasinya. untuk pergi tanpa diperbarui, memberikan kepercayaan pada teori bahwa perusahaan telah menghentikan pembaruan aplikasi iOS sebagai konsekuensi dari penegakan Apple.

Dimulai dengan iOS 14, aplikasi pihak pertama dan ketiga tidak hanya harus memberi tahu pengguna informasi apa yang mereka kumpulkan, tetapi juga mendapatkan izin untuk melakukannya. Label privasi bertujuan untuk menyingkat praktik pengumpulan data aplikasi dalam format yang mudah dipahami dan ramah pengguna tanpa menjelaskan secara detail tentang tujuan penggunaan data tersebut.

Analisis praktik pengumpulan data aplikasi oleh perusahaan penyimpanan cloud pCloud yang dirilis awal bulan ini menemukan bahwa 52% aplikasi berbagi data pengguna dengan pihak ketiga, dengan 80% aplikasi menggunakan data yang dikumpulkan untuk “memasarkan produk mereka sendiri di aplikasi” dan menayangkan iklan di platform lain.

https://thehackernews.com/2021/03/google-to-reveals-what-personal-data.html

selengkapnya : TheHackernews

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

by

Pembuat undang-undang dan lembaga penegak hukum di seluruh dunia, termasuk di Amerika Serikat, semakin menyerukan backdoor dalam skema enkripsi yang melindungi data Anda, dengan alasan bahwa keamanan nasional dipertaruhkan.

Tetapi penelitian baru menunjukkan pemerintah sudah memiliki metode dan alat yang, baik atau buruk, memungkinkan mereka mengakses smartphone yang terkunci berkat kelemahan dalam skema keamanan Android dan iOS.

Kriptografer di Universitas Johns Hopkins menggunakan dokumentasi yang tersedia untuk umum dari Apple dan Google serta analisis mereka sendiri untuk menilai kekuatan enkripsi Android dan iOS.

Saat Anda mengunci ponsel dengan kode sandi, kunci sidik jari, atau kunci pengenalan wajah, ini mengenkripsi konten pada perangkat. Bahkan jika seseorang mencuri ponsel Anda dan menarik datanya, mereka tidak akan mendapatkan apapun. Mendekode semua data akan membutuhkan kunci yang hanya dibuat ulang saat Anda membuka kunci ponsel dengan kode sandi, atau pengenalan wajah atau jari. Dan ponsel cerdas saat ini menawarkan banyak lapisan perlindungan ini dan kunci enkripsi yang berbeda untuk berbagai tingkat data sensitif.

Dengan semua pemikiran itu, para peneliti berasumsi akan sangat sulit bagi penyerang untuk menemukan salah satu kunci itu dan membuka kunci sejumlah data. Tapi bukan itu yang mereka temukan.

Saat iPhone dimatikan dan dinyalakan, semua data berada dalam status yang disebut Apple “Perlindungan Lengkap”. Anda masih bisa dipaksa untuk membuka kunci ponsel Anda, tentu saja, tetapi alat forensik yang ada akan kesulitan menarik data yang dapat dibaca darinya.

Namun, setelah Anda membuka kunci ponsel Anda pertama kali setelah reboot, banyak data berpindah ke mode yang berbeda — Apple menyebutnya “Protected Until First User Authentication”, tetapi peneliti sering menyebutnya “After First Unlock” (AFU). Jadi seberapa efektif keamanan AFU? Di situlah para peneliti mulai khawatir.

Perbedaan utama antara Complete Protection dan AFU berkaitan dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Saat data dalam status Complete Protection, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan dalam memori akses cepat, bahkan saat ponsel terkunci. Pada titik ini, penyerang dapat menemukan dan mengeksploitasi jenis kerentanan keamanan tertentu di iOS untuk mengambil kunci enkripsi yang dapat diakses di memori dan mendekripsi potongan besar data dari ponsel.

Para peneliti menemukan bahwa Android memiliki pengaturan yang mirip dengan iOS dengan satu perbedaan penting. Jika Apple memberikan opsi bagi pengembang untuk menyimpan beberapa data di bawah kunci Complete Protection yang lebih ketat sepanjang waktu — sesuatu yang mungkin diterapkan oleh aplikasi perbankan — Android tidak memiliki mekanisme itu setelah membuka kunci pertama. Alat forensik yang mengeksploitasi kerentanan yang tepat dapat mengambil lebih banyak kunci dekripsi, dan pada akhirnya mengakses lebih banyak data, di ponsel Android.

Untuk memahami perbedaan dalam status enkripsi ini, Anda dapat melakukan sedikit demo untuk diri Anda sendiri di iOS atau Android. Saat teman Anda menelepon ponsel Anda, namanya biasanya muncul di layar panggilan karena ada di kontak Anda. Tetapi jika Anda me-restart perangkat Anda, tidak membuka kunci terlebih dahulu, dan kemudian teman Anda menelepon Anda, hanya nomor mereka yang akan muncul, bukan nama mereka. Itu karena kunci untuk mendekripsi data buku alamat Anda belum ada di memori.

Selengkapnya: Wired