Minggu Keamanan 27: Privasi Clipboard iOS

Rilis iOS 14 beta untuk perangkat seluler iPhone mengungkapkan masalah privasi clipboard di beberapa aplikasi. Versi terbaru dari OS memperingatkan pengguna ketika aplikasi membaca informasi dari buffer. Ternyata cukup banyak aplikasi yang melakukan ini. Perilaku ini jelas ditunjukkan dalam video di bawah ini: beralih ke aplikasi, dan segera menyalin informasi.





Dalam konteks ini, aplikasi TikTok paling sering dibahas minggu lalu. Pengembang layanan ini bereaksi dengan cara yang diharapkan: ini bukan bug, tetapi fitur. Permintaan clipboard biasa (bukan saat startup, tetapi terus-menerus ketika memasukkan teks) diimplementasikan untuk mengidentifikasi spammer memposting teks yang sama berkali-kali. Antispam akan dihapus dari aplikasi dengan pembaruan berikut. Meskipun tidak ada ancaman langsung terhadap keamanan data pengguna, akses yang tidak terkontrol membawa risiko privasi tertentu. Omong-omong, "berita" itu tidak sepenuhnya baru: perilaku aneh aplikasi diselidiki kembali pada bulan Maret tahun ini.





Video dalam tweet di atas menunjukkan perilaku aplikasi TikTok: ketika pengguna mengetik pesan, ia membaca buffer setiap kali spasi atau tanda baca dimasukkan. Penjelasan terperinci tentang masalah di situs web ArsTechnica menjelaskan mengapa perilaku aplikasi seperti itu bisa berbahaya. Jelas bahwa kata sandi, informasi pembayaran, dan data sensitif pengguna lainnya melewati buffer. Tetapi ada fitur lain dari ekosistem Apple: jika smartphone terletak di dekat komputer desktop berdasarkan macOS, mereka memiliki clipboard umum. Informasi yang disalin dari buffer tidak terhapus dan tetap ada sampai operasi berikutnya. Ternyata itu tersedia untuk pengembang aplikasi populer, dan jika bukan untuk inovasi di iOS 14, tidak ada yang akan tahu tentang perilaku seperti itu.



Lebih tepatnya, hanya para ahli yang akan tahu. Kembali pada bulan Maret, sebuah penelitian diterbitkan di mana beberapa lusin aplikasi dengan perilaku serupa diidentifikasi. Di antara mereka yang mengakses clipboard terlihat appa dari media populer, game, aplikasi untuk menunjukkan prakiraan cuaca. Pengambilan clipboard kadang-kadang digunakan untuk kenyamanan pengguna: misalnya, ketika Anda masuk ke akun Anda, pesan dikirimkan kepada Anda dengan kode. Anda menyalin kode, dan secara otomatis "mengambil" ketika Anda kembali ke aplikasi.



Tapi ini sepenuhnya fungsionalitas opsional, dan tidak sepenuhnya jelas mengapa bola dan golf memiliki akses ke clipboard. Jelas, dalam semua aplikasi yang disebutkan, pembacaan buffer diimplementasikan "untuk kenyamanan pengguna" atau, setidaknya, untuk kenyamanan pengembang. Tidak diketahui apa yang terjadi selanjutnya dengan data yang disalin. Berbicara sepenuhnya tentang malware, intersepsi clipboard adalah fitur standar untuk mencuri informasi pengguna, kadang-kadang secara langsung diarahkan untuk mengenali dan mencuri data kartu kredit.



Tabrakan yang menarik terungkap: clipboard, menurut definisi, harus tersedia untuk semua orang. Ini hampir pos terdepan kebebasan dan interaksi dalam sistem operasi seluler modern, di mana semakin jauh, aplikasi yang lebih ketat diisolasi dari satu sama lain dan dari data pengguna. Tapi akses tanpa pertimbangan ke buffer, ketika pengguna tidak akan menyalin dan menempel apa pun, juga bukan praktik terbaik. Ada kemungkinan bahwa pengembang harus mengubah sesuatu dalam aplikasi mereka. Jika tidak, setidaknya dengan rilis iOS 14, pengguna akan melihat banyak jenis notifikasi yang sama tentang akses ke clipboard.



Apa lagi yang terjadi



Google Analytics dapat digunakan untuk mengumpulkan dan mengekstrak data pengguna. Seorang ahli di Kaspersky Lab mem-parsing serangan nyata menggunakan layanan analitik.



Pembaruan driver Nvidia (versi 451.48 untuk sebagian besar kartu grafis GeForce) menutup kerentanan serius, termasuk eksekusi kode arbitrer.





Hasil menarik dari penelitian tentang database miliaran kata sandi yang dikumpulkan dari kebocoran. Total 168 juta kata sandi unik diperoleh. Kurang dari 9% kata sandi hadir hanya sekali, yaitu sebagian besar kata sandi kemungkinan besar akan digunakan kembali. Hampir sepertiga kata sandi terdiri dari huruf dan tidak mengandung angka atau karakter khusus.



Artikel tentang serangan NotPetya 2017 terhadap perusahaan pengiriman Maersk oleh orang dalam TI.



Kongres AS berlanjutdiskusi tentang undang-undang yang menyediakan keberadaan "pintu belakang" dalam sistem enkripsi pada perangkat pengguna. Pendekatan ini dikritik oleh para ahli kriptografi: Anda tidak dapat melemahkan perlindungan hanya untuk kepentingan lembaga penegak hukum. Kemampuan untuk mendekripsi data menggunakan "kunci rahasia" pada akhirnya mungkin tersedia untuk semua orang.



Pada 25 Juni, Akamai melaporkanuntuk mencegah salah satu serangan DDoS terbesar. Artikel ini juga mengusulkan metode baru untuk mengukur kekuatan serangan: dalam "paket per detik". Inovasi semacam itu diperlukan karena sifat-sifat serangan: masing-masing sistem serangan tidak mencoba untuk "menyumbat" saluran penyedia dengan lalu lintas, tetapi mengirimkan paket data kecil hanya dengan ukuran satu byte. Pada saat yang sama, permintaan sampah dikirim dengan intensitas tinggi: hingga 809 juta permintaan per detik. Database 40 juta pasangan "telepon masuk" pada messenger Telegram masuk ke



akses terbuka . Di antara pengguna yang masuk ke database, 30% berasal dari Rusia. Kemungkinan besar, basis data dikumpulkan dengan menyalahgunakan fungsi standar messenger, yang memungkinkan Anda menemukan pengguna berdasarkan nomor telepon, jika dicatat dalam buku alamat.



All Articles