September 27, 2022

Para peneliti dari Institut Teknologi New Jersey pekan lalu merilis rincian serangan baru yang ditargetkan yang dapat mengungkapkan identitas pengunjung situs web yang diduga anonim. Ini memungkinkan aktor jahat yang memiliki kendali atas situs web untuk menentukan apakah orang yang ditargetkan secara khusus mengunjunginya. Ini dilakukan dengan menggunakan layanan, seperti YouTube, Google Drive, atau Dropbox, yang memungkinkan pengguna masuk di latar belakang untuk mengidentifikasi ID anonim seperti nama pengguna. Ini adalah serangan yang sulit untuk dilindungi karena tidak bergantung pada hal-hal seperti cookie, sidik jari browser, atau metode biasa apa pun untuk melacak pengunjung situs web, yang mulai diblokir oleh browser seperti Firefox dan Safari.

Serangan ini agak rumit jika Anda tidak mengerti cara kerjanya, jadi mari kita uraikan. Itu bergantung pada penyerang yang memiliki tiga hal:

  • Kontrol atas situs web yang mungkin dikunjungi target mereka (atau ditipu untuk mengunjungi).
  • Alamat email target mereka, akun Facebook, akun Twitter, atau profil lain yang dapat diidentifikasi secara publik.
  • Layanan seperti Facebook, YouTube, Google Drive, atau Dropbox yang memungkinkan dokumen, file, atau apa pun dibagikan dengan pengguna tertentu.

Penyerang harus berasumsi bahwa, seperti kebanyakan pengguna internet, target mereka mungkin tetap masuk ke sebagian besar layanan berbagi sumber daya ini. Bagaimanapun, ini adalah bagaimana Facebook dapat melacak begitu banyak data tentang penggunanya.

[Related: With site-specific ‘cookie jars,’ Firefox hopes to curb user tracking]

Versi serangan yang sederhana akan terlihat seperti ini: Katakanlah, seorang peretas ingin menginstal sesuatu seperti spyware Pegasus di komputer saya tetapi mereka tidak ingin menginstalnya di setiap pengunjung situs web karena mereka khawatir peneliti keamanan akan menemukannya dan menemukan cara untuk mengurangi ancaman. Mereka tahu saya menyukai sains dan teknologi karena saya menulis untuk Ilmu pengetahuan populer, dan mereka tahu alamat email saya karena bersifat publik. Untuk menargetkan saya, mereka dapat membuat situs siaran pers sains palsu (atau lebih baik lagi, memeras atau meretas jalan mereka untuk mengontrol situs yang sah) dan menyematkan Dokumen Google di halaman tersebut. Dokumen disetel agar publik bagi semua orang kecuali satu akun Google yang diblokir—yang terkait dengan alamat email saya.

See also  Mengapa Angkatan Udara tertarik dengan drone Ghost Bat

Jika Anda atau orang lain mengunjungi halaman tersebut, dokumen akan dimuat secara normal. Namun, jika saya mengunjungi halaman tersebut (dan saya masuk ke Gmail di latar belakang), dokumen tidak dimuat. Peretas tidak dapat melihat semua ini tetapi mereka dapat menggunakan Javascript untuk menyelidiki kinerja cache CPU, yang dapat mengukur waktu yang diperlukan untuk membaca data, dan menggunakannya untuk menyimpulkan apakah dokumen sedang dimuat untuk pengguna atau tidak. Setelah mendapatkan kendali penuh atas situs web dan mengasah pengguna yang ditargetkan, mereka dapat menerapkan serangan “zero-click” zero-day untuk menginstal spyware mereka di komputer saya tanpa saya sadari—dan tanpa menginstalnya untuk orang lain secara tidak sengaja. Yang harus mereka lakukan adalah membuat saya mengunjungi situs web tersebut.

Meskipun ini merupakan serangan yang ditargetkan, para peneliti juga menyarankan kemungkinan penggunaan lain yang lebih luas untuk serangan tersebut. Jika FBI menemukan sebuah forum yang digunakan oleh ekstremis anonim dan mampu mengendalikannya (taktik yang mereka gunakan di masa lalu), mereka berpotensi mendeanonim sejumlah pengguna berdasarkan daftar akun Facebook yang dicurigai terkait dengan kelompok.

Ini juga dapat memengaruhi berbagai jenis perangkat dan browser. Para peneliti menggunakannya di beberapa arsitektur CPU desktop dan seluler (termasuk Intel, Apple, dan Qualcomm), sistem operasi (termasuk Windows, macOS, dan Android), browser (termasuk Chrome, Safari, Firefox, dan Tor Browser yang berfokus pada keamanan), dan layanan berbagi sumber daya populer (termasuk Google, Twitter, LinkedIn, TikTok, Facebook, Instagram, dan Reddit). Mereka menyimpulkan bahwa “sebagian besar pengguna Internet rentan.”

Dan bahkan jika Anda tahu Anda rentan, itu masih merupakan serangan yang sulit untuk dicegah. Para peneliti telah menghubungi vendor browser dan layanan berbagi yang terpengaruh, tetapi mengatakan bahwa tidak ada “perbaikan langsung… yang tidak secara dramatis memengaruhi pengalaman menjelajah pengguna.” Untuk sementara, mereka telah merilis plug-in untuk Chrome dan Firefox yang disebut Leakuidator+ yang dapat mengurangi beberapa varian serangan, dengan menghapus data pengidentifikasi pihak ketiga seperti cookie dari setiap permintaan yang berpotensi berisiko.

See also  Apa arti sebenarnya dari suara terburuk komputer Anda

Sementara itu, pengguna dapat mengambil langkah pencegahan dengan tidak memberikan login yang tidak perlu ke layanan berbagi, tidak login ke akun pribadi di perangkat lain seperti komputer kerja atau sebaliknya, dan menggunakan Safari, Tor, Firefox, atau browser lain yang membatasi pihak ketiga. cookie secara default (karena membuat varian serangan tertentu tidak mungkin dilakukan).

Hampir semua langkah ini akan membuat penggunaan internet menjadi kurang menyenangkan dan lebih merepotkan—tetapi itulah pengorbanan yang harus Anda lakukan jika Anda takut menjadi korban serangan canggih yang ditargetkan (dan kemungkinan disponsori negara). Ini adalah jenis peretasan yang dirancang untuk ditangani oleh Mode Penguncian Apple yang baru.