Selama seminggu terakhir, tiga berita tentang lubang keamanan non-sepele diambil sekaligus. Tahun ini kami sudah memiliki
masalah tentang hal ini , kemudian kami mempelajari kegagalan hard drive dengan bantuan
menjerit suara dan pencurian data pribadi melalui bug di CSS. Hari ini kita akan berbicara tentang fitur-fitur pengenalan sidik jari di smartphone Android, serangan terhadap GMail melalui satu tempat dan pembunuhan Skype menggunakan emoji.
Mari kita mulai dengan sidik jari. Pemindai sidik jari pada ponsel cerdas adalah salah satu dari sedikit fitur perangkat modern yang benar-benar membuat hidup lebih nyaman. Ini memberikan perlindungan yang wajar untuk ponsel Anda dari gangguan dan memungkinkan Anda untuk membuka kunci perangkat dengan satu sentuhan. Pabrikan smartphone belum memutuskan lokasi pemindai: tergantung pada modelnya, ia bergerak dari panel depan ke panel samping, bergerak di sekitar kamera, dan Apple sepenuhnya memotong pemindai yang mendukung pengenalan wajah. Peneliti China Tencent telah menemukan kerentanan dalam versi terbaru dari pemindai sidik jari, yang terletak tepat di bawah layar.
Perwakilan Xuanwu Lab, salah satu unit penelitian Tencent, mengklaim bahwa semua ponsel yang dilengkapi dengan pemindai sidik jari di bawah layar rentan, (
berita ). Ini adalah model-model terbaru, tahun depan teknologi ini diharapkan di hampir semua flagships. Di antara smartphone yang rentan adalah Huawei Mate 20 Pro dan Porsche Design Mate RS, tetapi pabrikan ini telah merilis tambalan untuk perangkat ini. Kerentanan pada model lain (Vivo, OnePlus dan Xiaomi memiliki telepon dengan pemindai di layar) belum dikonfirmasi, tetapi belum juga dibantah.
Semua pemindai yang ada dari jenis ini berfungsi bersama dengan tampilan. Ketika pemakai meletakkan jari di layar, layar menyorot permukaan, dan sensor optik miniatur menganalisis sidik jari. Masalahnya justru metode pengenalan optik, berbeda dari sensor kapasitif yang digunakan dalam scanner konvensional. Sensor optik, ternyata, cukup sensitif untuk mengenali bukan jari, tetapi sidik jari di permukaan layar. Akibatnya, meretas telepon menjadi mudah: kami menunggu pemilik meletakkan jarinya di layar, memilih telepon, menerapkan selembar kertas ke sidik jari yang tersisa di layar - dan di sini kami berwenang. Dalam kasus Huawei, mudah untuk memecahkan masalah: mereka memperbarui algoritma pengenalan, tampaknya, menurunkan sensitivitas.
Gmail - spoiler - tidak diretas. Peneliti Tim Cotten pekan lalu menemukan (
berita ,
posting blog spesialis ) metode menempatkan huruf dalam folder Item Terkirim. Semuanya dimulai dengan fakta bahwa Tim menemukan dalam surat folder Item Terkirim yang jelas tidak dia kirim. Ternyata, jika, ketika mengirim surat, tunjukkan dalam informasi tentang pengirim e-mail penerima, GMail akan secara otomatis memasukkan surat ke folder yang sesuai.
Patut dicatat bahwa GMail sendiri tidak mengizinkan pengiriman surat jika nama pengirim berisi alamat email. Tetapi ketika pesan tersebut tiba dan alamat atas nama pengirim cocok dengan alamat penerima, mereka muncul di folder dengan pesan yang dikirim. Hal ini dapat menyebabkan setidaknya kebingungan, tetapi trik yang rumit juga dapat meningkatkan peluang bahwa pengguna yang tidak berpengalaman akan membuka tautan jahat dari email, mencoba memahami apa yang ia kirim. Peneliti yang sama kemudian
menemukan bahwa jika Anda mencoba menyisipkan tag html di nama pengirim, Anda dapat mencapai pesan di kotak masuk yang tidak memiliki pengirim sama sekali.
Akhirnya, SEC Consult Vulnerability Lab
menemukan bug yang menarik di Skype (sekarang kita tahu siapa yang menggunakannya!). Tentu saja, beberapa versi messenger menggunakan beberapa algoritma yang sangat kompleks untuk menampilkan emoji, jadi tidak sulit untuk membuat serangan DoS pada klien Skype. Para peneliti mulai mengirim emoji dalam banyak bagian sekaligus, dan ketika jumlah mereka dalam satu pesan mencapai ratusan, klien mulai terasa melambat.
Delapan ratus "anak kucing nasib" - dan aplikasi membeku selama beberapa detik. Jika Anda terus mengirim emoji, Anda dapat menonaktifkan klien untuk waktu yang lama. Kerentanan hanya dipengaruhi oleh beberapa versi klien Skype for Business 2016, serta pendahulunya, Microsoft Lync 2013. Kerentanan ini ditutup minggu ini, tetapi fakta bahwa masalah seperti itu terdeteksi dalam versi bisnis Skype memberi tahu kami apa? Emosi itu tidak punya tempat di tempat kerja! Ngomong-ngomong, bersama dengan Skype emosional, Microsoft menutup kerentanan yang jauh lebih serius pada Windows 7 32-bit, yang sebelumnya
ditemukan oleh para ahli Lab Kaspersky berdasarkan analisis serangan cyber nyata.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.