Melansir dari GadgetNDTV, otoritas pengawas Italia meluncurkan total enam investigasi ke Apple iCloud, layanan penyimpanan online Google Drive, dan Dropbox menyusul adanya keluhan tentang praktik komersial yang tidak adil dan pelanggaran arahan hak konsumen.

Investigasi yang dilakukan oleh otoritas persaingan dan pasar itu untuk mencari tahu apakah Google dan Apple gagal atau tidak dalam melindungi data pengguna yang dikumpulkan dan disinyalir digunakannya untuk tujuan komersial.

“Investigasi untuk praktik yang tidak adil terhadap Google dan Apple menyangkut kegagalan atau indikasi yang tidak memadai, saat menyajikan layanan, pengumpulan dan penggunaan untuk tujuan komersial dari data yang diberikan oleh pengguna dan kemungkinan pengaruh yang tidak semestinya terhadap konsumen, yang untuk menggunakan layanan penyimpanan cloud, tidak dapat memberikan izin kepada operator untuk pengumpulan dan penggunaan informasi tentang mereka untuk tujuan komersial.” tulis otoritas dalam rilis persnya pada Senin (7 September 2020).

Untuk penyedia cloud Dropbox, investigasi dilakukan untuk mencari tahu apakah Dropbox sudah jelas dalam menginformasikan penggunanya terkait bagaimana penggunanya bisa keluar dari kontrak atau mencari penyelesaian sengketa di luar pengadilan.

Selain itu, investigasi ini juga menyangkut beberapa kondisi kontrak yang ditetapkan dalam model relatif dari ketiga perusahaan tersebut.

“Seperti, hak operator yang cukup untuk menangguhkan dan menghentikan layanan; pembebasan tanggung jawab bahkan jika terjadi kehilangan dokumen yang disimpan di ruang cloud pengguna; kemungkinan modifikasi sepihak kontrak; prevalensi teks kontrak versi bahasa Inggris di atas versi bahasa Italia,” kata otoritas.

Sementara itu, Apple, Google, dan Dropbox belum mengeluarkan pernyataan atas investigasi yang diluncurkan oleh otoritas Italia ini.

(Cyberthreat/PARADE.ID)

Artikel Apple, Google dan Dropbox Diselidiki Otoritas Italia terkait Penyimpanan Cloud pertama kali tampil pada Parade.id.

Dilansir dari The Hacker News, pada Februari lalu, spesialis keamanan di perusahaan keamanan TI Computest, Thijs Alkemade, mengungkapkan kerentanan tersebut  terletak pada penerapan fitur biometrik TouchID atau FaceID Apple yang mengautentikasi pengguna untuk masuk ke situs web di Safari, khususnya yang menggunakan login ID Apple.

Setelah masalah tersebut dilaporkan ke Apple melalui program bug bounty, produsen iPhone itu menggarisbawahi bawwah kerentananya berada pada pembaruan sisi server.

Bagaimana cara kerjanya? Saat pengguna mencoba masuk ke situs web menggunakan peramban Safari dan Apple ID, pengguna mengotentikasi diri melalui Touch ID untuk melewati langkah otentikasi dua faktor karena sudah memakai kombinasi faktor untuk identifikasi, seperti perangkat dan informasi biometerik. Ini berbeda dengan login ID dan kata sandi biasa, di mana autentikasi ditangani oleh iframe yang tertanam di situs web dan ditautkan ke server validasi login Apple yaitu https://idmsa.apple.com.

JIka yang digunakan adalah Touch ID, proses login dari iframe berubah untuk mendukung otentikasi biometrik dan pengambilan token dalam proses login.

“Untuk melakukan ini, daemon berkomunikasi dengan API di gsa.apple.com yang mengirimkan detail permintaan dari mana ia menerima token.”

Cacatnya terletak di API yang memungkinkan penyalahgunaan domain. Keretanan lintas skrip dapat dieksploitasi di subdomain mana pun. Daemon otentikasi dikenal sengan ‘akd’.

“Meskipun client_id dan redirect_uri disertakan dalam data yang dikirimkan olek akd, itu tidak memeriksa apakah URI pengalihan cocok dengan ID klien,” kata Thijs Alkemade.

“Sebaliknya, hada ada daftar putih yang diterapkan oleh AKAppSSOExtension di domain. Semua doamian yang diakhiri dengan apple.com, icloud.com dan icloud.com.cndiizinkan.”

Metode serangan lain yang mungkin dilakukan adalah menanamkan JavaSript di situs web ketika pertama kali terhubungan ke sumber Wi-Fi (melalui “captive.apple.com”), sehingga memungkinkan penyerang mengakses ke akun pengguna dengan hanya menerima permintaan TouchID dari halaman itu.

“Jaringan Wi-Fi berbahaya dapat merespons halaman dengan JavaScript yang memulai OAuth sebagai iCloud,” ungkap Alkemade.

Pengguna akan menerima prompt TouchID, tetapi sangat tidak jelas apa maksudnya. Jika pengguna mengautentikasi pada prompt itu, token sesi mereka akan dikirim ke situs jahat, memberikan penyerang sesi untuk akun mereka di iCloud.

Dengan menyiapkan hotspot palsu di lokasi tempat pengguna berharap menerima portal tawanan (misalnya di bandara, hotel, atau stasiun kereta api), akan memungkinkan untuk mendapatkan akses ke sejumlah besar akun iCloud, yang akan memiliki mengizinkan akses ke cadangan gambar, lokasi ponsel, file, dan banyak lagi.

(Cyberthreat/PARADE.ID)

Artikel Kerentanan pada Touch ID Apple pertama kali tampil pada Parade.id.

Rencana itu terlihat dari sebuah proposal hak paten perusahaan ke Kantor Paten & Merek Dagang Amerika Serikat, Kamis (2 Juli 2020). Proposoal paten itu berjudul “Memberikan Klaim Identitas Pengguna yang Terverifikasi” (Providing Verified Claims of User Identity).

Isi paten itu menggambarkan teknologi yang sedang dikembangkan sebagai pengganti SIM, paspor, dan beragam kartu identitas lain untuk keperluan pemerintah atau akses ke properti pribadi, demikian seperti dikutip dari Apple Insider, diakses Kamis (9 Juli 2020).

Teknologi tersebut sebagai metode untuk merekam atau mengirim identitas dan juga mengonfirmasi sang pemilik identitas.

Dalam proposal paten itu, Apple memang tidak menyebutkan “iPhone” sebagai teknologi yang dimaksud, tapi menyebut beberapa kali perangkat yang bisa berupa teknologi apa pun.

“Perangkat yang menerapkan sistem untuk menggunakan klaim identitas terverifikasi mencakup setidaknya satu prosesor yang dikonfigurasi untuk menerima klaim terverifikasi termasuk informasi untuk mengidentifikasi pengguna perangkat,” demikian isi paten itu.

Identitas yang dimasukkan dalam perangkat akan diverifikasi ulang melalui sebuah serverterpisah milik penyedia verifikasi identitas.

Jika berhasil diterapkan oleh Apple, pengguna tidak perlu membawa paspor atau SIM dan cukup hanya membawa perangkatnya ke mana-mana. Ini memudahkan pengguna jika suatu saat ingin berpergian ke luar negeri, misalnya, di mana paspor harus selalu dibawa.

Ide Apple memang kedengarannya menarik, tetapi bagaimana jika pengguna kehilangan perangkatnya? Dengan begitu, paspor dan identitas fisik tetap harus dibawa berdampingan dengan bentuk digitalnya.

(Cyberthreat/PARADE.ID)

Artikel Apple Ajukan Paten Teknologi Pengganti SIM dan Paspor Fisik pertama kali tampil pada Parade.id.