Carl Schou peneliti yang menemukan fakta itu mencuit di Twitternya mengenai fitur WiFi di iPhone dan perangkat iOS yang menghilang jika nama jaringan WiFi itu mengandung simbol (%).

“Anda bisa secara permanen menghilangkan jaringan WiFi untuk semua perangkat iOS dengan nama WiFi ‘%secretclub%power’. Bahkan mengatur ulang jaringan pun tidak menjamin layanannya kembali berfungsi,” kata Carl seperti dikutip dari The Verge, Senin.

Beberapa minggu sebelumnya, Carl Schou bersama timnya yang bernama Secret Club menemukan bahwa jika iPhone terhubung dengan jaringan yang memiliki simbol (%) justru menimbulkan “bug” pada sistem operasi ponsel itu.

Selain itu, layanan yang terhubung dengan jaringan seperti AirDrop juga ikut bermasalah dan tidak bisa digunakan jika sudah terhubung dengan jaringan yang dinamai dengan simbol persen.

Ada pun penjelasan yang paling masuk akal untuk menjawab itu adalah fakta bahwa simbol persen (%) merupakan salah satu simbol yang digunakan dalam bahasa pemrograman.

Dalam bahasa pemrograman C#, simbol (%n) merupakan simbol penentu. Bisa saja subsistem WiFi meneruskan nama jaringan itu dan menyebabkan kerusakan memori pada ponsel iOS.

Oleh karena itu untuk menghindari kondisi tak bisa dihubungkannya iPhone atau pun perangkat iOS dengan jaringan internet baiknya anda tidak menggunakan WiFi dengan nama yang mengandung simbol persen.

*Sumber: antaranews.com

Artikel Nama WiFi dengan Simbol Persen Bisa Hilangkan Jaringan iPhone pertama kali tampil pada Parade.id.

Masalah semakin membesar ketika tawaran penipuan ini semakin masif disebarkan di jejaring media sosial oleh akun-akun yang tak bertanggung jawab atau pengguna yang tak paham. Sejauh ini, menurut peneliti ESET, platform Facebook dan Instagram paling banyak digunakan penipu untuk menjalankan skenario jahat dengan iming-iming smartphone gratis.

Akibat godaan kata “Gratis”, kebanyakan korban tidak menyadari faktor risiko dan memahami betapa berbahayanya. Korban hanya diminta melakukan aktivitas online yang tidak mengeluarkan uang, seperti mengisi survei, spam, kuis, subscribe, dan like.

Coba berkunjung ke gedung Sentra Pelayanan Kepolisian Terpadu (SPKT) Polda Metro Jaya, Jakarta. Salah satu kasus yang paling banyak dilaporkan adalah penipuan melalui platform media sosial dengan tawaran smartphone gratis. Dan, diantara merek yang paling banyak digunakan penipuan saat ini adalah iPhone 11.

Facebook

Facebook seolah menjadi “rumah” bagi para scammer karena penggunanya begitu banyak secara global. Menurut Hootsuite Indonesian Digital Report 2020 yang dirilis Januari, pengguna Facebook di Tanah Air sudah mencapai 130 juta atau setengah dari penduduk RI dikatakan memiliki identitas digital di Facebook. Dan, 98,9 persen pengguna mengakses Facebook melalui perangkat seluler.

Dalam kasus penipuan iming-iming iPhone seperti yang pernah diamati peneliti ESET, diketahui bahwa modus giveaway penipuan merek iPhone dan Samsung melalui dua cara yaitu membuat grup dan fan page lalu dikombinasikan dengan akun-akun palsu.

Melalui grup dan fan page, penipu membuat postingan yang menawarkan iPhone atau Samsung secara gratis, jika mematuhi persyaratan yang mereka tetapkan, member dapat mengklaim hadiahnya.

Foto: ESET

Modus unik lainnya adalah para penipu mewajibkan member untuk mengunduh aplikasi tertentu dari Play Store. Salah satunya adalah Cashzine, aplikasi yang diklaim dapat menghasilkan uang bagi penggunanya.

Korban bahkan diharuskan mendaftar menggunakan undangan dari si pelaku, dengan kata lain, pelaku mendapat keuntungan dari undangan yang dipakai oleh korban, sementara si korban percaya.

Instagram

Menurut Hootsuite Indonesian Digital Report 2020, jumlah pengguna Instagram di Indonesia sudah mencapai 63 juta. Pesona giveaway menjadikan para Scammer menargetkan Instagram sebagai tempat ‘nongkrongnya’. Terlebih dengan akun-akun palsu sengaja dibuat untuk penipuan.

Coba ketik “free iphone” akan muncul banyak akun yang menawarkan iPhone 11 gratis. Akun-akun itu akan tebar pesona menjanjikan giveaway iPhone dengan sejumlah syarat. Misalnya follow akun tertentu, like gambar atau postingan, mengisi komentar dan mention follower.

Ketik free iPhone di Instagram

Metode ini sebenarnya sudah sangat umum di platform lain. Keinginan untuk menambah followers, like, komentar sebanyak-banyaknya menjadikan korban kehilangan akal sehat. Padahal satu klik saja bisa sangat berbahaya sementara dunia Maya yang begitu luas belum ada jaminan iPhone 11 bakal diberikan secara gratis.

Whatsapp dan Messenger

Dengan besarnya pengguna Facebook dan Instagram yang merupakan satu perusahaan, maka pesan-pesan giveaway dan penipuan mendapat blast atau postingan di WA Group atau Messenger. Biasanya diberikan tautan yang meminta informasi/data pribadi pengguna WA yang ditujukan secara acak (random).

Jika penipuan cyber hanya meminta korban untuk like, subscribe, atau spam dan men-download aplikasi mungkin dampaknya tidak akan signifikan, karena tidak ada kerugian secara finansial atau data yang diberikan.

Tetapi, jika penipuan tersebut meminta data pribadi korban melalui tautan via WA atau Messenger atau dengan survei-survei yang diujungnya meminta data korban untuk pengiriman hadiahnya. Dapat dipastikan data-data tersebut akan dimanfaatkan untuk aktivitas ilegal atau disalahgunakan. Waspadalah!

(Cyberthreat/PARADE.ID)

Artikel Ketik Free iPhone, Modus Penipuan Giveaway Muncul di Media Sosial pertama kali tampil pada Parade.id.

Dilansir dari The Hacker News, pada Februari lalu, spesialis keamanan di perusahaan keamanan TI Computest, Thijs Alkemade, mengungkapkan kerentanan tersebut  terletak pada penerapan fitur biometrik TouchID atau FaceID Apple yang mengautentikasi pengguna untuk masuk ke situs web di Safari, khususnya yang menggunakan login ID Apple.

Setelah masalah tersebut dilaporkan ke Apple melalui program bug bounty, produsen iPhone itu menggarisbawahi bawwah kerentananya berada pada pembaruan sisi server.

Bagaimana cara kerjanya? Saat pengguna mencoba masuk ke situs web menggunakan peramban Safari dan Apple ID, pengguna mengotentikasi diri melalui Touch ID untuk melewati langkah otentikasi dua faktor karena sudah memakai kombinasi faktor untuk identifikasi, seperti perangkat dan informasi biometerik. Ini berbeda dengan login ID dan kata sandi biasa, di mana autentikasi ditangani oleh iframe yang tertanam di situs web dan ditautkan ke server validasi login Apple yaitu https://idmsa.apple.com.

JIka yang digunakan adalah Touch ID, proses login dari iframe berubah untuk mendukung otentikasi biometrik dan pengambilan token dalam proses login.

“Untuk melakukan ini, daemon berkomunikasi dengan API di gsa.apple.com yang mengirimkan detail permintaan dari mana ia menerima token.”

Cacatnya terletak di API yang memungkinkan penyalahgunaan domain. Keretanan lintas skrip dapat dieksploitasi di subdomain mana pun. Daemon otentikasi dikenal sengan ‘akd’.

“Meskipun client_id dan redirect_uri disertakan dalam data yang dikirimkan olek akd, itu tidak memeriksa apakah URI pengalihan cocok dengan ID klien,” kata Thijs Alkemade.

“Sebaliknya, hada ada daftar putih yang diterapkan oleh AKAppSSOExtension di domain. Semua doamian yang diakhiri dengan apple.com, icloud.com dan icloud.com.cndiizinkan.”

Metode serangan lain yang mungkin dilakukan adalah menanamkan JavaSript di situs web ketika pertama kali terhubungan ke sumber Wi-Fi (melalui “captive.apple.com”), sehingga memungkinkan penyerang mengakses ke akun pengguna dengan hanya menerima permintaan TouchID dari halaman itu.

“Jaringan Wi-Fi berbahaya dapat merespons halaman dengan JavaScript yang memulai OAuth sebagai iCloud,” ungkap Alkemade.

Pengguna akan menerima prompt TouchID, tetapi sangat tidak jelas apa maksudnya. Jika pengguna mengautentikasi pada prompt itu, token sesi mereka akan dikirim ke situs jahat, memberikan penyerang sesi untuk akun mereka di iCloud.

Dengan menyiapkan hotspot palsu di lokasi tempat pengguna berharap menerima portal tawanan (misalnya di bandara, hotel, atau stasiun kereta api), akan memungkinkan untuk mendapatkan akses ke sejumlah besar akun iCloud, yang akan memiliki mengizinkan akses ke cadangan gambar, lokasi ponsel, file, dan banyak lagi.

(Cyberthreat/PARADE.ID)

Artikel Kerentanan pada Touch ID Apple pertama kali tampil pada Parade.id.

Rencana itu terlihat dari sebuah proposal hak paten perusahaan ke Kantor Paten & Merek Dagang Amerika Serikat, Kamis (2 Juli 2020). Proposoal paten itu berjudul “Memberikan Klaim Identitas Pengguna yang Terverifikasi” (Providing Verified Claims of User Identity).

Isi paten itu menggambarkan teknologi yang sedang dikembangkan sebagai pengganti SIM, paspor, dan beragam kartu identitas lain untuk keperluan pemerintah atau akses ke properti pribadi, demikian seperti dikutip dari Apple Insider, diakses Kamis (9 Juli 2020).

Teknologi tersebut sebagai metode untuk merekam atau mengirim identitas dan juga mengonfirmasi sang pemilik identitas.

Dalam proposal paten itu, Apple memang tidak menyebutkan “iPhone” sebagai teknologi yang dimaksud, tapi menyebut beberapa kali perangkat yang bisa berupa teknologi apa pun.

“Perangkat yang menerapkan sistem untuk menggunakan klaim identitas terverifikasi mencakup setidaknya satu prosesor yang dikonfigurasi untuk menerima klaim terverifikasi termasuk informasi untuk mengidentifikasi pengguna perangkat,” demikian isi paten itu.

Identitas yang dimasukkan dalam perangkat akan diverifikasi ulang melalui sebuah serverterpisah milik penyedia verifikasi identitas.

Jika berhasil diterapkan oleh Apple, pengguna tidak perlu membawa paspor atau SIM dan cukup hanya membawa perangkatnya ke mana-mana. Ini memudahkan pengguna jika suatu saat ingin berpergian ke luar negeri, misalnya, di mana paspor harus selalu dibawa.

Ide Apple memang kedengarannya menarik, tetapi bagaimana jika pengguna kehilangan perangkatnya? Dengan begitu, paspor dan identitas fisik tetap harus dibawa berdampingan dengan bentuk digitalnya.

(Cyberthreat/PARADE.ID)

Artikel Apple Ajukan Paten Teknologi Pengganti SIM dan Paspor Fisik pertama kali tampil pada Parade.id.

Ini lantaran aplikasi-aplikasi itu bisa mengakses data-data sensitif, seperti kata sandi, alamat dompet cryptocurrency, tautan pengaturan ulang akun, dan pesan pribadi yang disimpan di clipboard iPhone atau iPad.

Serangan privasi tersebut, menurut Arstechnica,  diakses Selasa (30 Juni 2020), karena aplikasi berulang kali membaca teks apa pun yang berada di clipboard—biasa digunakan di komputer dan smartphone untuk menyimpan teks.

Masalah itu ditemukan pertama kali oleh peneliti Talal Haj Bakry dan Tommy Mysk pada Maret lalu. Menurut peneliti, aplikasi-aplikasi itu dengan sengaja mengambil teks dari clipboardpengguna tanpa alasan yang jelas.

Peneliti mengkhawatirkan pembacaan clipboarditu bisa membuka kemungkinan lain, yaitu membaca data sensitif clipboard pada perangkat lain yang terkoneksi.

“Ini sangat berbahaya,” kata Mysk.

“Aplikasi-aplikasi ini membaca clipboard dengan tidak ada alasan untuk melakukannya. Aplikasi yang tidak memiliki bidang teks untuk memasukkan teks, tidak memiliki alasan untuk membaca teks clipboard,” ia menambahkan.

Pekan lalu, Apple baru saja menerbitkan iOS 14 versi beta. Ternyata, fitur baru yang ditambahkan pada iOS14 bisa mendeteksi atau menangkap masalah-masalah pembacaan teks pada clipboard. Apple memberikan peringatan banner setiap kali aplikasi membaca konten clipboard.

Dari puluhan aplikasi, TikTok termasuk yang paling menjadi sorotan dalam kasus ini. Ini lantaran media sosial video ini memiliki pengguna yang sangat besar di dunia.

Sejauh pengamatan Mysk, apalikasi TikTok  tidak pernah menghentikan pemantauan clipboard. Pembacaan clipboard terjadi setiap kali pengguna TikTok memasukkan tanda baca atau mengetuk bilah spasi saat menulis komentar.

“Itu berarti pembacaan clipboard dapat terjadi setiap detik atau lebih, kecepatan yang jauh lebih agresif daripada yang didokumentasikan dalam penelitian Maret lalu, yang menemukan pemantauan terjadi ketika aplikasi dibuka atau dibuka kembali,” tulis Arstechnica.

Menanggapi temuan itu, TikTok mengatakan, persoalan itu dipicu oleh fitur yang dirancang memang untuk mengidentifikasi perilaku berulang yang bersifat spam.

TikTok mengklaim telah mengirimkan pembaruan ke App Store. Sementara, untuk Android, TikTok mengklaim tidak pernah menerapkan fitur anti-spam.

TikTok mengatakan sangat berkomitmen untuk melindungi privasi pengguna dan bersikap transparan dengan cara kerja platformnya.

Pengembang aplikasi 10% Happier: Meditation juga berjanji untuk menghentikan perilaku itu dan segera menindaklanjutinya.

Apakah wajar?

Dalam beberapa kasus aplikasi, kata peneliti, membaca data clipboard memang dapat membuat aplikasi jauh lebih efektif bekerja.

Aplikasi UPS iPhone, misalnya, menarik teks dari clipboard, dan, jika teks cocok dengan karakteristik nomor pelacakan, aplikasi meminta pengguna untuk melacak paket yang sesuai.

Google Chrome juga menarik teks dan, jika itu URL, akan meminta pengguna untuk menjelajahinya. Aplikasi edit foto, Pixelmator,hanya membaca data jika itu adalah gambar. Jika ya, Pixelmator akan meminta pengguna untuk membukanya untuk diedit.

Dalam ketiga kasus, pembacaan data memiliki penggunaan yang jelas dan transparan, kata peneliti.

Hal itu berbeda dengan 56 aplikasi tersebut yang mengakses clipboard tanpa alasan yang jelas dan tanpa indikasi bahwa aplikasi melakukan akses itu.

Mysk menghargai fitur notifikasi Apple (khusus iOS 14 versi beta) sehingga pengguna mengetahui ada pembacaan clipboard.

Namun, ia berharap Apple dan Google juga harus berbuat lebih banyak dengan menetapkan izin standar akses ke clipboard, seperti halnya akses ke mikrofon atau kamera.

Untuk saat ini, pengguna diminta untuk hati-hati menyimpan data apa pun di clipboard , kata peneliti.

Selain TikTok, peneliti menemukan bahwa aplikasi iOS berikut membaca data clipboardpengguna setiap kali aplikasi dibuka:

News (keterangan nama aplikasi—BundleID)

1. ABC News — com.abcnews.ABCNews
2. Al Jazeera English — ajenglishiphone
3. CBC News — ca.cbc.CBCNews
4. CBS News — com.H443NM7F8H.CBSNews
5. CNBC — com.nbcuni.cnbc.cnbcrtipad
6. Fox News — com.foxnews.foxnews
7. News Break — com.particlenews.newsbreak
8. New York Times — com.nytimes.NYTimes
9. NPR — org.npr.nprnews
10. ntv Nachrichten — de.n-tv.n-tvmobil
11. Reuters — com.thomsonreuters.Reuters
12. Russia Today — com.rt.RTNewsEnglish
13. Stern Nachrichten — de.grunerundjahr.sternneu
14. The Economist — com.economist.lamarr
15. The Huffington Post — com.huffingtonpost.HuffingtonPost
16. The Wall Street Journal — com.dowjones.WSJ.ipad
17. Vice News — com.vice.news.VICE-News

Games

1. 8 Ball Pool — com.miniclip.8ballpoolmult
2. AMAZE!!! — com.amaze.game
3. Bejeweled — com.ea.ios.bejeweledskies
4. Block Puzzle —Game.BlockPuzzle
5. Classic Bejeweled — com.popcap.ios.Bej3
6. Classic Bejeweled HD—com.popcap.ios.Bej3HD
7. FlipTheGun — com.playgendary.flipgun
8. Fruit Ninja — com.halfbrick.FruitNinjaLite
9. Golfmasters — com.playgendary.sportmasterstwo
10. Letter Soup — com.candywriter.apollo7
11. Love Nikki — com.elex.nikki
12. My Emma — com.crazylabs.myemma
13. Plants vs. Zombies Heroes — com.ea.ios.pvzheroes
14. Pooking – Billiards City — com.pool.club.billiards.city
15. PUBG Mobile — com.tencent.ig
16. Tomb of the Mask — com.happymagenta.fromcore
17. Tomb of the Mask: Color — com.happymagenta.totm2
18. Total Party Kill — com.adventureislands.totalpartykill
19. Watermarbling — com.hydro.dipping

Social Networking

1. TikTok — com.zhiliaoapp.musically
2. ToTalk — totalk.gofeiyu.com
3. Tok — com.SimpleDate.Tok
4. Truecaller — com.truesoftware.TrueCallerOther
5. Viber — com.viber
6. Weibo — com.sina.weibo
7. Zoosk — com.zoosk.Zoosk

Lainnya

1. 10% Happier: Meditation—com.changecollective.tenpercenthappier
2. 5-0 Radio Police Scanner — com.smartestapple.50radiofree
3. Accuweather — com.yourcompany.TestWithCustomTabs
4. AliExpress Shopping App — com.alibaba.iAliexpress
5. Bed Bath & Beyond — com.digby.bedbathbeyond
6. Dazn — com.dazn.theApp
7. Hotels.com — com.hotels.HotelsNearMe
8. Hotel Tonight — com.hoteltonight.prod
9. Overstock — com.overstock.app
10. Pigment – Adult Coloring Book — com.pixite.pigment
11. Recolor Coloring Book to Color — com.sumoing.ReColor
12. Sky Ticket — de.sky.skyonline
13. The Weather Network — com.theweathernetwork.weathereyeiphone

(Cyberthreat/PARADE.ID)

Artikel TikTok, New York Times, dan Reuters Mengakses Data Clipboard Perangkat iOS pertama kali tampil pada Parade.id.