Pakar Keamanan Mengungkap Kelemahan di EPUB Mirip dengan Peramban Web

  • Whatsapp
Pakar Keamanan Mengungkap Kelemahan di EPUB Mirip dengan Peramban Web

 

Bacaan Lainnya

Peneliti keamanan di imec-DistriNet Research Group telah menemukan kerentanan dalam sistem membaca e-book yang memungkinkan peretas untuk mengeksploitasi sistem pengguna dengan menargetkan aspek spesifik dari publikasi elektronik (EPUB).

Peneliti keamanan Gertjan Franken, Tom Van Goethem, dan Wouter Joosen menerbitkan sebuah makalah penelitian yang berbunyi bahwa sistem membaca e-book memiliki kelemahan yang mirip dengan browser web. Format publikasi elektronik (EPUB) terutama bergantung pada XHTML dan CSS (Cascading Style Sheets) untuk mendesain e-book, dengan mesin browser yang sering digunakan untuk merender isinya.

Sayangnya, tidak ada peneliti sistem membaca e-book yang mengikuti panduan keamanan spesifikasi EPUB dengan benar. Para peneliti menggunakan testbed semi-otomatis untuk mengidentifikasi bahwa 16 dari 97 sistem memungkinkan EPUB untuk membocorkan informasi tentang sistem file pengguna, dan dalam delapan kasus, mengekstrak konten file. Para peneliti memperingatkan bahwa peretas dapat dengan mudah mencapai sistem membaca e-book lengkap.
 
“Tentu saja, signifikansinya tergantung pada platform yang digunakan; e-reader umumnya tidak akan berisi file sensitif, sementara smartphone dapat berisi gambar pribadi,” kata Franken kepada The Daily Swig. Tim juga melakukan evaluasi manual dari aplikasi membaca EPUB paling populer di Amazon Kindle, Apple Books, dan ekstensi browser EPUBReader – dan menemukan beberapa kekurangan.

“Misalnya, Amazon Kindle tidak mengizinkan EPUB untuk mengeksekusi JavaScript yang disematkan. Namun demikian, ini dapat dielakkan oleh penyerang kreatif melalui masalah validasi input. Skrip yang disematkan kemudian dapat mengeksploitasi kerentanan yang diketahui publik dari mesin web usang Kindle untuk mendapatkan akses ke dokumen di perpustakaan pengguna. Skrip yang disematkan kemudian dapat mengeksploitasi kerentanan yang diketahui publik dari mesin web usang Kindle untuk mendapatkan akses ke dokumen di perpustakaan pengguna, “jelas Franken.

Kerentanan juga ditemukan di Apple Books, tersedia pra-instal di macOS, dan di Adobe Digital Editions versi Windows.

“Untungnya, pengembang Amazon, Apple, dan Adobe sangat responsif terhadap laporan bug kami dan sangat ingin memperbaiki masalah. Kedua, kami berpendapat bahwa pedoman praktis tentang cara menangani aspek keamanan dan privasi dalam mengembangkan aplikasi membaca EPUB akan sangat membantu pengembang. Idealnya, ini mencakup panduan tentang cara mengonfigurasi mesin browser populer dengan benar, sehingga kebijakan keamanan penting mencegah EPUB mendapatkan terlalu banyak [many] hak istimewa,” Franken menyimpulkan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *