Penyerang Ditolak Kontrol Penuh Atas Akun Pengguna ‘Wire’

  • Whatsapp
Penyerang Ditolak Kontrol Penuh Atas Akun Pengguna 'Wire'

 

Bacaan Lainnya

Pengembang aplikasi perpesanan aman Wire telah menambal perangkat lunak terhadap dua kelemahan keamanan kritis, salah satunya dapat memungkinkan penyerang untuk mengambil alih akun pengguna target. Secara khusus, yang pertama dari keduanya mencakup kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang untuk sepenuhnya mengontrol akun pengguna. Cacat yang dilacak sebagai, CVE-2021-32683, biasanya memengaruhi aplikasi web versi 2021-05-10 dan sebelumnya.

Menurut pakar keamanan, pelaku ancaman sering melakukan serangan XSS dengan mengirimkan tautan berbahaya ke pengguna dan meminta pengguna untuk mengkliknya. Jika aplikasi atau situs web tidak memiliki protokol keamanan yang tepat, tautan berbahaya akan mengeksekusi kode yang dipilih penyerang di perangkat pengguna. Akibatnya, penyerang dapat mencuri cookie sesi aktif pengguna.

Kane Gamble, seorang peneliti keamanan independen menemukan dua masalah keamanan di versi Wire Messenger untuk web dan iOS. Berkantor pusat di Jerman dengan cabang di AS, Swedia, dan Swiss, Wire adalah platform perpesanan populer yang menampilkan komunikasi audio, video, dan teks yang diamankan melalui enkripsi ujung ke ujung dengan lebih dari 500.000 pengguna.

Cacat kedua yang ditemukan oleh peneliti adalah masalah penolakan layanan (DoS) yang kurang kritis (CVE-2021-32666) di Wire versi iOS.

“Saat kami menjadwalkan permintaan untuk mengambil aset yang tidak valid, objek URL tidak mungkin dibuat karena jalurnya berisi karakter URL ilegal. Ini pada gilirannya akan memicu pernyataan yang membuat aplikasi mogok, ”jelas peneliti keamanan.

Kedua kelemahan tersebut tunduk pada proses pengungkapan terkoordinasi antara Gamble dan tim keamanan Wire. “DoS diperbaiki di versi 3.81 dan XSS yang disimpan ditambal di versi 2021-06-01-production.0 [released June 1]. Tidak ada pembaruan yang diperlukan oleh pengguna selain memperbarui Wire Anda di perangkat iOS Anda jika belum melakukannya secara otomatis, ”tambah Gamble lebih lanjut.

Seorang juru bicara Wire menunjukkan bahwa tidak ada bukti eksploitasi aktif dari salah satu bug ini di alam liar.

“Kerentanan secara bertanggung jawab diungkapkan kepada kami oleh peneliti kerentanan dan setelah mengonfirmasi validitasnya, kami memperbaiki dan merilisnya secepat mungkin. Kami juga secara proaktif menerbitkan kerentanan sebagai CVE untuk transparansi penuh, ”kata juru bicara itu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *