Samsung Tutup Celah Peretas

Ellavie Ichlasa Amalia    •    Senin, 17 Dec 2018 11:29 WIB
samsungcyber security
Samsung Tutup Celah Peretas
Ada tiga celah keamanan di akun Samsung. (AFP PHOTO / JUNG Yeon-Je)

Jakarta: Hacker bisa mengambil alih akun Samsung sepenuhnya hanya dengan membuat seseorang mengakes tautan jahat, lapor peneliti keamanan siber minggu lalu.

Kelemahan ini kini telah diperbaiki setelah sang peneliti -- seorang pemburu bug asal Ukraina, Artem Moskowsky -- melaporkan masalah yang dia temukan pada Samsung bulan ini.

Celah keamanan yang dimanfaatkan oleh hacker adalah Cross-Site Request Forgery (CSRF). Pada dasarnya, celah keamanan ini memungkinkan seorang hacker untuk menipu peramban pengguna untuk menjalankan sekumpulan perintah pada situs lain ketika dia ada di situs sang hacker.

Moskowsky mengatakan bahwa dia menemukan tiga masalah CSRF pada sistem manajemen akun Samsung. Salah satunya memungkinkan hacker untuk mengubah detail profil korban. Celah kedua memungkinkan penyerang untuk menonaktifkan fitur autentikasi dua faktor.

Sementara celah ketiga memungkinkan penyerang untuk mengubah pertanyaan keamanan korban.

Tiga celah ini sama-sama berbahaya. Namun, celah ketiga dapat dimanfaatkan oleh penyerang untuk mengambil alih akun seseorang. Moskowsky mengatakan bahwa seorang penyerang bisa saja menipu korban untuk mengakses tautan yang akan mengubah pertanyaan keamanan dan jawaban korban.

Sang penyerang kemudian bisa mencoba untuk masuk ke akun pengguna menggunakan alamat email.

Dia juga bisa mengganti password dari akun korban menggunakan pertanyaan keamanan yang telah dia ganti. Dengan password baru yang dia buat, sang penyerang bisa mengakses akun Samsung milik korban.

Jika korban mengaktifkan fitur autentikasi dua faktor, sang penyerang juga bisa mematikan fitur itu ketika dia mengirimkan tautan bermasalah pada korban.

Seorang hacker yang mendapatkan akses ke akun Samsung seseorang bisa melacak pergerakan korban via fitur Find My Device, mengendalikan perangkat cerdas lain dari korban, mengakses data kesehatan korban, mengakses data dari catatan pribadi korban, dan kegiatan lainnya.

Karena menemukan tiga bug ini, Moskowsky mendapatkan USD13.300 (Rp194 juta). Bulan lalu, dia juga mendapatkan USD25 ribu (Rp365 juta) dari bug pada Steam yang memungkinkan penyerang mendapatkan kunci CD ke semua game Steam.


(MMI)

Video /

Bagaimana Kami Menguji

Kami menguji produk dengan subjektif karena mengutamakan pengalaman penggunaan. Meski demikian, kesimpulan yang kami ambil juga didasari sejumlah data dari perangkat lunak tertentu yang kami gunakan untuk melihat kinerja produk.

Khusus untuk menguji perangkat keras dan perangkat lunak komputer, kami menggunakan konfigurasi yang identik untuk tiap produk. Berikut komponen testbed resmi Metrotvnews.com.

Hardware

  • Prosesor: Intel Core i7-7700K, AMD Ryzen 7 1800X
  • Motherboard: ASUS Z270F STRIX Gaming, MSI X370 Gaming Pro Carbon
  • VGA: MSI GTX 1080 Gaming X, ASUS RX 480 STRIX 8GB
  • RAM: Corsair Vengeance LPX 3200MHz (2x8GB)
  • Penyimpanan: Corsair Neutron XTi 240GB
  • PSU: Corsair RM850X
  • Case: MSI DIY Case
  • Monitor: ASUS PB287Q 4K, AOC C3583FQ
  • Keyboard: Logitech G900 Chaos Spectrum, Logitech G402 Hyperion Fury
  • Mouse: Logitech G440, Logitech G240
  • Headset: Logitech G430, Logitech G633

Software

Performa dan Baterai: PCMark 8, 3DMark, Crystal Disk Mark
Gaming: The Witcher 3: Wild Hunt, Ashes of Singularity, Tom CLancy's Ghost Recon Wildlands

Kami juga menggunakan metode pengujian yang sama untuk semua gadget. Meski di pasar tersedia beragam perangkat lunak benchmarking, kami hanya memilih tiga berdasarkan reputasi mereka yang diakui secara internasional, 3DMark dan PCMark 2.0.