Seorang peneliti keamanan komputer asal Italia, Rosario Valotta, menemukan bahwa kumpulan cookie yang tersimpan ketika anda menggunakan IE, bisa dicuri peretas yang kemudian bisa digunakan untuk mengakses web yang pernah anda kunjungi.
"Sedikit website. Sedikit cookie (yang berarti mengakses banyak website, banyak cookie). Batasannya hanya imajinasi anda," kata Rosario Valotta yang seorang peneliti keamanan Internet independen dikutip Reuters.
Hacker dapat mengeksploitasi kelemahan ini untuk mengakses file data yang tersimpan dalam browser yang dikenal sebagai "cookie", termasuk di dalamnya bisa berupa nama login dan password untuk akun web.
Sekali hacker memiliki cookie itu, ia dapat menggunakannya untuk mengakses situs yang sama, kata Valotta.
Teknik ini ia sebut sebagai "cookiejacking".
Kerentanan ini dimiliki semua versi Internet Explorer, termasuk IE 9, pada setiap versi sistem operasi Windows.
Dalam mengeksplotasi "lubang" keamanan ini, para hacker harus membujuk korban untuk men-drag atau menutup sebuah obyek yang muncul di layar PC sebelum membajak cookie.
Kedengarannya seperti pekerjaan yang sulit, tetapi Valotta mengatakan bahwa ia bisa melakukannya dengan sangat mudah. Ia membuat sebuah (permainan) puzzle yang ditaruh di Facebook dimana pengguna ditantang untuk melucuti pakaian foto seorang wanita yang menarik.
"Aku terbitkan game online ini di Facebook dan dalam kurang dari tiga hari, lebih dari 80 cookie telah terkirim ke serverku," katanya. "Dan aku mendapatkan 150 teman (baru)."
Microsoft mengatakan hanya sedikit kemungkinan seorang hacker sukses dalam scam cookiejacking.
"Biasanya level ini membutuhkan interaksi pengguna, isu ini bukan salah satu yang kami pertimbangkan berisiko tinggi," kata juru bicara Microsoft Jerry Bryant.
Menurut Bryant, untuk kemungkinan tersusupi pengguna biasanya mengunjungi situs berbahaya, diyakinkan untuk mengklik dan men-drag item-item di dalamnya dan penyerang menargetkan cookie dari website dimana pengguna sudah login ke dalamnya.
0 komentar:
Posting Komentar