Ada Bug Kritis di Firefox Android, Hacker Bisa Curi Data Online Pengguna
Logo Firefox | Foto: Firefox
Cyberthreat.id – Jika Anda pengguna peramban web, Firefox, untuk perangkat Android, perbaruilah aplikasi segera ke versi terbaru. Sebab, terdapat kerentanan (bug) yang memungkinkan penjahat siber mencuri data online Anda.
Kerentanan yang dilabeli CVE-2021-29953 tersebut hanya memengaruhi versi Firefox untuk Android.
Bug itu dikenal sebagai Universal Cross-site Scripting (UXSS) yang memungkinkan peretas melihat riwayat browser pengguna melalui cookies dan melihat data apa pun yang mungkin telah diketikkan. Dengan informasi data itu, peretas bisa saja mendapatkan akses ke akun online tertentu.
Dengan bug tersebut, penyerang bisa mengakses data browser pribadi pengguna di situs web X ketika pengguna menjelajahi situs web Y yang memiliki perangkap buatan penyerang.
Padahal, hal itu seharusnya tidak boleh terjadi.
Perusahaan keamanan siber, Sophos, yang meneliti kerentanan itu, mengatakan, peramban web harusnya menghentikan data, seperti cookies yang bocor antarsitus web.
Atau, peramban web harusnya tak boleh mengizinkan situs web Y dapat mengintip data, seperti detail login untuk situs web X, lalu penyerang menyalahgunakan data tersebut untuk menyamar sebagai si pemilik data di situs web X dan membajak akun onlinte tertentu.
Untuk mengendalikan masalah itu, seharusnya peramban web menerapkan Same Origin Policy (SOP), yaitu data web yang disimpan secara lokal dikunci sehingga hanya dapat dibaca kembali oleh situs web sama yang menyimpan pertama, tulis Sophos dikutip dari situs webnya, diakses Minggu (9 Mei 2021).
Fungsi SOP sebetulnya membantu menjaga keamanan dan privasi dengan mencegah situs web mengambil informasi tentang pengguna satu sama lain.
Namun, Firefox untuk Android memiliki bug yang memungkinkan peretas menyalahgunakan itu sehingga dapat menyebabkan kesalahan pembuatan skrip UXSS.
Melanggar SOP
Sophos mengatakan, untuk mengeksploitasi kerentanan itu, peretas melanggar SOP dengan trik lawas yaitu serangan XSS biasa.
Peretas secara diam-diam menyuntikkan kode berbahaya JavaScript di situs web, sehingga server pengguna secara keliru mengeksekusi JavaScript buatan penyerang. (Baca: Serangan Siber XSS Terbanyak di Indonesia, Apa Itu?)
UXSS adalah sebutan untuk kesalahan pembuatan skrip lintas situs yang disebabkan oleh bug di peramban, bukan hanya bug di suatu situs web tertentu.
Pendek kata, UXSS adalah risiko XSS yang berlaku di mana dan kapan pun saat pengguna berselancar, termasuk saat mengunjungi server web yang terpelihara keamanannya dari serangan XSS.
Analogi sederhana yang dibagikan Sophos tentang kerentanan UXSS, berikut ini:
“Jika Anda bepergian dengan mobil, lalu mendapati salah satu dari banyak pengemudi ceroboh, tentu ini berpotensi terjadi kecelakaan, bahkan terhadap diri Anda sendiri. Risiko ini tak ubahnya risiko XSS. Dalam kondisi ini, Anda masih bisa berhati-hati untuk menghindari pengemudi yang ceroboh itu. Akan tetapi, jika Anda sendiri adalah pengemudi yang ceroboh…itu seperti risiko yang ditimbulkan oleh UXSS, karena itu “kesalahan tersebut” melekat pada diri Anda di mana dan kapan pun.”
Shopos mengatakan pembaruan Firefox v88.0.1 merupakan tambalan dari kerentanan JavaScript tersebut. Namun, pantauan terakhir dari Google Play Store, ternyata Firefox telah menyediakan v88.1.3 yang diperbarui 5 Mei 2021.
Karena itu, Shopos menyarankan untuk mendapatkan pembaruan langsung dari Google Play Store dan memeriksa pembaruan selanjutnya secara berkala untuk berjaga-jaga.
Pengguna juga dapat memeriksanya dari peramban web langsung dengan mengklik "Update" dan Firefox akan menginstal pembaruan versi yang telah diperbaiki kerentanannya.[]
Redaktur: Andi Nugroho
