Microsoft Perbaiki Outlook di Android yang Rentan XSS
Aplikasi Outlook di Android
Setelah 6 bulan sejak mendapat laporan tentang celah keamanan di Outlook untuk Android, Microsoft akhirnya merilis update untuk produk tersebut 2 hari lalu. Celah keamanan itu bisa berakibat buruk terhadap 100 jutaan pengguna Outlook jika dimanfaatkan hacker.
Pada saat dilaporkan 6 bulan lalu, tidak begitu jelas bagaimana celah keamanan Outlook yang dieskploitasi. Hanya disebutkan Outlook rentan terhadap cross site scripting (XSS). Ini merupakan serangan injeksi kode HTML atau Javascript. Hacker bisa mengirimkan email dalam format HTML yang telah diinjeksi kode jahat. Saat email itu dibuka kode HTML langsung dijanlankan bersamaa dengan kode jahat tersebut.
Email dengan format HTML sudah menjadi hal lazim saat ini karena berguna untuk email promosi, iklan, atau newsletter. Dengan format HTML, email bisa ditata seperti halnya halaman website. Namun pengguna bisa menonaktifkan format HTML ini dan hanya membaca email dalam format plain text.
Bryan Appleby dari F5 Network, salah seorang periset keamanan siber yang melaporkan hal itu ke Microsoft 6 bulan lalu, akhirnya mengungkapkan celah keamanan ini lebih detail di blog-nya pada 21 Juni (setelah Microsoft melakukan update terhadap Outlook. Ia ternyata menemukan celah itu secara tidak sengaja ketika bertukar kode Javascript kepada koleganya melalui email. Dia melihat bahwa orang bisa meng-embed iframe ke dalam badan email untuk menjalankan XSS. Biasanya iframe hanya bisa mengakses konten di dalam iframe tersebut. (Iframe ini seperti kontainer yang berisi konten dari eksternal atau website lain yang bisa dimasukkan ke halaman HTML). Namun Appleby menemukan bahwa eksekusi Javascriot di dalam iframe bisa membuat hacker memcara konten aplikasi yang terkait dengan pengguna Outlook yang login, misalnya cookie, token, dan konten lain di inbox mereka.
Appleby melaporkan temuannya itu kepada Microsoft pada 10 Desember 2018. Dan raksasa software itu mengakui celah keamanan tersebut pada 26 Maret 2019. Namun perbaikannya baru dirilis dalam update Outlook pada 21 Juni 2019.
Selain Appleby, beberapa periset keamanan siber seperti Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek dari CyberArk dan Gaurav Kumar juga telah melaporkan hal yang sama kepada Microsoft bulan lalu. Gaurav Kumar malah mendemonstrasikan teknik XSS tersebut di Youtube. Video proof-of-concept (PoC) dari Kumar bisa dilihat di Youtube: Video PoC XSS Outlook
Jika Anda pengguna Outlook, segera update Outlook Anda. Dan jika format HTML tidak begitu Anda perlukan, ubah formatnya di "Options", pilih "Read all standard mail in plain text".
