Kamis, 06 Oktober 2011

Riwayat Peramban Anda Bisa Diakses JavaScript

Kode JavaScript yang disebarkan oleh berbagai situs serta penyedia layanan iklan online memanfaatkan kerentanan peramban untuk menentukan situs mana yang pernah dan belum anda kunjungi, menurut penelitian baru yang dilakukan oleh para ilmuwan komputer di Universitas California, San Diego.

Para peneliti mendokumentasikan kode JavaScript yang diam-diam mengumpulkan informasi berbagai situs yang pernah dikunjungi oleh penguna Web melalui "history sniffing" atau "pengendusan riwayat" dan mengirim informasi tersebut melalui jaringan. Walaupun pengendusan riwayat serta potensi implikasinya terhadap pelanggaran privasi telah didiskusikan dan didemonstrasikan, penelitian baru menyediakan analisis empiris pengendusan riwayat pada Web yang sesungguhnya untuk pertama kalinya.

"Tak seorang pun tahu jika siapa saja di Internet menggunakan pengendusan riwayat untuk mendapatkan informasi pribadi situs-situs kunjungan para pengguna. Yang mampu kami tunjukkan ialah bahwa hal tersebut mungkin dilakukan," tutur Profesor ilmu komputer UC San Diego Hovav Shacham. Para ilmuwan komputer dari UC San Diego Jacobs School of Engineering mempresentasikan studi ini pada bulan Oktober dalam Konferensi Computer and Communications Security 2010 (CCS 2010) dalam makalah yang berjudul, "An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications".

Pengendusan Riwayat

Pengendusan riwayat terjadi tanpa sepengetahuan atau seijin anda dan mengandalkan pada fakta bahwa peramban menampilkan tautan atau link ke situs-situs yang telah anda kunjungi berbeda dari yang belum anda kunjung: normalnya tautan yang sudah dikunjungi berwarna ungu, dan yang belum dikunjungi berwarna biru. Kode JavaScript pengendusan riwayat yang dijalankan pada sebuah halaman Web mengecek apakah peramban anda menampilkan tautan ke alamat situs tertentu dengan warna ungu atau biru.

Pengendusan riwayat bisa digunakan oleh para pemilik situs web untuk mengetahui situs pesaing mana yang telah atau belum dikunjungi oleh para pengunjung. Pengendusan riwayat bisa juga disebarkan oleh berbagai perusahaan pengiklan untuk membangun profil pengguna, atau digunakan oleh para penjahat online untuk mengumpulkan informasi untuk serangan pengelabuan atau phishing berikutnya. Misalnya, dengan mengetahui situs-situs bank mana saja yang anda kunjungi akan menginformasikan halaman bank palsu mana yang akan ditampilkan selama serangan pengelabuan yang ditujukan untuk mengumpulkan informasi login akun bank anda.

"JavaScript merupakan sesuatu yang mengagumkan, bahasa skrip tersebut memungkinkan berbagai hal seperti Gmail dan Google Maps serta tumpukan aplikasi-aplikasi Web 2,0; tapi skrip itu juga membuka banyak kerentanan keamanan. Kami ingin masyarakat luas tahu bahwa pengendusan riwayat mungkin dilakukan, hal itu memang terjadi di luar sana, dan banyak orang yang rentan terhadap serangan ini," kata profesor ilmu komputer UC San Diego Sorin Lerner, seperti yang dikutip dari Physorg (03/12/10).

Versi terakhir Firefox, Chrome, dan Safari sekarang memblokir serangan-serangan pengendusan riwayat yang dimonitor oleh para ilmuwan komputer. Namun Internet Explorer tidak memberikan perlindungan terhadap pengendusan riwayat. Pokoknya siapa pun yang tidak menggunakan versi terakhir peramban yang secara berkala di-update juga rentan terhadap serangan tersebut.

Mengetahui Pengendusan Riwayat

"Kami membangun mesin aliran data dinamis bagi JavaScript untuk melacak pengendusan riwayat. Saya tidak tahu intstrumen praktis lainnya yang dapat digunakan untuk melakukan studi luas ini," kata Dongseok Jang seorang mahasiswa ilmu komputer bergelar Ph.D UC San Diego yang mengembangkan teknologi JavaScript monitoring ini. Para peneliti berencana untuk memperluas penelitian mereka dan mempelajari informasi apa yang dibocorkan oleh aplikasi-aplikasi pada media sosial dan situs-situs Web 2,0 lainnya.

Para ilmuwan komputer tersebut mencari pengendusan riwayat pada halaman-halaman depan 50.000 situs web teratas menurut peringkat situs global Alexa. Mereka menemukan bahwa 485 dari 50.000 situs teratas memeriksa properti style yang bisa digunakan untuk menduga riwayat peramban. Dalam 458 situs, 63 mentransfer riwayat peramban ke dalam jaringan. "Kami mengkonfirmasi bahwa 46 di antaranya benar-benar melakukan pengendusan riwayat, salah satu dari situs-situs tersebut berada di peringkat 100 teratas Alexa," seperti yang ditulis oleh para ilmuwan komputer UC San Diego dalam makalah CCS 2010 tersebut.

Perspektif Pengendusan Riwayat

Para ilmuwan komputer mengatakan bahwa pengendusan riwayat tidak seberbahaya bagi privasi atau identitas anda seperti program-program jahat (malware) yang dapat mencuri informasi perbankan anda atau keseluruhan profil Facebook anda. Namun, menurut Shachan, "pengendusan riwayat memungkinkan setiap situs yang anda kunjungi untuk bisa melacak kebiasaan browsing anda di situs lainnya, tak peduli apakah kedua situs tersebut memiliki keterkaitan bisnis atau tidak."

Untuk melihat bagaimana pengendusan riwayat dalam prakteknya anda bisa mengunjungi: http://www.whatthe … aboutyou.com.

"Saya pikir mereka yang telah meng-update atau mengganti peramban mereka sekarang mungkin harus khawatir dengan hal-hal selain pengendusan riwayat, seperti menjaga agar Flash plug-in mereka tetap yang terbaru agar supaya mereka tidak dieksploitasi. Namun, hal tersebut tidak berarti bahwa perusahaan-perusahaan yang telah berkecimpung dalam pengendusan riwayat 60 persen populasi pengguna saat ini yang rentan terhadap hal itu mendapatkan karcis masuk gratis," ujar Shacham.

Melacak Pengendusan Riwayat

Alat pendeteksi pengendusan-riwayat UC San Diego menganalisa JavaScript yang dijalankan pada halaman untuk mengidentifikasi dan melabelkan semua instance ketika riwayat peramban sedang diperiksa. Cara sistem tersebut melabelkan setiap potensi kegiatan pengendusan riwayat dapat dibandingkan dengan tinta atau cat yang ditambahkan pihak bank ke tas-tas uang yang dicuri.

"Segera setelah JavaScript mencoba melihat semua warna tautan, kami segera memberi "cat" terhadap kegiatan itu. Beberapa situs mengumpulkan informasi tersebut tapi tak pernah mengirimkannya ke jaringan, jadi masih ada semua "cat" ini dalam peramban. Namun, dalam kasus lain, kami mengamati "cat" dikirim ke jaringan yang mengindikasikan bahwa pengendusan riwayat sedang terjadi," jelas Lerner. Para ilmuwan komputer hanya menganggapnya sebagai pengendusan riwayat jika informasi riwayat peramban dikirim melalui jaringan ke sebuah server.

"Kami mendeteksi ketika riwayat peramban diperiksa, dikumpulkan pada peramban tersebut dan dikirim ke jaringan dari peramban tersebut ke server-server mereka. Apa yang kemudian dilakukan server-server tersebut terhadap informasi itu merupakan spekulasi," kata Lerner.

Pendekatan pengendusan "cat" untuk memonitor JavaScript bisa digunakan lebih dari sekadar pengendusan riwayat, jelas Lerner. "Hal tersebut bisa berguna untuk mengetahui informasi apa yang sedang dibocorkan oleh aplikasi-aplikasi di berbagai situs Web 2,0. Banyak aplikasi-aplikasi ini menggunakan tumpukan JavaScript."

Oleh karena itu sangat disarankan bagi anda untuk secara rutin meng-update peramban yang anda gunakan demi keamanan dan privasi anda di Internet.

Tidak ada komentar:

Posting Komentar