- Langganan kalender dapat dibajak, memasukkan tautan phishing atau malware ke dalam jadwal pengguna
- Bitsight menemukan 347 domain memengaruhi sekitar 4 juta perangkat, sebagian besar di Amerika Serikat
- Bukan bug, tapi fungsionalitas berisiko; pengguna harus mengelola langganan dengan hati-hati
Sebuah fitur yang nyaman di populer aplikasi kalender dapat disalahgunakan untuk mengelabui orang agar mengeklik tautan jahat atau memberikan informasi sensitif, kata para peneliti.
Aplikasi kalender paling populer memungkinkan pengguna berlangganan kalender eksternal, sehingga pihak ketiga, seperti bisnis atau organisasi, dapat menambahkan acara langsung ke jadwal pelanggan. Itu bisa berupa apa saja, mulai dari diskon dan acara penjualan hingga acara publik, hari libur, dan banyak lagi.
Namun, jika suatu bisnis tutup, atau domainnya habis masa berlakunya, langganan kalendernya tidak ikut habis masa berlakunya. Jika penjahat dunia maya berhasil mendapatkan domain tersebut, mereka dapat menambahkan acara langsung ke kalender orang lain, termasuk link ke halaman phishing, atau situs hosting. perangkat lunak perusak. Hal yang sama berlaku untuk bisnis yang infrastrukturnya dibajak atau diretas.
Bisnis yang berisiko
Hal ini menurut peneliti keamanan sedikit melihat yang menyatakan bahwa ini adalah masalah nyata, yang saat ini memengaruhi sekitar empat juta perangkat, karena serangan tersebut menyalahgunakan kepercayaan masyarakat terhadap berbagai merek dan organisasi.
“Penelitian kami dimulai dengan satu domain yang kami lubangi, mencatat 11.000 alamat IP unik per hari,” kata para ahli.
“Domain ini berfungsi sebagai server untuk kalender berlangganan yang mendistribusikan acara-acara libur umum dan sekolah di Jerman, dan hal ini menarik perhatian kami. Mengapa domain untuk hari libur Jerman, dengan file .ics, tersedia?”
Mereka akhirnya menemukan 347 domain, termasuk acara FIFA 2018, kalender Hijriah Islam, dan lainnya, yang terhubung ke sekitar empat juta alamat IP unik, yang sebagian besar berlokasi di Amerika Serikat.
Bitsight menekankan bahwa ini bukanlah kerentanan atau bug di aplikasi kalender. Ini hanyalah sebuah fungsi yang pada dasarnya memiliki risiko, dan oleh karena itu, fungsi tersebut harus dikelola oleh pengguna akhir. Mereka juga mengatakan bahwa empat juta kemungkinan target tersebut merupakan pernyataan yang sangat meremehkan, karena hanya mencakup sebagian kecil dari ekosistem iPhone dan bahkan tidak mencakup Android.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
