JAKARTA – Tim keamanan siber dari Imperva baru-baru ini menemukan adanya celah keamanan pada Chrome dan browser berbasis Chromium. Celah ancaman ini disebut mengancam begitu banyak pengguna kedua aplikasi tersebut yang diprediksi telah 2,5 miliar orang.
Dikutip dari Tech Radar, Senin (16/1/2023), celah keamanan ini disebut memiliki kerentanan yang tinggi, sehingga memungkinkan penyerang mencuri file sensitif pengguna, termasuk isi dari dompet cryptocurrency yang mereka punya, termasuk kredensial untuk login.
Dijelaskan lebih lanjut, celah keamanan terkait dengan cara browser memproses symlink. Sebagai informasi, symlink atau symbiotic links merupakan file yang bertugas mengarahkan pada file atau direktori lain.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
“Symlink berguna untuk membuat pintasan, mengarahkan ulang jalur file, atau mengatur file dengan cara lebih fleksibel,” tutur para peneliti dalam unggahan di blog-nya.
Namun apabila file symlink tersebut tidak ditangani dengan benar, mereka dapat menimbulkan kerentanan. Dan dalam hal ini, peneliti menemukan browser tidak bisa memastikan dengan benar apakah symlink merujuk pada lokasi yang sebenarnya bisa diakses atau tidak.
Sebagai salah satu contoh skenario yang dapat dilakukan, penyerang dapat membuat dompet cryptocurrency atau situs web palsu. Selanjutnya, situs tersebut akan meminta pengguna mengunduh file yang disamarkan sebagai kunci pemulihan mereka.
Padahal, file yang diunduh itu sebenarnya akan menjadi symlink menuju file atau folder sensitif di komputer pengguna. Melalui cara ini, korban tidak menyadari data sensitif mereka telah disusupi.
“Dalam skenario serangan yang dijelaskan di atas, penyerang akan memanfaatkannya dengan memberikan file zip berisi symlink pada pengguna, alih-alih kunci pemulihan yang sebenarnya,” ujar tim peneliti.
Kerentanan ini telah diidentifikasi sebagai CVE-2022-3656, yakni validasi data yang tidak mencukupi pada cacat File System. Google sendiri telah mengatasi masalah dengan merilis Chrome 108, sehingga pengguna disarnkan untuk segera melakukan pembaruan.
Demi Keamanan, Google Chrome Bakal Blokir Semua Unduhan Mencurigakan
Di sisi lain, Google mengembangkan sebuah fitur baru untuk meningkatkan keamanan web browser-nya. Sejak beberapa waktu lalu, Google Chrome memang memprioritaskan koneksi aman ketika pengguna berselancar.
Kemampuan Google Chrome untuk menampilkan seluruh halaman secara default melalui protokol HTTP pertama ditawarkan pada versi 90. Chrome beralih ke protokol HTTP, ketika situs web yang dikonsultasikan tidak mendukung protokol aman.
Belakangan, Google menyempurnakan sistemnya dengan menambah opsi “HTTPS only” pada Chrome 94.
Terakhir, yang umumnya tersedia di sebagian besar browser web, dirancang untuk meningkatkan keamanan saat mengunjungi internet dengan membatasi laman web apa yang ditampilkan di browser, pada protokol HTTPS.
Akibatnya, ketika situs web tidak mendukung penelusuran aman, browser web tak lagi otomatis beralih ke HTTP. Halaman peringatan menyatakan pengguna akan memuat halaman web tidak aman muncul, sehingga pengguna berhenti mengakses.
Kini, sebagaimana dikutip Gizchina, Rabu (4/1/2023), Google bersiap memperluas modul HTTPS only-nya termasuk pada seluruh file yang diunduh.
Menurut kode temuan 9to5Google di Chromium Gerrit, sebuah platform kolaboratif bagi pengembang untuk meninjau protokol HTTP, Google akan segera memblokir file hasil unduhan yang dianggap tidak aman.
Cara Kerjanya?
Cara kerjanya, ketika Chrome menyadari ada sebuah file unduhan yang menggunakan protokol HTTP tidak aman, Google segera memblokirnya.
Opsi baru ini melampaui apa yang kini disediakan browser, karena memengaruhi sejumlah kasus baru. Unduhan apa pun dari halaman web yang tidak aman, yang memakai pengalihan tidak aman atau URL yang bukan HTTPS, akan diblokir oleh browser.
Untuk menyelesaikan pengunduhan file yang diminta, pengguna bisa selalu meminta agar Chrome menghapus blokir, dengan begitu tindakan pemblokiran masih jadi opsional.
Versi eksperimental dari fitur keamanan baru yang tengah dikembangkan ini awalnya hanya tersedia di Chrome. Fitur ini rencananya dirilis pada Maret 2023, saat peluncuran Chrome 111.
Fitur Penghemat Baterai dan Memori Lebih Hemat di Google Chrome
Sebelumnya, Google membawa sejumlah fitur seperti mode penghemat memori dan penghemat energi untuk peramban (browser) mereka Chrome di update 108, yang diklaim bisa meningkatkan kinerja browser dan memperpanjang masa pakai baterai.
Mark Chang, Group Product Manager Chrome di blog resmi Google, mengatakan mereka memperkenalkan dua setelan kinerja baru sehingga Chrome menggunakan memori hingga 40 persen dan 10 GB lebih sedikit.
Hal ini agar tab pengguna tetap berjalan lancar, dan memperpanjang baterai Anda saat hampir habis.
“Kami akan meluncurkan mode Memory Saver dan Energy Saver selama beberapa pekan ke depan secara global untuk Windows, macOS, dan ChromeOS,” kata Chang, dikutip Selasa (13/12/2022).
Untuk mode Memory Saver, akan membebaskan memori dari tab yang tidak digunakan, sehingga situs yang aktif dan sedang dijelajahi di Google Chrome akan tetap menghadirkan pengalaman yang lancar.
“Ini khususnya berguna saat Anda menjalankan aplikasi intensif lain, seperti editing video keluarga atau bermain gim. Semua tab yang tidak aktif akan dimuat ulang ketika Anda membutuhkannya,” kata Chang.
Sementara, fitur mode Energy Saver berguna untuk memaksimalkan masa pakai baterai perangkat desktop.
Saat pengguna menjelajahi Web dengan Chrome dan baterai perangkat mencapai 20 persen, Chrome akan menghemat daya dengan membatasi aktivitas latar belakang dan efek visual untuk situs web dengan animasi dan video.
Chang juga menegaskan pengguna akan punya kendali untuk mempersonalisasi kinerja Chrome yang dia gunakan, di mana fitur ini bisa dimatikan, atau menandai situs yang dikecualikan dari Memory Saver.