Google melaporkan perusahaan yang menjual spyware untuk Chrome, Firefox, dan Windows Defender

Secara singkat: Apple dan Google sebelumnya telah memperingatkan pengguna tentang perusahaan yang menjual spyware seluler. Laporan Google baru merinci spyware komersial yang menargetkan komputer melalui browser Windows dan perangkat lunak antivirus. Kerentanan yang mereka eksploitasi telah ditambal – tanda lain bahwa pengguna harus memperbarui perangkat lunak mereka.

Grup Analisis Ancaman Google (TAG) melaporkan bahwa sebuah perusahaan Barcelona menjual spyware yang mengeksploitasi kerentanan di Chrome, Firefox, dan Windows Defender untuk melakukan pemantauan kontrak pada komputer target. Kerentanan terhenti ketika perusahaan mengeksploitasinya, tetapi Google, Mozilla, dan Microsoft menambalnya pada tahun 2021 dan awal 2022.

Variston IT menyebut dirinya sebagai penyedia solusi keamanan khusus, tetapi Google menganggapnya sebagai perusahaan pengawasan komersial. Laporan tersebut membandingkannya dengan entitas seperti RCS Labs dan NSO Group, yang telah menjual alat yang memungkinkan pemerintah memata-matai perangkat jurnalis, pembangkang, dan diplomat. Kode dari laporan bug anonim yang merinci kerentanan mengarahkan Google ke Variston.

Framework web bernama Heliconia Noise mengeksploitasi kerentanan di perender Chrome pada build 90.0.4430.72 (April 2021) hingga 91.0.4472.106 (Juni 2021). Itu dapat mengeksekusi kode dari jarak jauh dan keluar dari kotak pasir Chrome di sistem operasi pengguna. Google memperbaiki kerentanan pada Agustus 2021.

Variston dapat menyerang Windows Defender – antivirus default untuk Windows 10 dan 11 – dengan file PDF yang rentan. PDF akan dipublikasikan saat pengguna mengunjungi URL yang terinfeksi, yang akan memicu pemindaian Windows Defender dan memulai rantai infeksi. Microsoft menambal kerentanan pada November 2021.

Terakhir, file Heliconia menggunakan rantai eksploitasi Firefox Windows dan Linux untuk melakukan eksekusi kode jarak jauh di browser Mozilla. Versi Windows berisi pelarian kotak pasir yang ditambal oleh Mozilla pada 2019. Bagian lain dari paket jahat dilaporkan pada Maret 2022, tetapi mungkin telah digunakan sejak Desember 2018.

Meskipun kerentanan dalam laporan TAG terbaru tidak lagi mengancam sistem yang diperbarui sepenuhnya, pengguna yang peduli harus mengetahui informasi yang mungkin bocor akhir tahun lalu dan awal tahun ini. Temuan membuktikan bahwa industri pengawasan komersial tumbuh sebagai pemilik platform pertempuran perusahaan tersebut.

November lalu, Apple menggugat NSO Group dan perusahaan induknya karena menerbitkan spyware yang ditemukan di iPhone diplomat AS. Perusahaan Cupertino juga memperkenalkan mode Lockdown yang menonaktifkan fitur iPhone tertentu untuk melawan spyware, tetapi itu bisa mengalahkan tujuan tersebut dengan mempermudah sidik jari ponsel.