Sebuah perusahaan Inggris yang berupaya menghasilkan uang dari alamat web yang salah ketik membahayakan keamanan perusahaan-perusahaan internet terbesar, menurut seorang peneliti keamanan.
Masalahnya berasal dari ISP yang mempekerjakan perusahaan Inggris Barefruit untuk mencegat lalu lintas dari domain yang tidak ada, di mana pengguna mengetik alamat web yang tidak ada.
Alih-alih mengembalikan halaman pesan kesalahan normal, Barefruit menyediakan daftar saran untuk situs yang mungkin ingin dikunjungi pembaca, serta serangkaian iklan.
Potensi kelemahan keamanan muncul ketika pengguna salah mengetik subdomain situs web terkenal – seperti webmale.google.com, bukan webmail.google.com. Dalam hal ini, menurut laporan di situs teknologi ternama Kabel.com, konten Barefruit muncul di jendela browser sementara bilah judul terus menunjukkan bahwa itu adalah situs resmi Google.
Peneliti keamanan IOActive, Dan Kaminsky, mengklaim server Barefruit rentan terhadap serangan JavaScript itu memungkinkan untuk menyajikan tautan apa pun yang diinginkan penyerang, namun tetap memiliki tampilan situs resmi. Serangan semacam itu dapat digunakan untuk mengelabui orang agar membocorkan data pribadi ke situs PayPal atau akun Facebook palsu, misalnya.
Barefruit memperbaiki kelemahan Javascript minggu lalu, namun Kaminsky mengklaim masalah mendasarnya masih ada. “Seluruh keamanan internet sekarang bergantung pada beberapa server iklan acak yang dijalankan oleh beberapa perusahaan Inggris,” kata Kaminsky Kabel.
Barefruit tidak dapat dimintai komentar pada saat publikasi ini, tetapi perusahaan memberi tahu Kabel. “Barefruit berupaya untuk memastikan keamanan online sambil menyediakan antarmuka pengguna internet yang lebih baik mengganti pesan kesalahan yang tidak membantu dan membingungkan dengan alternatif yang relevan dengan pengguna pencarian."
