Beberapa waktu terakhir, saya melakukan eksperimen keamanan dan mendapati bahwa malware berbasis Chrome Extension bisa sangat berbahaya ....
Beberapa waktu terakhir, saya melakukan eksperimen keamanan dan mendapati bahwa malware berbasis Chrome Extension bisa sangat berbahaya.
📌 Saya berhasil membuat keylogger berbasis add-ons yang:
- Bisa berjalan tanpa disadari user
- Merekam login saat mengakses aplikasi sensitif seperti KlikBCA
- Tidak terdeteksi melalui tab Network di DevTools
- terbebas alware dari virustotal scan
⚠️ Ini menunjukkan betapa rentannya form login biasa di browser desktop terhadap extension jahat.
💡 Maka, saya mencoba membuat prototipe Anti-Malware Login v2 — login system yang tahan terhadap pencurian data via extension. Berikut teknologi yang saya gunakan:
✅ 6 Lapisan Keamanan:
- Virtual Keyboard Input tidak lewat <input> form biasa, sehingga keylogger extension tidak bisa membaca ketikan.
- Hidden Decoy Inputs Membuat input palsu untuk mengecoh spyware yang membaca dari DOM.
- Client-side AES Encryption (CBC Mode) Username & password terenkripsi sebelum dikirim ke server, dilindungi oleh kombinasi Client Secret + Session Token.
- Session-based CSRF Token Token unik dihasilkan per sesi untuk mencegah serangan CSRF.
- Anti-Debugging Features Blokir F12, Ctrl+U, dan indikasi inspeksi DevTools.
- Input Disimpan di Memori (bukan DOM) Tidak ada data sensitif yang tertulis di HTML — hanya ada di JavaScript memory.
🛡️ Hasilnya: Extension jahat tidak bisa mengakses input asli, dan bahkan tertipu oleh form palsu. Ini bukan solusi sempurna, tapi sangat meningkatkan lapisan keamanan saat login.
📱 Catatan tambahan: Browser Chrome versi mobile lebih aman dari serangan ini karena tidak mendukung add-ons/extension.
🔍 Saya akan bahas solusi untuk para developer (best practices agar login form aman) di artikel terpisah.
🚫 Jangan sembarangan install extension dari Chrome Web Store. Validasi, audit, dan minimalisir add-ons yang tidak perlu.
Kalau kamu tertarik dengan topik keamanan aplikasi web dan eksplorasi seperti ini, feel free to connect & share your thoughts.
#cybersecurity #websecurity #frontendsecurity #malwareprotection #virtualkeyboard #infosec #OWASP #linkedinposting
COMMENTS