Cacat Zoom Mengubah Kamera Mac Menjadi Kamera Mata-mata

0
Zoom

Seorang peneliti keamanan telah menemukan kelemahan dalam aplikasi konferensi video populer Zoom yang dapat digunakan untuk menyalakan kamera pada komputer Macintosh tanpa izin pengguna.

Kerentanan tersebut memungkinkan situs web mana pun untuk secara paksa menggabungkan pengguna ke panggilan Zoom, dengan kamera video mereka diaktifkan, tanpa izin pengguna, jelas Jonathan Leitschuh dalam sebuah posting yang diterbitkan Senin di Medium.

Leitschuh adalah seorang insinyur perangkat lunak senior di Gradle, sebuah proyek perangkat lunak sumber terbuka yang berpusat di San Francisco. Artikelnya menunjukkan cara menyematkan kode ke dalam situs web sehingga setiap pengguna Zoom yang masuk ke sana akan langsung terhubung ke rapat Zoom dengan kamera video yang menyala.

Kode tersebut dapat digunakan dalam iklan berbahaya atau kampanye phishing, tulisnya.

Pengguna dalam Kontrol Penuh

Zoom membantah beberapa kesimpulan Leitschuh dalam unggahan hari Senin oleh Kepala Pejabat Informasi Richard Farley, termasuk pernyataan bahwa penyelenggara rapat dapat mengaktifkan video peserta secara default.

Farley menulis bahwa host atau peserta tidak dapat mengabaikan pengaturan audio dan video pengguna. Termasuk menyalakan atau mematikan kamera.

Akan sulit bagi pengguna nakal untuk menyembunyikan keikutsertaan mereka dalam suatu rapat, tegas Farley.

“Karena antarmuka pengguna klien Zoom berjalan di latar depan saat diluncurkan, pengguna akan segera menyadari bahwa mereka tidak sengaja bergabung dalam rapat dan mereka dapat mengubah pengaturan video atau langsung keluar,” tulisnya.

Zoom belum melihat satu pun contoh kerentanan Leitschuh yang dieksploitasi secara luas, tulis Farley.

Meskipun demikian, dalam pembaruan Zoom berikutnya, pengguna akan dapat menerapkan pengaturan yang mereka gunakan untuk sesi Zoom pertama mereka ke semua sesi mendatang secara otomatis, katanya.

Baca juga  Inisiatif pemerintah AI

Target di Belakang Zoom

Leitschuh juga menemukan bahwa kerentanan yang ditemukannya dapat digunakan untuk meluncurkan serangan penolakan layanan pada satu mesin. Serangan ini akan memungkinkan pengiriman permintaan rapat berulang kali ke Mac, yang pada akhirnya akan menguncinya.

“Kami tidak memiliki indikasi bahwa hal ini pernah terjadi,” tulis Farley.

Namun, ia mengakui bahwa perusahaan telah merilis perbaikan untuk masalah tersebut pada bulan Mei, meskipun Zoom tidak memaksa penggunanya untuk memperbarui karena secara empiris kerentanan tersebut berisiko rendah.

Leitschuh mengkritik pemasangan kode server Web oleh Zoom agar kliennya dapat memperbarui dan memasang versi baru dari dirinya sendiri. Kode tersebut tetap ada di komputer meskipun Zoom dihapus dari komputer.

“Membuat setiap pengguna Zoom memiliki server Web yang menerima permintaan HTTP GET yang memicu kode di luar sandbox browser merupakan target besar bagi Zoom,” tulisnya.

Leitschuh tidak sendirian dalam kritiknya terhadap Zoom.

“Membiarkan server tetap berjalan bahkan setelah dihapus instalasinya tidak dapat diterima,” kata Martin Hron, peneliti keamanan di Avast , yang berkantor pusat di Praha, Republik Ceko. Avast membuat perangkat lunak keamanan, termasuk program antivirus untuk Mac.

Mengatasi Pengalaman Pengguna yang Buruk

Server Web dengan fungsionalitas terbatas merupakan solusi sementara untuk mengakomodasi perubahan yang dibuat di Safari 12, jelas Farley. Perubahan tersebut mengharuskan pengguna untuk mengonfirmasi bahwa mereka ingin meluncurkan klien Zoom setiap kali mereka bergabung dalam rapat. Server Web lokal memungkinkan pengguna untuk bergabung dalam rapat secara langsung tanpa melalui langkah tersebut.

“Kami merasa bahwa ini adalah solusi yang sah untuk masalah pengalaman pengguna yang buruk, yang memungkinkan pengguna kami untuk mengikuti rapat dengan lebih cepat, cukup dengan satu klik saja,” tulis Farley.

Baca juga  6+ Aplikasi Pencatat Keuangan Gratis di HP Android

“Kami tidak sendirian di antara penyedia konferensi video dalam menerapkan solusi ini,” tambahnya.

Farley mengakui tidak ada cara mudah untuk menghapus klien Zoom dan aplikasi server Web pada Mac setelah klien Zoom diluncurkan, tetapi ia menambahkan bahwa aplikasi baru untuk menghapus kedua file tersebut diharapkan akan dirilis akhir pekan ini.

Hingga saat itu, pengguna harus menonaktifkan pengaturan yang mengaktifkan kamera saat bergabung dalam rapat, serta melarang browser membuka aplikasi Zoom secara otomatis untuk tautan Zoom, kata Hron dari Avast kepada TechNewsWorld.

Mimpi Buruk Privasi

Kerentanan tersebut dapat menjadi berita buruk bagi pengguna Zoom Mac, yang jumlahnya lebih dari 4 juta, menurut Leitschuh.

“Meskipun sebagian besar pengguna Zoom bekerja di perusahaan, mereka tetaplah konsumen, dan kerentanan ini dapat mengakibatkan mimpi buruk privasi jika komputer kantor mereka digunakan di rumah atau untuk keperluan pribadi,” kata Hron.

“Situs web mana pun dapat mengaktifkan klien Zoom dengan umpan video yang diaktifkan, yang pada dasarnya dapat mengubah sesi penelusuran biasa menjadi pelanggaran privasi yang serius di rumah,” jelasnya.

Mengaktifkan kamera dan audio di Mac Anda tanpa sepengetahuan Anda dapat menciptakan sejumlah skenario dengan hasil yang buruk, saran Greg Young, wakil presiden Keamanan Siber di Trend Micro , penyedia solusi keamanan siber yang berkantor pusat di Tokyo.

“Salah satu hasilnya bisa jadi adalah penggunaan rekaman video atau tangkapan layar untuk pemerasan,” ungkapnya kepada TechNewsWorld.

“Cara lainnya adalah ketika memasukkan informasi kartu kredit secara daring, kita semua memegang kartu di depan kita agar terlihat oleh kamera, dan biasanya membaliknya setidaknya satu kali,” kata Young.

Dunia usaha juga harus khawatir, kata Adam Kujawa, direktur laboratorium Malwarebytes, perusahaan pembuat perangkat lunak antimalware untuk Microsoft Windows, macOS, Android, dan iOS yang berbasis di Santa Clara, California.

Baca juga  Seorang pria asal London didakwa di AS atas skema peretasan perdagangan senilai £3 juta

“Jika sesuatu yang dikatakan dan ditunjukkan di kamera dapat dimata-matai, itu bisa sangat berbahaya bagi perusahaan dengan banyak kekayaan intelektual yang harus disembunyikan,” katanya kepada TechNewsWorld.

Sulit untuk dijadikan senjata, mudah untuk dieksploitasi

Kujawa mengatakan, kelemahan tersebut akan sulit untuk dijadikan senjata efektif bagi penjahat dunia maya, namun kemudahan eksploitasinya akan mengundang kerusakan.

“Kirim saja email yang meyakinkan dengan tautan yang mengarah ke server localhost dan tunggu pengguna mengkliknya,” ungkapnya, “atau bagikan di media sosial.”

Ini adalah praktik dalam industri untuk memberi pembuat perangkat lunak waktu 90 hari untuk memperbaiki kelemahan yang ditemukan oleh pemburu bug.

“Sayangnya, Zoom belum memperbaiki kerentanan ini dalam kurun waktu 90 hari yang diberikan kepada mereka, sebagaimana standar industri,” tulis Leitschuh. “Lebih dari empat juta pengguna Zoom di Mac kini rentan terhadap pelanggaran privasi dengan menggunakan layanan ini.”

Leave a Reply

Your email address will not be published. Required fields are marked *