Kerentanan Zoom Sangat Serius, Kamera Mac Dapat Dibajak
Ilustrasi.
Jakarta, Cyberthreat.id - Hari ini, peneliti keamanan Jonathan Leitschuh mengungkapkan kerentanan zero-day yang serius untuk aplikasi konferensi video Zoom di Mac. Dia menunjukkan bahwa situs web mana pun dapat membuka panggilan yang mendukung video di Mac dengan aplikasi Zoom yang telah diinstal.
Kemungkinan aplikasi Zoom menginstal server web pada Mac yang menerima permintaan browser biasa. Bahkan, jika Anda menghapus Zoom, server web itu tetap ada dan dapat menginstal ulang Zoom tanpa campur tangan Anda.
Dengan menggunakan demo Leitschuh, The Verger telah mengkonfirmasi kerentanan itu - mengklik tautan jika sebelumnya Anda telah menginstal aplikasi Zoom (dan belum memeriksa kotak centang tertentu di pengaturan) akan secara otomatis bergabung dengan Anda ke panggilan konferensi dengan kamera Anda aktif.
Leitschuh merinci bagaimana ia secara bertanggung jawab mengungkapkan kerentanan terhadap Zoom kembali pada akhir Maret, dan memberikan waktu 90 hari agar Zoom menyelesaikan masalah.
Menurut akun Leitschuh, Zoom tampaknya tidak maksimal menyelesaikan masalah. Kerentanan ini juga diungkapkan kepada tim Chromium dan Mozilla, tetapi karena itu bukan masalah dengan browser mereka, maka tidak banyak yang bisa dilakukan oleh pengembang.
Menyalakan kamera Anda sudah cukup buruk, tetapi keberadaan server web di komputer mereka dapat membuka masalah yang lebih signifikan bagi pengguna Mac. Misalnya, dalam versi Zoom yang lebih lama (sejak ditambal), dimungkinkan untuk melakukan penolakan serangan layanan pada Mac dengan terus-menerus melakukan ping ke server web: "Dengan hanya mengirim permintaan GET berulang untuk nomor buruk, aplikasi Zoom akan terus meminta 'fokus' dari OS, ” tulis Leitschuh.
Anda dapat "menambal" masalah kamera sendiri dengan memastikan aplikasi Mac mutakhir dan juga menonaktifkan pengaturan yang memungkinkan Zoom menghidupkan kamera Anda ketika bergabung dengan rapat.
Sekali lagi, cukup menghapus Zoom tidak akan memperbaiki masalah ini, karena server web itu masih ada di Mac Anda. Mematikan server web perlu menjalankan beberapa perintah terminal, yang dapat ditemukan di bagian bawah tulisan Medium.
Dalam pernyataan kepada The Verge, Zoom mengatakan pihaknya mengembangkan server web lokal untuk menghemat pengguna beberapa klik, setelah Apple mengubah browser web Safari-nya dengan cara yang mengharuskan pengguna Zoom untuk mengonfirmasi bahwa mereka ingin meluncurkan Zoom setiap kali.
Perusahaan mengatakan akan mengubah aplikasi dalam satu cara kecil: mulai bulan Juli, Zoom akan menghemat preferensi pengguna dan administrator untuk apakah video akan dihidupkan, atau tidak, ketika mereka pertama kali bergabung dengan panggilan.
Secara keseluruhan, sepertinya Zoom tidak berencana mengubah secara drastis bagaimana perilakunya pada Mac untuk menghindari tersedot ke panggilan yang tidak diinginkan, tetapi sebaliknya akan bergantung pada pengguna untuk mematikan kamera mereka secara default.[]
