Peneliti Temukan Kelemahan Zoom, Sandi Private Meeting Bisa Dibobol dalam Hitungan Menit
Ilustrasi | Foto: The Hacker News
Cyberthreat.id – Aplikasi telekonferensi video, Zoom, baru-baru ini memperbaiki kelemahan keamanan (bug) yang memungkinkan penyerang memecahkan kode sandi numerik untuk mengamankan private meeting.
Secara default, rapat Zoom memang dilindungi oleh enam digit kata sandi numerik. Namun, karena sebuah kelemahan, seorang penyerang bisa mencoba semua satu juta kata sandi dalam hitungan menit dan mendapatkan akses ke sebuah private meeting yang dilindungi kata sandi.
Demikian temuan Tom Anthony, VP Product di SearchPilot seperti dikutip dari The Hacker News, Kamis (30 Juli 2020) yang diakses, Jumat (31 Juli).
Sejak April lalu, Zoom menggunakan kode sandi untuk semua pertemuan sebagai tindakan pencegahan untuk memerangi serangan “Zoombombing”—peserta rapat yang tak diundang dan membuat onar rapat Zoom; biasanya dengan konten-konten cabul dan rasis.
Anthony melaporkan masalah keamanan kepada perusahaan pada 1 April 2020, bersama dengan naskah proof-of-concept berbasis Python. Zoom memperbaiki kesalahan pada 9 April.
Dengan temuan itu menunjukkan, rapat Zoom, secara default, diamankan kode enam digit dengan hanya maksimal satu juta kata sandi.
Penyerang dapat memanfaatkan web Zoom (https://zoom.us/j/MEETING_ID) untuk terus mengirim permintaan HTTP dan encoba semua satu juta kombinasi.
"Dengan peningkatan threading (sekumpulan perintah/instruksi), dan mendistribusikan di 4-5 peladen (server) cloud, Anda dapat memeriksa seluruh ruang kata sandi dalam beberapa menit," kata Anthony.
Setelah kode sandi dibongkar, aktor jahat bisa memiliki akses ke pertemuan yang sedang berlangsung.
Peneliti juga menemukan bahwa prosedur yang sama dapat diulang, bahkan dengan pertemuan terjadwal (scheduled meeting), yang memiliki opsi untuk mengganti kode sandi default dengan varian alfanumerik yang lebih panjang.
Dengan menjalankan daftar 10 juta kata sandi teratas, penyerang secara kasar bis memaksa login.
Setelah temuan, Zoom menjadikan platform berbasis web offline untuk mengurangi masalah pada 2 April sebelum mengeluarkan perbaikan sepekan kemudian.[]
