Gerilya Cybercrook Membidik Zoom
Naik daunnya Zoom menjadi daya tarik cybercrook. Muncul ancaman berupa adware dan trojan RAT yang menyamar aplikasi dan menargetkan pengguna Android.
Trojan RAT Membidik Pengguna Android Zoom

Naik daunnya Zoom menjadi daya tarik cybercrook. Muncul ancaman berupa adware dan trojan RAT yang menyamar aplikasi dan menargetkan pengguna Android.

Andi Nugroho | Kamis, 02 April 2020 - 17:15 WIB

Cyberthreat.id – Gerakan mereka tak pernah terduga, tanpa aba-aba, dan seketika membuat target tak berdaya. Selayaknya operasi gerilya, para penjahat siber (cybercrook) mengintai korban dengan berbagai cara—biasanya menunggu korban terlena.

Dan, klik!

Korban masuk ranjau. Perangkat lunak berbahaya (malware)  pun menjalar ke sistem perangkat korban.

Gambaran serangan itu baru-baru ini terlihat oleh perusahaan perangkat lunak antivirus asal Rumania, Bitdefender. Peneliti menemukan ancaman yang menargetkan pengguna Zoom.

Aplikasi telekonferensi video itu mendadak populer sejak pandemi global Covid-19. Ketika pemerintah dan perusahaan “merumahkan” pegawainya dan bekerja dari rumah (work from home/WFH), demi menghambat virus corona meluas, rapat-rapat daring dilakukan, tak terkecuali belajar daring oleh siswa dan sekolah.

Sepanjang Maret lalu, unduhan Zoom melonjak drastis. (Baca: Zoom Kalahkan Microsoft Teams Selama Work From Home)

Naik daunnya Zoom ternyata menjadi daya tarik cybercrook. Awalnya, gangguan pengguna berupa “zoombombing”; kehadiran orang tak dikenal di pertemuan kuliah atau rapat kantor, yang menampilkan video atau gambar pornografi.

Namun, baru-baru ini, ancaman itu lebih serius lagi seperti yang ditemukan peneliti Bitdefender: serangan adware dan trojan akses jarak jauh.

Ranjau malware itu ditebar di luar toko aplikasi (Play Store). Dan, memang, secara khusus menargetkan pengguna Android.

Peneliti Bitdefender meneliti tiga sampel ancaman, ini sampel pertama:

  • Sampel yang dianalisis: 30a1a22dcf7fa0b62809f510a43829b1
  • Nama paket: us.zoom.videomeetings
  • Deteksi: Android.Trojan.Downloader.UJ
  • Label aplikasi: Zoom

Malware ini memiliki komponen yang disuntikkan dalam aplikasi Zoom yang dikemas ulang (repackage) lalu dipasarkan ulang melalui pasar pihak ketiga,” tulis peneliti Bitdefender di blog perusahaan, Selasa (31 Maret 2020).

Menurut peneliti, penjahat mengkloning aplikasi asli sehingga memilik antarmuka (interface) tampak meyakinkan dan sah. Malware yang disuntikkan perangkat lunak palsu itu didesain untuk mengunduh muatan utama dari infrastruktur perintah dan kontrol (C2) di tcp[:]//googleteamsupport[.]ddns.net:4444.

“Ini adalah layanan DNS (domain name system) dinamis yang memungkinkan pengguna dengan alamat IP dinamis untuk memetakannya ke subdomain, sehingga mereka dapat menawarkan layanan tanpa gangguan, bahkan ketika alamat IP dinamisnya berubah,” tulis peneliti.

Dalam penyelidikannya, subdomain tersebut diarahkan ke alamat IP di Yordania (92.253.77.106) yang menautkan ke sweetman2020 [.] No-ip []. Biz; yang digunakan sebagai server C2 untuk Trojan akses jarak jauh Android (RAT)—dikenal sebagai SandoRAT dan DroidJack.


Berita Terkait:


Target China dan AS

Selain itu, peneliti juga meneliti sampel kedua, seperti di bawah ini, dan menemukan file installer Zoom APK yang telah tercemar malware iklan (adware) dan menargetkan pengguna di China. Setelah diinstal, aplikasi meminta izin ponsel, lokasi, dan foto. Perangkat lunak ini dirancang untuk menampilkan iklan kepada para korban, tetapi hanya sesaat.

Berikut sampel kedua:

  • Sampel yang dianalisis: fb5243138a920129dd85bb0e1545c2be
  • Nama paket: us.zoom.videomeetings
  • Deteksi: Android.Adware.Downloader.BC
  • Label aplikasi: Zoom
  • Target: China

“Ketika korban mengetuk ikon aplikasi, aplikasi tersebut tidak melakukan apa-apa, atau menampilkan sebentar iklan sebelum menutup sendiri,” tulis peneliti.

Korban baru mendapati iklan segera setelah mereka mencoba untuk “Join a Meeting”. Pengguna akan terus menerima iklan ini sampai mereka menekan tombol “X”.

Pada sampel ketiga, peneliti menganalisis ancaman yang menargetkan pengguna Amerika Serikat. Sampel ini mencoba menyamar sebagai aplikasi Zoom dan membujuk korban untuk menginstalnya.

Berikut sampel ketiga:

  • Sampel yang dianalisis: 9930b683d4b31a3398da0fb75c27d056
  • Nama paket: app.z1_android_421120320_app_original_file
  • Deteksi: Android.Trojan.HiddenAds.AJR
  • Label aplikasi: ZOOM Cloud Meetings

“Saat dibuka, aplikasi awalnya menyembunyikan dirinya dari menu. Kemudian memulai alarm berulang yang secara acak mengirim intens ke Layanan Iklan (Ad Service). Layanan ini kemudian memulai AdActivity yang membuka iklan. Tautan dapat ditemukan di sumber daya: adsforapp1 [.]com,” tulis peneliti.

Selanjutnya, kata peneliti, malware melanjutkan dengan memeriksa string lain yang dikodekan dalam aset, yang disebut “admin”. Jika string benar, ia meminta hak admin perangkat. Jika salah, malware mencoba mengunduh file lain ketika diluncurkan.

Ketika dibuka, aplikasi diarahkan untuk mengunduh komponen tambahan. Sampel tersebut juga meminta izin admin perangkat dalam bahasa Inggris atau Rusia, berdasarkan bahasa default ponsel. “Malware juga memiliki kemampuan untuk memulai sendiri ketika perangkat dihidupkan,” tulis peneliti.[]

Perusahaan keamanan siber asal Israel, Check Point, mengingatkan agar publik berhati-hati ketika melakukan rapat virtual dengan aplikasi telekonferensi video.
Awas Jebakan Domain Palsu Aplikasi Zoom

Perusahaan keamanan siber asal Israel, Check Point, mengingatkan agar publik berhati-hati ketika melakukan rapat virtual dengan aplikasi telekonferensi video.

Faisal Hafis | Selasa, 31 Maret 2020 - 11:16 WIB

Cyberthreat.id – Perusahaan keamanan siber asal Israel, Check Point, mengingatkan agar publik berhati-hati ketika melakukan rapat virtual dengan aplikasi telekonferensi video. “Penjahat siber selangkah lebih maju,” tulis Check Point dalam unggahan di blog perusahaan yang diakses Selasa (31 Maret 2020).

Check Point mengatakan, dalam pengamatan selama beberapa pekan terakhir, perusahaan menemukan peningkatan besar pendaftaran domain baru, termasuk nama “Zoom”. Penjahat siber tampaknya menyaru nama platform telekonferensi video yang sedang naik daun dan dipakai selama bekerja dari rumah (work from home/WFH): Zoom.

Sejak awal tahun, menurut Check Point, lebih dari 1.700 domain baru terdaftar dan 25 persen dari domain terdaftar dalam sepekan terakhir, antara 12 Maret hingga18 Maret 2020.

“Dari domain terdaftar tersebut, sekitar empat persen mengandung karakteristik yang mencurigakan. Namun, Zoom bukan satu-satunya aplikasi yang ditargetkan oleh penjahat siber,” tulis Check Point.

Penjahat siber juga menargetkan situs web resmi classroom.google.com. Mereka meniru situs web tersebut dengan nama: googloclassroom\.com dan googieclassroom\.com.

Check Point mendeteksi file berbahaya dengan nama, seperti:

  • zoom-us-zoom _ ##########. Exe
  • microsoft-teams_V # mu # D _ ##########. exe (# mewakili berbagai digit).

“Menjalankan file-file ini mengarah ke instalasi InstallCore kategori potentially unwanted application (PUA) di komputer korban, sehingga berpotensi menyebabkan instalasi perangkat lunak berbahaya tambahan,” tulis perusahaan.


Berita Terkait:


Agar tetap aman

Check Point juga memberikan rekomendasi agar tetap aman melakukan rapat-rapat daring selama bekerja dari rumah. Anda bisa mengikuti langkah-langkah berikut ini:

  • sekitar 90 persen serangan siber dimulai dengan aksi email phishing. berhati-hatilah dengan email dan file yang diterima dari pengirim yang tidak dikenal, terutama jika mereka menawarkan penawaran atau diskon khusus.
  • jangan buka lampiran yang tidak dikenal atau klik tautan di dalam email.
  • waspadalah terhadap domain yang mirip, kesalahan ejaan dalam email dan situs web, dan pengirim email yang tidak dikenal.
  • cegah serangan zero-day dengan pengecekan arsitektur siber menyeluruh.[]

Redaktur: Andi Nugroho

Sebagian besar, kami mengumpulkan data pribadi langsung dari Anda, langsung dari perangkat Anda, atau langsung dari seseorang yang berkomunikasi dengan  Zoom.
Duh! Rapat Online via Zoom Tak Jamin Privasi Anda Aman

Sebagian besar, kami mengumpulkan data pribadi langsung dari Anda, langsung dari perangkat Anda, atau langsung dari seseorang yang berkomunikasi dengan Zoom.

Andi Nugroho | Jumat, 27 Maret 2020 - 16:49 WIB

Jakarta, Cyberthreat.id – Rabu pekan lalu, seorang teman wartawan ekonomi mengunggah sebuah foto di stories Instagram-nya sedang rapat jarak jauh bersama Menteri Keuangan RI Sri Mulyani.

Tampak di foto itu, Sri Mulyani berdiskusi santai bersama para wartawan yang biasa meliput di kementeriannya dengan berbagai posisi duduk dan latar belakang video berbagai rupa.

Sejak wabah virus corona (Covid-19) melonjak drastis di Indonesia, pada 15 Maret 2020, Presiden Joko Widodo menginstruksikan agar lembaga pemerintahan juga perusahaan swasta untuk bekerja dari rumah (work from home/WFH).

Wartawan yang sehari-hari meliputi di pemerintahan praktis terkena imbas pula. Namun, mereka masih diberi akses untuk jumpa pers daring (online) melalui Zoom, sebuah aplikasi konferensi video jarak jauh.

Ramai-ramai orang mengunduh Zoom  karena harus rapat daring dari rumah. Bahkan, seorang teman pegawai negeri sipil di Ditjen Imigrasi menulis di status WhatsApp-nya, bahwa “Aplikasi paling banyak diunduh PNS selama WFH...Zoom,” tulis dia.

Zoom memang paling populer di antara aplikasi telekonferensi yang ada di pasaran. Aplikasi ini cukup mudah dipakai dan ringan, terlebih pengguna tak perlu bayar apa pun untuk menggunakannya.

Saya mengenal aplikasi ini sejak pertengahan 2018, karena harus mengikuti “kopi udara” bersama teman lama yang sedang menempuh S-3 di AS. Teman saya itu rutin membuat jadwal diskusi. Jika tak mengikuti grup diskusi itu, saya mungkin baru mengenal Zoom saat wabah Covid-19 ini. Pertama kali mengenal aplikasi ini cukup takjub. Pengguna Indonesia yang ikut dalam diskusi itu, sama seperti saya, masih gagap untuk beradaptasi; koneksi internet kami juga beda-beda, sehingga ada yang di Solo atau daerah lain tidak terliha mukanya, hanya tedengar suara. Sementara peserta lain di AS atau salah satu tinggal di Belgia koneksinya lancar, bahkan ada salah satu peserta sambil jalan di trotoar asyik saja mengikuti diskusi, tanpa hambatan koneksi internet.

Zoom dikenalkan pertama kali ke publik oleh penciptanya Eric Yuan, seorang rekayasawan (engineer) dari Cisco System, pada 2011. Aplikasi ini membuat teman lama nun di sana serasa berada di dekat kita, bisa bertatap-tatap muka.

Pada awal 2020, seiring wabah Covid-19 mengguncang dunia, penggunaan aplikasi meningkat tajam karena sekolah dan perusahaan mengadopsi platform untuk pekerjaan jarak jauh.

Keponakan saya yang baru kelas tiga sekolah dasar pun menggunakan Zoom karena harus belajar daring dengan gurunya. “Belajar zaman now,” tulis kakak saya di status akun WhatsApp-nya sambil mengunggah foto anaknya sedang mendengarkan instruksi sang guru, yang wajahnya memenuhi layar laptop.

Namun, sebagai sebuah aplikasi gratis, tentu saja ada kompensasi yang harus diterima pengguna. Pengembang aplikasi gratis umumnya meminta data pengguna sebagai imbal balik penggunaan platform. Bagaimana dengan Zoom? Apakah aplikasi ini aman?

Pengumpulan data

Seperti halnya aplikasi gratis lain, Zoom juga melakukan pengumpulan data penggunanya. Pengembang juga tak memberikan banyak detail tentang bagaimana data-data itu digunakan untuk iklan, pemasaran, atau tujuan bisnis lain.

Dalam situs webnya, pengembang Zoom mengatakan, dapat mengumpulkan kategori data pribadi, seperti berikut ini:

  • informasi yang biasa digunakan untuk mengidentifikasi Anda, seperti nama, nama pengguna, alamat fisik, alamat email, nomor telepon, dan pengidentifikasi serupa lainnya,
  • informasi tentang pekerjaan Anda, seperti jabatan dan atasan Anda Kartu kredit/debit atau informasi pembayaran lainnya,
  • Informasi profil Facebook (ketika Anda menggunakan Facebook untuk masuk ke produk kami atau untuk membuat akun untuk produk kami).
  • informasi umum tentang preferensi produk dan layanan Anda,
  • informasi tentang perangkat Anda, jaringan, dan koneksi internet, seperti alamat IP Anda, alamat MAC, ID perangkat lain (UDID), jenis perangkat, jenis dan versi sistem operasi, dan versi klien,
  • informasi tentang penggunaan Anda atau interaksi lainnya dengan produk kami, dan
  • Informasi lain yang Anda unggah, sediakan, atau buat saat menggunakan layanan.

“Sebagian besar, kami mengumpulkan data pribadi langsung dari Anda, langsung dari perangkat Anda, atau langsung dari seseorang yang berkomunikasi dengan Anda menggunakan layanan Zoom, seperti host rapat, peserta, atau pemanggil,” tulis Zoom.

“Beberapa pengumpulan kami terjadi secara otomatis, yaitu dikumpulkan secara otomatis ketika Anda berinteraksi dengan produk kami...”

Namun, “Anda dapat menyesuaikan pengaturan tertentu untuk mengurangi jumlah data pribadi yang kami kumpulkan secara otomatis, seperti dengan mematikan cookies opsional di pengaturan browser Anda atau dengan menggunakan tautan Preferensi Cookie kami di bagian bawah halaman Zoom,” Zoom menambahkan.

Consumer Reports, organisasi nirlaba asal New York yang fokus pada pengujian penyimpangan dari sebuah produk, mengkritik kebijakan privasi pengembang Zoom.

“Jika Anda mulai menggunakan Zoom adalah relevan untuk meninjau masalah privasi,” tulis Consumer Reports, Selasa (24 Maret).

Sebab, sebagian besar pengguna Zoom mungkin tidak menyadari berapa banyak informasi yang dapat dikumpulkan oleh host—seseorang yang menjadi “tuan rumah” untuk memulai pertemuan.

Jadi, dalam sebuah pertemuan daring dengan Zoom, seorang host bisa merekam seluruh percakapan, berikut foto atau video atau data yang dipresentasikan. Seorang host biasanya yang membuat jadwal pertemuan atau membagikan tautan kepada orang lain untuk diajak bergabung dalam pertemuan daring itu.

Hal pertama yang harus dipahami, tulis Consumer Reports, informasi apa yang dikumpulkan dan apa yang bisa dilakukan dengan informasi tersebut. Tentu, pastikan seorang host itu menjamin data dan tidak dibagikan sembarangan.

Jika seorang host merekam sebuah konferensi, video tersebut dapat diedarkan di media sosial. Oleh karenanya, peserta bisa disarankan untuk mengklik tombol persetujuan sebelum perekaman dimulai. Zoom sudah memiliki fitur ini, tetapi tidak aktif secara default. Jika Anda mengadakan konferensi video, Anda perlu mengaktifkannya untuk keamanan privasi diri.

Mungkin ada ada pertanyaan begini: dapatkah video Zoom pengguna dipakai untuk menargetkan kampanye iklan atau mengembangkan algoritma pengenalan wajah? Tentu saja, kita tidak berharap ini terjadi, tapi siapa yang bisa menjamin hal ini di masa depan, sebab pengenalan wajah berbasis teknologi kecerdasan buatan (AI) telah kian canggih saat ini.

Direktur Kebijakan Privasi dan Teknologi Consumer Reports, Justin Brookman, mengatakan, seharusnya Zoom memperbarui syarat dan ketentuan aplikasinya untuk mejamin bahwa pengumpulan data selama pertemuan dari peserta atau host secara eksplisit dikecualikan dari penggunaan iklan atau pemasaran.

“Dan, mereka (Zoom) tidak boleh melihat dan menandai rekamana video untuk melatih AI untuk pengenalan wajah atau objek,” kata Justin.

Sebab, kata dia, bagi pengguna Zoom untuk telemedis atau layanan kesehatan mental, atau berbagi informasi apa pun yang tidak ingin diungkapkan kepada orang lain, sebuah rekaman yang dibuat dan bagaimana rekaman itu disimpan ialah informasi penting.

Sementara, Rowenna Fielding, aktivis juga kepala hak dan etika individu di Protecture—organisasi asal Inggris yang fokus pada isu perlindungan data—mengatakan, kebijakan privasi Zoom diibaratkan dengan “ember yang penuh bendera merah”.

“Meski kebijakan privasinya berhati-hati menyatakan, bahwa tidak ada data yang ‘dijual’, data itu masih digunakan untuk tujuan penargetan dan pemasaran. Ini dalam banyak kasus adalah berbahaya dan yang paling menjadi keberatan banyak orang, terutama jika iklan terprogram, seperti penawaran real-time," kara Rowenna kepada Forbes.

Dia mengatakan merujuk kebijakan privasi yang ada tersebut mungkin masih memenuhi standar privasi di Amerika Serikat. Tapi, ia memberikan nilai “C-“ untuk transparansi dan akuntabilitas sesuai dengan standar regulasi perlindungan data Uni Eropa (GDPR) yang lebih ketat.

Bisakah memakai Zoom tapi tetap aman?

Rowenna menyarankan agar pengguna memakai alamat email khusus untuk Zoom, menghapus cookies, dan memblokir pelacak setelah setiap kali panggilan rapat.

Sementara, Consumer Reports memberi saran [1] mematikan kamera dan mikrofon, kecuali benar-benar akan berbicara. Jika merasa perlu menyalakan kamera, Zoom memungkinkan Anda memilih foto sebagai latar belakang video Anda. [2] Pilihlah latar belakang video Anda dengan sesuatu yang netral, dinding putih, misalnya, agar tak menunjukkan informasi tentang rumah Anda.[]

Zoom sebenarnya tidak mendukung enkripsi end-to-end untuk konten video dan audio, setidaknya seperti istilah enkripsi yang dipahami umum. Zoom memakai TLS.
Terungkap, Zoom Tak Jalankan Enkripsi End-To-End

Zoom sebenarnya tidak mendukung enkripsi end-to-end untuk konten video dan audio, setidaknya seperti istilah enkripsi yang dipahami umum. Zoom memakai TLS.

Andi Nugroho, Tenri Gobel | Rabu, 01 April 2020 - 20:20 WIB

Cyberthreat.id – Zoom Video Communication Inc., pengembang layanan  telekonferensi video, mengklaim menerapkan teknologi enkripsi end-to-end (E2E) dalam platformnya, Zoom.

Namun, penyelidikan The Intercept mengungkapkan bahwa klaim itu tidak benar.

“Layanan [Zoom] ini sebenarnya tidak mendukung enkripsi end-to-end untuk konten video dan audio, setidaknya seperti istilah (enkripsi) yang dipahami umum. Sebaliknya, Zoom mengklaim menawarkan [teknologi] yang disebut dengan transport encryption,” tulis media daring investigasi yang didirikan salah satunya oleh wartawan Glenn Greenwald tersebut, Selasa (31 Maret 2020). (Baca: Jurnalis Glenn Greenwald Terbebas dari Kasus Peretasan)

Selama ini enkripsi end-to-end dipahami publik sebagai komunikasi internet paling pribadi, melindungi percakapan dari semua pihak luar, termasuk pengembangnya sendiri. Ini seperti yang diterapkan oleh WhatsApp, layanan olah pesan milik Facebook Inc.

Secara sederhana, enkripsi end-to-end adalah ketika seseorang mengirim pesan, hanya penerima pesan yang bisa membuka/membaca pesan itu, bahkan pengembang layanan chat tak bisa membaca pesan yang dikirimkan tersebut.

Selama ini, pengembang Zoom mengklaim telah menerapkan enkripsi, setidaknya ini tertuang dalam buku putih keamanannya (klik untuk PDF), di situs web Zoom, juga keterangan pada antarmuka (interface) saat menjalankan aplikasi.

Jika Anda sebagai admin atau host, tanda enkripsi itu terletak di pojok kiri atas, sebuah ikon gembok berwarna hijau. Jika mengarahkan kursor [saat memakai laptop/PC desktop] ke ikon gembok akan muncul tulisan, “Your client connection is encrypted.” Sementara, di tampilan peserta akan tertulis “Zoom is using an end-to-end encrypted connection.

Namun, ketika dihubungi untuk memberikan komentar tentang apakah pertemuan video benar-benar dienkripsi (E2E), juru bicara Zoom menulis, “Saat ini, tidak mungkin untuk mengaktifkan enkripsi E2E untuk rapat video Zoom. Rapat video zoom menggunakan kombinasi TCP dan UDP,” tutur dia.

“Koneksi TCP dibuat menggunakan TLS dan koneksi UDP dienkripsi dengan AES menggunakan kunci yang dinegosiasikan melalui koneksi TLS,” ia menambahkan.

Enkripsi yang digunakan Zoom untuk melindungi rapat adalah  TLS (transport layer security), teknologi yang sama yang digunakan server web untuk mengamankan situs web HTTPS.

Ini berarti bahwa koneksi antara aplikasi Zoom yang berjalan di komputer atau ponsel pengguna dan server Zoom dienkripsi dengan cara yang sama koneksi antara browser web Anda dan artikel yang Anda baca ini (https://cyberthreat.id telah memakai TLS versi 1.3.), ini dikenal sebagai transport encryption, yang berbeda dari enkripsi E2E.


Berita Terkait:


“Jadi ketika Anda memiliki rapat Zoom, konten video dan audio akan tetap pribadi dari siapa pun yang memata-matai wi-fi Anda, tetapi itu tidak akan tetap pribadi dari perusahaan,” tulis The Intercept.

Zoom menyangkal bahwa enkripsi itu menyesatkan pengguna.

"Ketika kami menggunakan frasa 'end-to-end’ dalam literatur kami yang lain, itu mengacu pada koneksi yang dienkripsi dari titik ujung Zoom ke titik ujung Zoom," jubir Zoom menanggapi dan tampaknya merujuk ke peladen (server) Zoom sebagai "titik akhir", padahal pengembang berada di antara pengguna Zoom.

Selain itu, kata jubir itu, “konten tidak didekripsi karena transfer melintasi cloud Zoom” melalui jaringan antara mesin-mesin ini.

Matthew Green, seorang cryptographer dan profesor ilmu komputer di Johns Hopkins University, menuturkan, telekonferensi video grup sulit untuk dienkripsi E2E.

“Karena penyedia layanan perlu mendeteksi siapa yang berbicara untuk bertindak...” kata Green.

“Jika semuanya terenkripsi dari E2E, Anda perlu menambahkan beberapa mekanisme tambahan untuk memastikan Anda bisa melakukan saklar 'siapa yang bicara', dan Anda bisa melakukannya dengan cara yang tidak membocorkan banyak informasi . Anda harus mendorong logika itu ke titik akhir,” kata dia.

Namun, kata dia, E2E grup bukan hal yang mustahil, seperti yang ditunjukkan oleh FaceTime milik Apple, yang memungkinkan konferensi video grup yang dienkripsi E2E. "Itu bisa dilakukan, [tapi] itu tidak mudah," kata Green.

Mengenai Zoom, Green menuturkan, "Mereka sedikit kabur tentang apa yang dienkripsi E2E. Saya pikir mereka melakukan ini (E2E) dengan cara yang sedikit tidak jujur. Alangkah baiknya jika mereka mengakui apa adanya,” tutur dia.

Chat rapat

Satu-satunya fitur Zoom yang tampaknya terenkripsi E2E adalah obrolan teks rapat. “Enkripsi obrolan Zoom E2E memungkinkan komunikasi yang aman di mana hanya penerima yang dituju dapat membaca pesan yang diamankan,” tulis Zoom di buku putihnya.

Zoom menggunakan kunci publik dan pribadi untuk mengenkripsi sesi obrolan dengan Advanced Encryption Standard (AES-256). Kunci sesi dihasilkan dengan ID perangkat keras unik perangkat untuk menghindari data dibaca dari perangkat lain,” tutur jubir Zoom.

"Ketika enkripsi E2DE untuk obrolan diaktifkan, kunci disimpan pada perangkat lokal dan Zoom tidak memiliki akses ke tombol untuk mendekripsi data."

Zoom naik daun belakangan ini lantaran dampak wabah Covid-19. Pandemi saat ini memaksa lebih banyak orang bekerja dari rumah, sehingga mereka memakai aplikasi telekonferensi video untuk rapat virtual. Bahkan, siswa dan sekolah juga menggunakannya untuk belajar daring.

Pada 18 Maret, kelompok hak asasi manusia Access Now menerbitkan surat terbuka yang menyerukan Zoom untuk merilis laporan transparansi untuk membantu pengguna memahami apa yang dilakukan perusahaan untuk melindungi data mereka.

“Laporan transparansi adalah salah satu cara terkuat bagi perusahaan untuk mengungkapkan ancaman terhadap privasi pengguna dan kebebasan berekspresi,” kata Isedua Oribhabor, analis kebijakan AS di Access Now.


Berita Terkait:


Teknolog independen Ashkan Soltani, yang sebelumnya menjabat sebagai Kepala Teknolog Komisi Perdagangan Federal AS (FTC), juga mengatakan, tidak jelas bagi dirinya apakah Zoom benar-benar mengimplementasikan enkripsi E2E.

Jika konsumen membuat keputusan untuk menggunakan Zoom karena memiliki enkripsi E2E, tapi pada kenyataannya, itu tidak, menurut dia, hal itu sudah termasuk praktik perdagangan yang menipu.

“Anda dirugikan sebagai konsumen karena Zoom membuat klaim produknya tidak benar. Dan, orang-orang pada dasarnya menerima lebih banyak pangsa pasar karena klaim palsu itu," kata Soltani.

Namun, Zoom memberikan pernyataan bahwa perusahaan memperlakukan privasi penggunanya dengan sangat serius.

“Zoom hanya mengumpulkan data dari individu yang menggunakan platform Zoom sesuai kebutuhan untuk menyediakan layanan dan memastikannya disampaikan seefektif mungkin,” kata perusahaan kepada The Intercept.

“Zoom harus mengumpulkan informasi teknis dasar seperti alamat IP pengguna, detail sistem operasi (OS), dan detail perangkat agar layanan berfungsi dengan baik.”

“Zoom telah menerapkan perlindungan berlapis untuk melindungi privasi pengguna kami, yang mencakup mencegah siapa pun, termasuk karyawan Zoom, agar tidak langsung mengakses data apa pun yang dibagikan pengguna selama rapat, termasuk konten video, audio, dan obrolan dari pertemuan tersebut.”

“Terpenting, Zoom tidak menambang data pengguna atau menjual data pengguna apa pun kepada siapa pun,” perusahaan menegaskan.[]

Zoom telah mengirimkan data ke Facebook dan Google yang diduga melanggar privasi dan tindakan tersebut mendapatkan surat dari kantor jaksa agung New York
Zoom Membantah Jual Data Pengguna ke Pihak Lain

Zoom telah mengirimkan data ke Facebook dan Google yang diduga melanggar privasi dan tindakan tersebut mendapatkan surat dari kantor jaksa agung New York

Tenri Gobel | Rabu, 01 April 2020 - 14:05 WIB

Cyberthreat.id - Zoom, platform video dan telekonferensi yang makin popular di tengah pandemi Covid-19, baru-baru ini mengungkapkan dalam postingan blognya bahwa perusahaan tidak pernah menjual data penggunanya.

Zoom sempat diberitakan mengirimkan data ke platorm raksasa Facebook secara diam-diam tanpa diketahui pengguna. Fakta itu didapatkan dari analisis Motherboard yang menyebut Zoom bahkan mengirim data pengguna yang tidak menggunakan akses akun Facebook.

Setelah analisis Motherboard ramai dibicarakan, Zoom kemudian menghapus kode sumber (code source) yang menyinggung soal pengiriman data sekaligus memperbarui kebijakan privasinya. 

Kepala Pejabat Legal Zoom, Aparna Bawa, mengatakan perusahaan tidak pernah menjual data pribadi pengguna. 

"Kami tidak menjual data pribadi Anda. Apakah Anda seorang pebisnis atau sekolah atau pengguna individu, kami tidak menjual data Anda," kata Aparna Bawa dilansir Ubergizmo, Rabu (1 April 2020).

Bawa juga menyatakan pengguna layanan Zoom memiliki kendali atas pengaturan cookies dan data sensitif lainnya.

"Kami tidak menggunakan data yang kami peroleh dari penggunaan terhadap layanan kami, termasuk rapat Anda untuk iklan apapun. Kami menggunakan data yang kami peroleh ketika Anda mengunjungi situs web pemasaran kami, seperti zoom.us dan zoom.com. Anda memiliki kendali atas pengaturan cookie Anda sendiri ketika mengunjungi situs web pemasaran kami.”

Zoom juga menggunakan tools periklanan berstandar tertentu di situs pemasarannya, dengan syarat pengguna mengizinkannya dalam preferensi cookies yang kemudian mengirimkan data pribadi ke penyedia tools seperti Google.

"Dan jika pengguna tidak mengizinkan akses tersebut, pengguna disarankan untuk mengunjungi tautan di bagian bawah situs pemasarannya yang bertuliskan Do Not Sell My Personal Information," ujar Aparna,

Tombol "Do Not Sell My Personal Information" digunakan untuk mengubah Cookie pengguna sekaligus menyatakan pengguna tidak akan menggunakan alat iklan tersebut.

"Jika Anda memilih keluar, data pribadi yang digunakan oleh alat-alat ini tidak akan lagi dibagikan kepada pihak ketiga dengan cara yang merupakan "penjualan" sesuai regulasi California Consumer Privacy Act (CCPA)."

Zoom juga menuliskan pemberitahuan bahwa "semua rapat yang diadakan di Zoom tidak dipantau dan tidak disimpan kecuali pengguna memilih untuk menyimpannya di cloud perusahaan. Meskipun demikian, tetap ada sistem untuk mencegah akses yang tidak sah (peretasan)".

Sebelumnya, Jaksa Agung New York, Letitia James, mengirimkan surat kepada Zoom terkait dugaan praktik pelanggaran privasi dan keamanan datanya.

Pada Senin (30 Maret 2020) Kantor jaksa agung New York melalui surat resmi menanyakan kepada Zoom apakah perusahaan menerapkan langkah-langkah keamanan baru untuk menangani peningkatan lalu lintas di jaringannya.

"Termasuk untuk mendeteksi peretas dan kejahatan lainnya," tulis surat tersebut dilansir New York Times, Senin (30 Maret 2020).[]

Redaktur: Arif Rahman