Terungkap, Zoom Tak Jalankan Enkripsi End-To-End

Cyberthreat.id – Zoom Video Communication Inc., pengembang layanan  telekonferensi video, mengklaim menerapkan teknologi enkripsi end-to-end (E2E) dalam platformnya, Zoom.

Namun, penyelidikan The Intercept mengungkapkan bahwa klaim itu tidak benar.

“Layanan [Zoom] ini sebenarnya tidak mendukung enkripsi end-to-end untuk konten video dan audio, setidaknya seperti istilah (enkripsi) yang dipahami umum. Sebaliknya, Zoom mengklaim menawarkan [teknologi] yang disebut dengan transport encryption,” tulis media daring investigasi yang didirikan salah satunya oleh wartawan Glenn Greenwald tersebut, Selasa (31 Maret 2020). (Baca: Jurnalis Glenn Greenwald Terbebas dari Kasus Peretasan)

Selama ini enkripsi end-to-end dipahami publik sebagai komunikasi internet paling pribadi, melindungi percakapan dari semua pihak luar, termasuk pengembangnya sendiri. Ini seperti yang diterapkan oleh WhatsApp, layanan olah pesan milik Facebook Inc.

Secara sederhana, enkripsi end-to-end adalah ketika seseorang mengirim pesan, hanya penerima pesan yang bisa membuka/membaca pesan itu, bahkan pengembang layanan chat tak bisa membaca pesan yang dikirimkan tersebut.

Selama ini, pengembang Zoom mengklaim telah menerapkan enkripsi, setidaknya ini tertuang dalam buku putih keamanannya (klik untuk PDF), di situs web Zoom, juga keterangan pada antarmuka (interface) saat menjalankan aplikasi.

Jika Anda sebagai admin atau host, tanda enkripsi itu terletak di pojok kiri atas, sebuah ikon gembok berwarna hijau. Jika mengarahkan kursor [saat memakai laptop/PC desktop] ke ikon gembok akan muncul tulisan, “Your client connection is encrypted.” Sementara, di tampilan peserta akan tertulis “Zoom is using an end-to-end encrypted connection.”

Namun, ketika dihubungi untuk memberikan komentar tentang apakah pertemuan video benar-benar dienkripsi (E2E), juru bicara Zoom menulis, “Saat ini, tidak mungkin untuk mengaktifkan enkripsi E2E untuk rapat video Zoom. Rapat video zoom menggunakan kombinasi TCP dan UDP,” tutur dia.

“Koneksi TCP dibuat menggunakan TLS dan koneksi UDP dienkripsi dengan AES menggunakan kunci yang dinegosiasikan melalui koneksi TLS,” ia menambahkan.

Enkripsi yang digunakan Zoom untuk melindungi rapat adalah  TLS (transport layer security), teknologi yang sama yang digunakan server web untuk mengamankan situs web HTTPS.

Ini berarti bahwa koneksi antara aplikasi Zoom yang berjalan di komputer atau ponsel pengguna dan server Zoom dienkripsi dengan cara yang sama koneksi antara browser web Anda dan artikel yang Anda baca ini (https://cyberthreat.id telah memakai TLS versi 1.3.), ini dikenal sebagai transport encryption, yang berbeda dari enkripsi E2E.

Berita Terkait:

• Duh! Rapat Online via Zoom Tak Jamin Privasi Anda Aman
• Setop Bagikan Tautan Rapat Zoom di Medsos, Ada Zoombombing!
• Zoom di iOS Kirim Data ke Facebook Diam-diam
• Tips Agar Rapat Online Zoom Anda Tidak Disusupi Zoombombing

“Jadi ketika Anda memiliki rapat Zoom, konten video dan audio akan tetap pribadi dari siapa pun yang memata-matai wi-fi Anda, tetapi itu tidak akan tetap pribadi dari perusahaan,” tulis The Intercept.

Zoom menyangkal bahwa enkripsi itu menyesatkan pengguna.

"Ketika kami menggunakan frasa 'end-to-end’ dalam literatur kami yang lain, itu mengacu pada koneksi yang dienkripsi dari titik ujung Zoom ke titik ujung Zoom," jubir Zoom menanggapi dan tampaknya merujuk ke peladen (server) Zoom sebagai "titik akhir", padahal pengembang berada di antara pengguna Zoom.

Selain itu, kata jubir itu, “konten tidak didekripsi karena transfer melintasi cloud Zoom” melalui jaringan antara mesin-mesin ini.

Matthew Green, seorang cryptographer dan profesor ilmu komputer di Johns Hopkins University, menuturkan, telekonferensi video grup sulit untuk dienkripsi E2E.

“Karena penyedia layanan perlu mendeteksi siapa yang berbicara untuk bertindak...” kata Green.

“Jika semuanya terenkripsi dari E2E, Anda perlu menambahkan beberapa mekanisme tambahan untuk memastikan Anda bisa melakukan saklar 'siapa yang bicara', dan Anda bisa melakukannya dengan cara yang tidak membocorkan banyak informasi . Anda harus mendorong logika itu ke titik akhir,” kata dia.

Namun, kata dia, E2E grup bukan hal yang mustahil, seperti yang ditunjukkan oleh FaceTime milik Apple, yang memungkinkan konferensi video grup yang dienkripsi E2E. "Itu bisa dilakukan, [tapi] itu tidak mudah," kata Green.

Mengenai Zoom, Green menuturkan, "Mereka sedikit kabur tentang apa yang dienkripsi E2E. Saya pikir mereka melakukan ini (E2E) dengan cara yang sedikit tidak jujur. Alangkah baiknya jika mereka mengakui apa adanya,” tutur dia.

Chat rapat

Satu-satunya fitur Zoom yang tampaknya terenkripsi E2E adalah obrolan teks rapat. “Enkripsi obrolan Zoom E2E memungkinkan komunikasi yang aman di mana hanya penerima yang dituju dapat membaca pesan yang diamankan,” tulis Zoom di buku putihnya.

“Zoom menggunakan kunci publik dan pribadi untuk mengenkripsi sesi obrolan dengan Advanced Encryption Standard (AES-256). Kunci sesi dihasilkan dengan ID perangkat keras unik perangkat untuk menghindari data dibaca dari perangkat lain,” tutur jubir Zoom.

"Ketika enkripsi E2DE untuk obrolan diaktifkan, kunci disimpan pada perangkat lokal dan Zoom tidak memiliki akses ke tombol untuk mendekripsi data."

Zoom naik daun belakangan ini lantaran dampak wabah Covid-19. Pandemi saat ini memaksa lebih banyak orang bekerja dari rumah, sehingga mereka memakai aplikasi telekonferensi video untuk rapat virtual. Bahkan, siswa dan sekolah juga menggunakannya untuk belajar daring.

Pada 18 Maret, kelompok hak asasi manusia Access Now menerbitkan surat terbuka yang menyerukan Zoom untuk merilis laporan transparansi untuk membantu pengguna memahami apa yang dilakukan perusahaan untuk melindungi data mereka.

“Laporan transparansi adalah salah satu cara terkuat bagi perusahaan untuk mengungkapkan ancaman terhadap privasi pengguna dan kebebasan berekspresi,” kata Isedua Oribhabor, analis kebijakan AS di Access Now.

Berita Terkait:

• Zoom Membantah Jual Data Pengguna ke Pihak Lain
• Awas Jebakan Domain Palsu Aplikasi Zoom
• Zoom Kalahkan Microsoft Teams Selama Work From Home

Teknolog independen Ashkan Soltani, yang sebelumnya menjabat sebagai Kepala Teknolog Komisi Perdagangan Federal AS (FTC), juga mengatakan, tidak jelas bagi dirinya apakah Zoom benar-benar mengimplementasikan enkripsi E2E.

Jika konsumen membuat keputusan untuk menggunakan Zoom karena memiliki enkripsi E2E, tapi pada kenyataannya, itu tidak, menurut dia, hal itu sudah termasuk praktik perdagangan yang menipu.

“Anda dirugikan sebagai konsumen karena Zoom membuat klaim produknya tidak benar. Dan, orang-orang pada dasarnya menerima lebih banyak pangsa pasar karena klaim palsu itu," kata Soltani.

Namun, Zoom memberikan pernyataan bahwa perusahaan memperlakukan privasi penggunanya dengan sangat serius.

“Zoom hanya mengumpulkan data dari individu yang menggunakan platform Zoom sesuai kebutuhan untuk menyediakan layanan dan memastikannya disampaikan seefektif mungkin,” kata perusahaan kepada The Intercept.

“Zoom harus mengumpulkan informasi teknis dasar seperti alamat IP pengguna, detail sistem operasi (OS), dan detail perangkat agar layanan berfungsi dengan baik.”

“Zoom telah menerapkan perlindungan berlapis untuk melindungi privasi pengguna kami, yang mencakup mencegah siapa pun, termasuk karyawan Zoom, agar tidak langsung mengakses data apa pun yang dibagikan pengguna selama rapat, termasuk konten video, audio, dan obrolan dari pertemuan tersebut.”

“Terpenting, Zoom tidak menambang data pengguna atau menjual data pengguna apa pun kepada siapa pun,” perusahaan menegaskan.[]