Larut malam lalu, dilaporkan bahwa kerentanan utama dalam aplikasi Zoom Mac telah ditemukan, yang pada dasarnya memungkinkan beberapa situs untuk membajak webcam komputer..
Kerentanan zero-day ditemukan oleh peneliti keamanan Jonathan Leitschuh, yang awalnya ia laporkan ke Zoom pada bulan Maret. Leitschuh baru-baru ini menerbitkan rincian kerentanan pada akun Menengahnya, merinci cara kerjanya, dan seberapa berbahayanya bagi pengguna Zoom.
Intinya adalah ini: Ketika Anda menginstal aplikasi konferensi video, Zoom, pada Mac Anda, itu juga menginstal server web langsung di komputer Anda. Ini sebenarnya "menerima permintaan browser biasa tidak", menurut laporan dari Verge. Server web itu berjalan sebagai proses latar belakang, yang memungkinkan untuk "secara paksa bergabung dengan pengguna ke panggilan Zoom, dengan kamera video mereka diaktifkan, tanpa izin pengguna".
Dalam posting Medium asli, tautan disediakan untuk menguji kerentanan. Melakukan hal itu akan membuat pengguna bergabung dengan panggilan konferensi, dengan kamera sudah diaktifkan, tanpa penerimaan langsung dari pengguna tersebut.
Yang lebih buruk, karena server web diinstal langsung pada komputer, bahkan jika aplikasi Zoom dihapus, tetap ada. Yang berarti kerentanan berfungsi bahkan jika pengguna tidak menginstal Zoom lagi.
Seperti disebutkan di atas, Leitschuh memberi tahu Zoom tentang kerentanan pada bulan Maret, dan peneliti telah menyusun garis waktu terperinci tentang bagaimana semua ini terjadi sebelum pengungkapan publik pada Senin malam. Menurut Leitschuh, regresi diperbaiki pada 8 Juli, namun, ia dapat dengan cepat menemukan solusi.
Terlebih lagi, Leitschuh mengatakan bahwa Zoom tidak memiliki proses pembaruan otomatis yang bermanfaat dilaksanakan, yang berarti bahwa banyak pengguna Zoom di luar sana di alam liar berpotensi menggunakan versi perangkat lunak yang lebih lama, dan sepenuhnya mampu berjalan berbenturan dengan kerentanan..
Sekarang, Zoom telah merespons masalah ini, dan telah mengirim pembaruan untuk memperbaiki masalah:
Patch 9 Juli untuk aplikasi Zoom pada perangkat Mac yang dirinci di bawah sekarang sudah tayang. Anda mungkin melihat pop-up di Zoom untuk memperbarui klien Anda, mengunduhnya di zoom.us/download, atau memeriksa pembaruan dengan membuka jendela aplikasi Zoom Anda, mengklik zoom.us di sudut kiri atas layar Anda, dan kemudian mengklik Periksa Pembaruan.
Perusahaan memiliki posting blog lengkap tentang masalah ini, yang, jika Anda adalah pengguna Zoom, pasti patut dicoba. Tapi, inilah cuplikan singkat, di mana perusahaan menunjukkan itu adalah memungkinkan untuk menonaktifkan klien Zoom agar tidak secara otomatis mengaktifkan webcam saat bergabung dengan konferensi video:
Minggu ini, seorang peneliti menerbitkan sebuah artikel yang meningkatkan kekhawatiran tentang pengalaman video kami. Kekhawatirannya adalah bahwa jika penyerang dapat menipu target Zoom pengguna agar mengklik tautan web ke URL ID rapat Zoom penyerang, pengguna target tanpa sadar dapat bergabung dengan rapat Zoom penyerang. Jika pengguna belum mengkonfigurasi klien Zoom mereka untuk menonaktifkan video setelah bergabung dengan pertemuan, penyerang mungkin dapat melihat umpan video pengguna. Dari catatan, kami tidak memiliki indikasi bahwa ini pernah terjadi.
Sehubungan dengan keprihatinan ini, kami memutuskan untuk memberi pengguna kami kontrol lebih besar terhadap pengaturan video mereka. Sebagai bagian dari rilis Juli 2019 mendatang kami, Zoom akan berlaku dan menyimpan preferensi video pengguna dari rapat Zoom pertama mereka ke semua rapat Zoom mendatang. Pengguna dan administrator sistem masih dapat mengonfigurasi pengaturan video klien mereka untuk mematikan video saat bergabung dengan rapat. Perubahan ini akan berlaku untuk semua platform klien.
Sekarang, jika Anda penasaran dan Anda ingin memeriksa kerentanan Zoom, dan cara membersihkannya (dan Anda tidak keberatan menggunakan aplikasi Terminal), posting Glen Maddern di Twitter adalah tempat yang bagus untuk memulai:
Baik… .
• Seret aplikasi Zoom ke tempat sampah
Kemudian di Terminal:
• lsof -i: 19421 (untuk mendapatkan PID)
• bunuh -9 [PID] (ini membunuh kepiting)
• rm -rf ~ / .zoomus (gtfo)
• sentuh ~ / .zoomus (dan tetap di luar)Apakah saya melewatkan sesuatu? https://t.co/UCGtaM3jdp
- Glen Maddern? (@glenmaddern) 9 Juli 2019
Zoom telah dinyatakan sebagai salah satu aplikasi dan layanan konferensi video terbaik di luar sana, tetapi ini adalah kerentanan yang sangat besar. Namun, Zoom mungkin dapat bangkit kembali dengan cukup cepat - terutama jika dapat memutakhirkan mekanisme pembaruan otomatis untuk benar-benar memastikan perangkat lunak yang baru, yang ditambal ini ada pada lebih banyak mesin di luar sana.
Apakah Anda pengguna Zoom?