Zoom Bug Bisa Membiarkan Orang Tanpa diundang Bergabung dengan Pertemuan Pribadi

Jika Anda menggunakan Zoom untuk menyelenggarakan rapat online jarak jauh Anda, Anda harus membaca bagian ini dengan seksama.

Perangkat lunak konferensi video yang sangat populer telah menambal celah keamanan yang bisa memungkinkan siapa saja untuk menguping jarak jauh pada pertemuan aktif yang tidak dilindungi, berpotensi mengekspos audio pribadi, video, dan dokumen yang dibagikan sepanjang sesi.

Selain menyelenggarakan rapat virtual dan webinar yang dilindungi kata sandi, Zoom juga memungkinkan pengguna mengatur sesi untuk peserta yang tidak terdaftar yang dapat bergabung dalam rapat aktif dengan memasukkan ID Rapat unik, tanpa memerlukan kata sandi atau melalui Ruang Tunggu.

Zoom menghasilkan ID rapat acak ini, yang terdiri dari angka 9, 10, dan 11 digit, untuk setiap pertemuan yang Anda jadwalkan atau buat. Jika bocor melampaui seseorang atau sekelompok orang yang dimaksudkan, hanya dengan mengetahui ID Rapat dapat memungkinkan tamu yang tidak diundang bergabung dengan rapat atau webinar.

Ini bisa menjadi berita buruk bagi siapa pun yang mengharapkan percakapan mereka bersifat pribadi.

Untuk menghindari skenario seperti itu, Zoom akhir tahun lalu memperkenalkan beberapa kontrol tambahan di bawah pengaturan kata sandi untuk rapat dan webinar, yang menurut Check Point, adalah hasil penelitian tentang celah keamanan yang dilaporkan perusahaan keamanan secara bertanggung jawab kepada perusahaan pada Juli 2019.

Dalam sebuah laporan yang dibagikan dengan The Hacker News sebelum dirilis, para peneliti Check Point mendemonstrasikan serangan enumerasi otomatis yang efektif tetapi tidak canggih untuk mengidentifikasi ID Rapat acak yang valid daripada menggunakan teknik brute force.

"Seorang peretas dapat membuat pra-daftar panjang ID Rapat Zoom, menggunakan teknik otomasi untuk dengan cepat memverifikasi apakah ID Rapat Zoom masing-masing valid atau tidak, dan kemudian masuk ke rapat Zoom yang tidak dilindungi kata sandi," klaim para peneliti.

"Kami mampu memprediksi ~ 4% dari ID Rapat yang dibuat secara acak, yang merupakan peluang keberhasilan yang sangat tinggi, dibandingkan dengan kekuatan kasar murni."

Sebagai hasil pengungkapan Check Point, Zoom memperkenalkan fitur keamanan dan fungsionalitas berikut ke dalam layanan konferensi video berbasis cloud:

• Kata Sandi Default ⁠— Zoom sekarang, secara default, secara otomatis menghasilkan kata sandi angka enam digit untuk setiap pertemuan yang Anda buat yang harus dimasukkan peserta ketika bergabung dengan memasukkan ID rapat secara manual.
• Penegakan Kata Sandi Tingkat Akun dan Grup – Di bawah kontrol baru, tiga pengaturan kata sandi baru sekarang dapat diberlakukan di tingkat akun, grup, dan pengguna oleh admin akun.
• Validasi ID Rapat – Zoom tidak akan lagi secara otomatis menunjukkan apakah ID rapat valid atau tidak valid, mempersulit skrip otomatis untuk menentukan rapat aktif. Untuk setiap koneksi, halaman akan dimuat dan berusaha untuk bergabung dengan rapat. Dengan demikian, aktor yang buruk tidak akan dapat dengan cepat mempersempit kumpulan pertemuan untuk mencoba bergabung.
• Pemblokir perangkat – Untuk mencegah serangan brute force, upaya berulang untuk memindai ID rapat akan menyebabkan perangkat diblokir untuk beberapa waktu.

"Privasi dan keamanan pengguna Zoom adalah prioritas utama kami. Masalah ini telah diatasi pada bulan Agustus 2019, dan kami terus menambahkan fitur dan fungsi tambahan untuk lebih memperkuat platform kami. Kami berterima kasih kepada tim Check Point untuk berbagi penelitian dan kolaborasi mereka bersama kami, "kata juru bicara Zoom kepada The Hacker News.

Pada bulan Juli tahun lalu, Zoom menjadi berita utama menyusul kerentanan keamanan serius di aplikasi kliennya untuk macOS yang memungkinkan penyerang jarak jauh atau situs web jahat menyalakan kamera perangkat pengguna tanpa izin atau pengetahuan mereka.