Di tengah pandemi COVID-19, pengguna aplikasi konferensi video Zoom meningkat. Sayangnya banyak gangguan keamanan aplikasi dilaporkan beberapa belakangan ini. Pakar kemanan siber dan Chairman lembaga riset siber Indonesia CISSReC (Communication & Information System Security Research Center), Pratama Persadha merangkum beberapa celah keamanan Zoom yang ramai dibicarakan.
1. Kirim Data ke Facebook
Celah pertama yang ditemukan adalah aplikasi Zoom versi iOS diketahui telah mengekspos data ke pengguna Facebook. Hal tersebut terjadi tanpa pemberitahuan dan persetujuan pengguna Zoom di iOS.
Zoom pun langsung menghapud fitur SDK login melalui Facebook yang kabarnya menjadi pintu masuk celah keamanan tersebut.
2. Enkripsi End to End
Dalam kegiatan marketingnya, pihak Zoom mengaku telah menggunakan teknologi end to end encryption, padahal dalam prakteknya tidak sama sekali. Zoom hanya menggunakan Transport Layer Security (TLS) semacam update dari SSL. Pada akhirnya konferensi maupun webinar tidak ada perlindungan sehingga membuka kemungkinan untuk terjadinya penyadapan maupun pencurian informasi. Bahkan Zoom bisa melihat isi meeting dan webinar tersebut.
3. Peretasan Akun
Fitur chat pada aplikasi Zoom juga kabarnya dapat digunakan untuk mencuri username dan password pada pemakaian Zoom di Windows. Caranya pun cukup mudah yakni mengirimkan chat berisi URL link.
Hal tersebut yang membuat banyak akun zoom terkena peretasan dan username passwordnya dijual di darkweb. Caranya menggunakan UNC inject, memanfaatkan URL link yang dikirim ke ruang chat saat live zoom terjadi.
4. Malware
Tidak hanya itu, instalasi aplikasi Zoom pada sistem operasi Mac OS terjadi dengan model yang aneh dan mirip dengan software berbahaya, alias malware. Ada manipulasi dan ketidaksesuaian antara keterangan dan yang dilakukan oleh software Zoom.
Patrick Wardle mantan kontraktor NSA dan juga seorang hacker menjelaskan bahwa Zoom bisa digunakan untuk meng-install malware. Zoom nantinya bisa digunakan sebagai jembatan untuk peretas menjadikan komputer sebagai komputer zombie yang bisa dikendalikan. Bahkan diklaim Patrick Wardle berhasil menanamkan new zero day doom pada sistem zoom, namun hal ini masih ditelusuri lebih lanjut.
0 Comments