
Pekan lalu, peneliti Jonathan Leytsach menerbitkan sebuah posting yang sangat emosional tentang Zoom web conferencing
kerentanan klien untuk macOS. Dalam hal ini, tidak sepenuhnya jelas apakah kerentanan itu bug yang tidak disengaja atau fitur yang sudah direncanakan. Mari kita coba mencari tahu, tetapi singkatnya, ternyata seperti ini: jika Anda memiliki klien Zoom diinstal, penyerang dapat menghubungkan Anda ke grup baru tanpa permintaan, terlebih lagi, ia dapat mengaktifkan webcam tanpa meminta izin tambahan.
Saat ketika, alih-alih mencari versi yang ditambal, seseorang memutuskan untuk hanya menghapus klien dari sistem. Tetapi dalam kasus ini tidak akan membantu: server web diinstal dengan klien, yang berfungsi bahkan setelah menghapus instalasi - bahkan dapat "mengembalikan" perangkat lunak klien ke tempatnya. Dengan demikian, bahkan mereka yang pernah menggunakan layanan Zoom, tetapi kemudian berhenti, dalam bahaya. Apple datang membantu mereka, tanpa banyak kemeriahan, yang menghapus server web dengan pembaruan untuk OS. Kisah ini adalah drama infosec nyata, di mana pengguna hanya dapat menonton bagaimana berbagai perangkat lunak muncul dan menghilang di komputer mereka.
Studi tentang metode kerja klien Zoom dimulai dengan studi tentang server web lokal: situs web layanan mencoba mengaksesnya ketika membuka tautan untuk terhubung ke newsgroup. Metode yang relatif elegan digunakan untuk menanyakan status server lokal - dengan mentransmisikan gambar dengan format tertentu.
Ini dilakukan untuk menghindari batasan browser mengikuti aturan
Cross-Origin Resource Sharing . Anda juga dapat mengirim permintaan koneksi konferensi ke server web Zoom. Kueri ini terlihat seperti ini:
Anda dapat membuat konferensi, menempatkan permintaan serupa di halaman web, mengirim tautan ke korban, dan klien yang diinstal pada komputer akan secara otomatis menghubungkan pengguna. Lebih lanjut, layak untuk melihat parameter dari konferensi web itu sendiri:
Anda memiliki opsi untuk memaksa webcam pengguna untuk hidup. Artinya, Anda dapat memikat orang yang tidak menaruh curiga ke dalam panggilan konferensi dan segera menerima gambar dari kamera (tetapi korban harus secara manual mengaktifkan suara dari mikrofon). Di klien Zoom, penyertaan otomatis kamera dapat diblokir, tetapi dengan pengaturan default, kamera segera hidup. Ngomong-ngomong, jika Anda mengirim permintaan untuk terhubung ke konferensi terus-menerus, aplikasi Zoom akan terus-menerus mengalihkan fokus ke dirinya sendiri, mencegah pengguna entah bagaimana membatalkan tindakan ini. Ini adalah serangan Denial Of Service klasik.
Akhirnya, peneliti mengkonfirmasi kemampuan untuk memaksa memutakhirkan atau menginstal ulang klien Zoom jika server web berjalan di komputer. Reaksi vendor pada awalnya jauh dari ideal. Pengembang Zoom mengusulkan beberapa opsi untuk "tambalan" dalam logika server web untuk mengecualikan kemungkinan menghubungkan pengguna tanpa permintaan. Mereka semua dengan mudah menyiasati atau mempersulit kehidupan penyerang potensial. Solusi terakhir adalah menambahkan parameter lain yang diteruskan ke server lokal. Seperti yang peneliti ketahui, itu tidak menyelesaikan masalah juga. Satu-satunya hal yang diperbaiki adalah kerentanan yang memungkinkan serangan DoS. Dan atas proposal Jonathan untuk menghapus dimasukkannya webcam atas permintaan penyelenggara konferensi, jawabannya diberikan sepenuhnya bahwa ini adalah fitur, "lebih nyaman bagi pelanggan".
Pertama kali seorang peneliti mencoba menghubungi pengembang Zoom pada 8 Maret. Pada 8 Juli, tenggat waktu tiga bulan yang diterima secara umum untuk memperbaiki kerentanan telah kedaluwarsa, dan Jonathan menerbitkan sebuah posting tentang apa yang dianggapnya sebagai masalah yang belum terpecahkan. Hanya setelah publikasi artikel melakukan Zoom mengambil tindakan lebih radikal: pada 9 Juli,
sebuah patch dirilis yang sepenuhnya menghapus server web dari komputer yang menjalankan macOS.
Para editor yang terhormat secara teratur berkomunikasi melalui konferensi video dan dapat mengatakan dari pengalaman pribadi: semua orang melakukannya. Tidak dalam arti bahwa setiap orang menginstal server web lokal dengan klien dan kemudian lupa untuk menghapusnya. Semua atau hampir semua layanan konferensi memerlukan lebih banyak hak istimewa pada sistem daripada yang dapat diberikan halaman browser. Oleh karena itu, aplikasi lokal, ekstensi browser, dan alat lainnya digunakan, sehingga mikrofon dan kamera berfungsi selama proses komunikasi, Anda dapat berbagi file dan gambar desktop Anda. Terus terang, "kerentanan" (atau lebih tepatnya, kesalahan yang disengaja dalam logika) Zoom bukan hal terburuk yang terjadi dengan layanan tersebut.
Pada 2017, masalah
ditemukan pada ekstensi browser dari layanan konferensi lain - Cisco Webex. Dalam hal itu, kerentanan memungkinkan kode arbitrase untuk dieksekusi pada sistem. Pada 2016, manajer kata sandi Trend Micro juga menemukan masalah di server web
lokal , yang juga membuka kemungkinan eksekusi kode arbitrer. Pada akhir tahun lalu, kami
menulis tentang lubang pada utilitas keyboard dan mouse Logitech: bahkan di sana kami menggunakan server web lokal, akses yang memungkinkan dari mana saja.
Kesimpulan: ini adalah praktik yang cukup umum, meskipun dari sudut pandang keamanan jelas bukan yang terbaik - ada terlalu banyak lubang potensial dengan server web seperti itu. Terutama jika itu dibuat secara default untuk berinteraksi dengan sumber daya eksternal (misalnya, situs yang memulai konferensi web). Apalagi jika itu tidak bisa dihapus. Kemampuan untuk dengan cepat mengembalikan klien Zoom setelah penghapusan instalasi secara eksplisit dibuat untuk kenyamanan pengguna, atau untuk kenyamanan pengembang. Namun, setelah publikasi penelitian, ini membawa masalah tambahan. Oke, pengguna Zoom aktif mendapat pembaruan dan masalahnya teratasi. Dan apa yang harus dilakukan dengan mereka yang pernah menggunakan klien Zoom, lalu berhenti, tetapi server web lokal masih bekerja untuk mereka? Ternyata, Apple diam-diam merilis pembaruan yang menghapus server web bahkan dalam kasus ini.
Kita harus membayar upeti kepada pengembang layanan Zoom: setelah, jika dikatakan, reaksi negatif dari publik, mereka memecahkan masalah dan sekarang secara teratur
berbagi pembaruan dengan pengguna. Ini jelas bukan kisah sukses: di sini, pengembang juga dengan sopan mencoba untuk mengabaikan proposal nyata dari peneliti, dan peneliti menyebut apa yang dia tidak cukup sebagai "tiran". Tetapi pada akhirnya semuanya berakhir dengan baik.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.