Popularitas aplikasi rapat
online Zoom meroket di tengah pandemi virus corona
(SARS-CoV-2). Nyatanya, popularitas itu tidak seiringan dengan kualitas
keamanan data pengguna.
The Intercept baru saja melaporkan bahwa video
call di Zoom tidak terenkripsi secara end-to-end, meskipun
perusahaan telah mengklaim enkripisi tersebut.
Meskipun Zoom menggunakan enkripsi Transport Layer Security (TLS) yang biasanya
digunakan untuk mengamankan situs web HTTPS. Namun pada praktiknya, data
dienkripsi antara pengguna dan server Zoom.
Istilah enkripsi ujung-ke-ujung (end-to-end) biasanya
mengacu pada melindungi konten antara pengguna sepenuhnya tanpa akses
perusahaan sama sekali, mirip dengan Signal atau WhatsApp. Seperti dilansir The Verge, Zoom tidak menawarkan
tingkat enkripsi tersebut,
Motherboard turut melaporkan Zoom telah membocorkan ribuan alamat email ribuan
orang karena email semua pengguna dianggap merupakan bekerja di perusahaan yang
sama. Padahal beberapa pengguna tidak bekerja di tempat yang sama.
Hal ini membuat orang asing dapat dengan mudah mendapatkan foto, dan email
hingga melakukan video call dengan ribuan pengguna tersebut.
Instal Web yang Bisa Buka Webcam Pengguna
Contoh kerentanan keamanan Zoom lainnya adalah Zoom ketahuan menginstal server
web rahasia dalam laptop Mac pengguna. Zoom juga gagal menghapus server
tersebut saat pengguna telah menghapus Zoom.
Hal ini membuat Apple terpaksa turun tangan untuk mengamankan jutaan Mac.
Peneliti Keamanan Siber, Jonathan Leitschuh merupakan orang yang mengungkapkan
server rahasia tersebut. Ia mengatakan server web merupakan situs web yang
mampu mengaktifkan webcam Mac dengan Zoom diinstal tanpa izin pengguna.
Leitscuh menolak pembayaran dari Zoom atas temuannya tersebut karena
Zoom ingin Leitschuh menandatangani perjanjian kerahasiaan yang akan
mencegahnya untuk mengungkapkan rincian server rahasia.
Diam-diam Kirim Data ke
Facebook
Zoom juga dikabarkan diam-diam mengirimkan data ke Facebook tanpa sepengetahuan
pengguna. Data tetap dikirim sekalipun pengguna tak punya akun Facebook.
Aplikasi itu pun tidak membeberkan akan melakukan praktik berbagi data kepada
Facebook itu dalam kebijakan privasinya. Setelah aplikasi diunduh dan digunakan
di ponsel atau tablet, aplikasi Zoom bakal terhubung ke Facebook Graph API.
Kebijakan privasi Zoom tidak menjelaskan soal jenis pembagian data
tersebut. Perusahaan itu hanya mengatakan berbagi data dengan pihak ketiga
tanpa menyebutkan nama Facebook secara khusus.
Zoom menghapus kode yang mengirim data pengguna sebagai respons. Akan tetapi
tidak cukup cepat untuk mencegah gugatan class
action atau penyelidikan oleh jaksa agung New York, seperti
dikutip The New York Times.
Zoom Bisa Lacak Pengguna hingga Install
Otomatis Layaknya Malware
Zoom dikritik lagi karena fitur pelacakan peserta rapat. Saat diaktifkan, host
atau penggelar rapat dapat memeriksa apakah peserta menjauh dari laptop selama
panggilan.
Selain itu, seorang peneliti keamanan menemukan bahwa Zoom bisa menginstal
aplikasi di Mac tanpa interaksi pengguna. Teknik tanpa interaksi ini juga
digunakan oleh malware di macOS.
Zoom memperketat kebijakan privasinya minggu ini setelah dikritik karena
mengizinkan Zoom mengumpulkan informasi tentang pertemuan pengguna.
Zoombombing
Ini adalah serangan yang dilancarkan hacker berupa gangguan dari luar yang
membajak konferensi video dengan mengirim gambar-gambar tidak senonoh atau
ujaran kebencian disertai ancaman.
Komentar
Posting Komentar