Artikel ini cuba untuk mengupas isu keselamatan berbangkit dari aplikasi Zoom dan apakah kesan langsung kepada anda sebagai pengguna. Ia bertujuan untuk memberi kesedaran dan pengetahuan agar pengguna dapat menilai kesan dari isu keselamatan berbangkit dan tidak panik dengan pelbagai maklumat samada yang sahih atau tidak.

Zoom diasaskan oleh Eric Yuan, seorang bekas jurutera di Webex. Zoom adalah software khas untuk tujuan video conference yang mana ia menjadi satu tools yang sangat dikehendaki sejak pelbagai negara memulakan Movement Contol Order (MCO) atau PKP sebagai usaha menangani wabak Covid-19. Ia memudahkan para pekerja menjalankan tugas masing-masing dari rumah dan pelajar mendapatkan sesi pembelajaran tanpa hadir ke kelas.

Zoom boleh digunakan melalui pelbagai platform iaitu Windows, Mac, Android dan iOS. Anda pengguna yang mana?

UNC Injection

Isu keselamatan yang pertama ditimbulkan oleh seorang pakar keselamatan @_g0dmode berkenaan Zoom yang dijalankan dari komputer berasaskan Windows. Bagaimana ia boleh terjadi?

Serangan ini dinamakan sebagai UNC injection yang mana penyerang akan menghantar link dalam bentuk UNC (Universal Naming Convention) ke ruang borak atau ruang komen dalam sesuatu sidang video. Jika anda pernah menggunakan Zoom anda pasti pernah menghantar soalan atau komen ketika presenter sedang membuat presentation.

Baik, apa masalah dengan UNC link ini?

Masalah yang berlaku ialah pihak Zoom pada versi sebelum ini tidak membezakan UNC link dan juga URL link, bermakna kedua-duanya akan menjadi clickable dan umpama jerangkap samar yang menanti sesiapa yang klik kepada link berkenaan. Penyerang akan memberikan UNC link kepada executable file ke dalam ruang borak dan pengguna yang tidak mengesyaki apa-apa membuat klik, lantas mendedahkan komputer beliau kepada penggodaman termasuk password Windows. Sebaik penyerang dapat mengawal komputer anda kesemua data, gambar, password perbankan dapat digodam.

Pakar keselamatan @hackerfantastic dan Mohamed Baset menujukkan bagaimana ia boleh dilakukan. Video berikut adalah demo serangan dilakukan.

Walaupun Windows password yang diperolehi dalam cara ini telah di encrypt tetapi tak semua pengguna menggunakan password yang kuat. Password seperti “administrator” atau “password” sangat mudah untuk dikenalpasti.

Kes ini memberi kesan kepada golongan berikut:-

1. Mereka yang menggunakan Zoom dari komputer Windows, dan
2. Sesi video yang diadakan secara public (tiada kod masuk), dan
3. Mereka yang klik kepada link dari ruang borak

Sekiranya tidak tergolong dalam kumpulan di atas anda tidak perlu risau kerana belum terdedah atau belum menjadi mangsa kepada serangan UNC injection ini.

Isu privasi

Ini melibatkan tahap keselamatan kandungan yang dalam kawalan Zoom. Beberapa reminder dikeluarkan berkenaan hal ini, antaranya:-

1. July 2019, Jonathan Leitschuh mendedahkan bahawa pengguna Zoom dari platform Mac terdedah kepada isu privasi yang sangat serius di mana pengguna akan dimasukkan ke sesi video tanpa kerelaan mereka. Ia berkait rapat dengan web server yang diaktifkan oleh Zoom kepada Mac pengguna. Isu ini seterusnya diselesaikan oleh pihak Zoom.
2. Januari 2020, syarikat keselamatan siber Check Point Research mendedahkan penyerang boleh menyertai sesi video secara rawak. Setiap sesi Zoom akan ada satu ID dengan kepanjangan 9 hingga 11 nombor, syarikat keselamatan ini mempunyai cara bagaimana untuk meneka ID yang sah untuk sesi Zoom. Zoom telah menyelesaikan hal ini, tetapi sebagai rekod isu privasi ini hanya membolehkan penyerang masuk ke waiting room. Selain itu ia juga tidak boleh menyerang pengguna secara khusus melalui nama pengguna. Penyerang juga tidak mempunyai capaian kepada kamera dan microphone pengguna lain. Penyerang juga hanya boleh meneka ID sesi Zoom yang diaktifkan tanpa password.
3. Mac 2020, Zoom mengesahkan mereka tidak mengamalkan E2E encryption. Walaubagaimanapun syarikat ini menegaskan mereka melakukan perkara yang betul untuk menggunakan istilah E2E encryption walau hakikatnya mereka menggunakan TLS sepertimana sesi web yang lain.
4. Mac 2020, Barend Gehrels mendedahkan beliau telah ‘diberikan’ capaian kepada senarai email, nama dan gambar pengguna lain dalam Zoom. Ini berlaku dalam ‘Company Directory’, iaitu satu ciri yang mengumpulkan pengguna dalam satu kumpulan syarikat yang sama. Ciri ini amat berguna sekiranya subscription berkenaan datang dari syarikat, tetapi tidak bagi mereka yang membayar perkhidmatan Zoom secara peribadi.

Kesimpulan

Isu keselamatan dengan aplikasi Zoom yang sangat serius hanya melibatkan pengguna platform Windows dan Mac. Bagi pengguna Windows, pastikan menyertai sesi video dengan password, dan tidak klik kepada sebarang link dalam ruang borak. Bagi pengguna Mac, dapatkan update terkini dari Zoom untuk menyelesaikan masalah serangan web server.

Sungguhpun ia kedengaran menyeramkan, tetapi data penting seperti password internet banking tetap selamat sekiranya anda mengamalkan waspada sebelum klik sesuatu link.