Dua Celah Keamanan Zoom Ditemukan, Pengguna Wajib ”Update” Aplikasi

- Editor

Jumat, 5 Juni 2020

facebook twitter whatsapp telegram line copy

URL berhasil dicopy

facebook icon twitter icon whatsapp icon telegram icon line icon copy

URL berhasil dicopy

Celah keamanan lagi-lagi ditemukan pada aplikasi telekonferensi video populer Zoom. Peretas dapat menyelipkan kode jahat melalui pesan teks dalam ruang ”chat”.

KOMPAS/BAHANA PATRIA GUPTA—-Idealita (34) bersama anaknya, Annada (8), bersilaturahmi via aplikasi Zoom dengan keluarga mereka, Minggu (24/5/2020). Karena tidak bisa mudik Lebaran akibat pandemi Covid-19, banyak warga yang bersilaturahmi secara daring melalui berbagai macam aplikasi komunikasi.

Dua celah keamanan terdeteksi dalam aplikasi telekonferensi video populer Zoom. Peretas dapat menyelipkan kode jahat melalui pesan teks dalam ruang chat. Pengguna diwajibkan memperbarui aplikasi Zoom masing-masing, baik yang terpasang di Windows 10, macOS, Android, ataupun iOS.

ADVERTISEMENT

SCROLL TO RESUME CONTENT

Cisco Talos, firma keamanan siber asal Fulton, Maryland, Amerika Serikat, menemukan dua celah keamanan di aplikasi video telekonferensi populer Zoom. Celah keamanan ini memungkinkan seorang peretas menjalankan kode berbahaya di komputer target.

Celah pertama yang diberi kode CVE-2020-6109 merujuk pada sebuah kerentanan di proses pengolahan pesan pada aplikasi Zoom versi 4.6.10. Dalam versi tersebut, peretas dapat memanfaatkan fitur pengiriman stiker atau foto beranimasi GIF dari layanan Giphy yang terintegrasi di layanan chat Zoom.

ZOOM—Tampilan menu pilihan stiker GIF yang dapat diakses dari jendela chat aplikasi telekonferensi video Zoom.

Peretas dapat menyamarkan kode berbahaya sebagai file GIF dari server Giphy. Apabila kode berbahaya dikirimkan kepada target, kode itu dapat menanamkan file berbahaya yang kelak bisa dimanfaatkan oleh peretas dari jarak jauh.

Hal ini dimungkinkan karena Zoom tidak memeriksa tautan GIF yang dilampirkan di ruangan chat Zoom. ”Hasil pengujian menunjukkan bahwa alamat tautan GIF tersebut tidak divalidasi (oleh Zoom). Aplikasi Zoom tetap akan membuka file yang tidak berasal dari Giphy,” tulis Cisco Talos melalui laman resminya, Rabu (3/6/2020) malam.

Cisco Talos adalah anak perusahaan dari raksasa teknologi Cisco yang khusus bergerak di bidang keamanan siber.

Celah kedua, dengan kode CVE-2020-6110, memanfaatkan fitur Zoom yang dapat saling mengirimkan code snippets atau potongan kode program. Fitur ini dapat digunakan oleh pengembang perangkat lunak yang ingin saling berbagi sebuah rangkaian kode. Code snippets tidak hanya berisi kode tekstual yang dimaksud tetapi juga menyertakan sejumlah file pendukung dalam dokumen ZIP.

Tampilan pengiriman code snippets dalam aplikasi Zoom pada prinsipnya sama seperti pengiriman dokumen lainnya, PDF ataupun file lainnya. Namun, Zoom akan langsung otomatis membuka file ZIP berisi code snippets ini untuk menampilkan rangkaian kode yang dikirimkan tadi.

Memang praktis, tetapi artinya peretas dapat menanam program berbahaya di komputer milik target tanpa diketahui. ”Inti dari kerentanan ini adalah tidak dilakukannya validasi isi konten ZIP oleh Zoom,” tulis Cisco Talos.

Pengumuman publik ini disampaikan Cisco Talos setelah sepekan Zoom memberikan konfirmasi bahwa patch atau perbaikan telah dilakukan di sisi server mereka.

Pada awal pekan ini, Zoom menyatakan bahwa pihaknya akan menonaktifkan integrasi layanan Giphy demi keamanan dan privasi pengguna. ”Begitu sejumlah langkah pengamanan lanjutan bisa dilakukan, kami akan mengaktifkan kembali fitur ini,” tulis Zoom di keterangan resminya.

ZOOM—–Tampilan Zoom versi 5.0. Dalam versi ini, sejumlah fitur keamanan ditambahkan pada aplikasi telekonferensi video populer tersebut, antara lain mengunci Meeting yang sedang berjalan, mengeluarkan salah satu partisipan, dan mengaktifkan fitur Waiting Room, untuk memastikan tidak ada pihak yang tidak diinginkan dalam rapat.

Kini, hal yang bisa dilakukan pengguna adalah memperbarui aplikasi Zoom. Sejak akhir pekan lalu, Zoom telah meminta pengguna unutk memperbarui aplikasinya ke versi 5.0.

Apabila setiap hari Anda menggunakan Zoom, kemungkinan besar aplikasi sudah Anda perbarui. Karena sejak akhir pekan lalu, Zoom mewajibkan pengguna untuk memperbarui terlebih dahulu sebelum bergabung ke dalam sebuah telekonferensi.

Namun, apabila Anda belum menggunakan Zoom lagi selama jangka waktu ini, Anda harus memperbarui aplikasi Anda sebelum dapat menggunakan Zoom. Aplikasi Zoom versi terbaru dapat diakses melalui laman resmi Zoom.

Sorotan publik
Sorotan publik kepada Zoom kian terang pasca-aplikasi ini populer digunakan untuk bekerja dan belajar dari rumah di masa pandemi Covid-19 ini.

Selain meningkatnya jumlah pengguna secara drastis—10 juta pengguna pada Desember 2019 menjadi 300 juta pengguna pada April 2020—tetapi juga perhatian publik terhadap keamanan platform tersebut.

Pada awal April lalu, perusahaan yang didirikan oleh Eric Yuan ini mendapat kecaman setelah sejumlah laporan, Zoom disebut memiliki kemampuan untuk menjual data penggunanya ke pihak ketiga.

Lalu, keamanan dan kenyamanan pengguna pun terganggu dengan mudahnya praktik Zoombombing dilakukan, ketika orang yang tidak diundang tiba-tiba menyelonong masuk ke dalam ruang telekonferensi.

Sejumlah instansi pemerintahan dari sejumlah negara di dunia pun mulai melarang staf mereka untuk menggunakan Zoom sebagai medium komunikasi resmi. Untuk itu, sejak April lalu, Eric mengatakan, pihaknya akan berfokus pada isu-isu keamanan dan privasi penggunanya.

Oleh SATRIO PANGARSO WISANGGENI

Sumber: Kompas, 4 Juni 2020

Yuk kasih komentar pakai facebook mu yang keren

Informasi terkait

Tak Wajib Publikasi di Jurnal Scopus, Berapa Jurnal Ilmiah yang Harus Dicapai Dosen untuk Angka Kredit?
Empat Bidang Ilmu FEB UGM Masuk Peringkat 178-250 Dunia
Siap Diuji Coba, Begini Cara Kerja Internet Starlink di IKN
Riset Kulit Jeruk untuk Kanker & Tumor, Alumnus Sarjana Terapan Undip Dapat 3 Paten
Ramai soal Lulusan S2 Disebut Susah Dapat Kerja, Ini Kata Kemenaker
Lulus Predikat Cumlaude, Petrus Kasihiw Resmi Sandang Gelar Doktor Tercepat
Kemendikbudristek Kirim 17 Rektor PTN untuk Ikut Pelatihan di Korsel
Ini Beda Kereta Cepat Jakarta-Surabaya Versi Jepang dan Cina
Berita ini 2 kali dibaca

Informasi terkait

Rabu, 24 April 2024 - 16:17 WIB

Tak Wajib Publikasi di Jurnal Scopus, Berapa Jurnal Ilmiah yang Harus Dicapai Dosen untuk Angka Kredit?

Rabu, 24 April 2024 - 16:13 WIB

Empat Bidang Ilmu FEB UGM Masuk Peringkat 178-250 Dunia

Rabu, 24 April 2024 - 16:09 WIB

Siap Diuji Coba, Begini Cara Kerja Internet Starlink di IKN

Rabu, 24 April 2024 - 13:24 WIB

Riset Kulit Jeruk untuk Kanker & Tumor, Alumnus Sarjana Terapan Undip Dapat 3 Paten

Rabu, 24 April 2024 - 13:20 WIB

Ramai soal Lulusan S2 Disebut Susah Dapat Kerja, Ini Kata Kemenaker

Rabu, 24 April 2024 - 13:06 WIB

Kemendikbudristek Kirim 17 Rektor PTN untuk Ikut Pelatihan di Korsel

Rabu, 24 April 2024 - 13:01 WIB

Ini Beda Kereta Cepat Jakarta-Surabaya Versi Jepang dan Cina

Rabu, 24 April 2024 - 12:57 WIB

Soal Polemik Publikasi Ilmiah, Kumba Digdowiseiso Minta Semua Pihak Objektif

Berita Terbaru

Tim Gamaforce Universitas Gadjah Mada menerbangkan karya mereka yang memenangi Kontes Robot Terbang Indonesia di Lapangan Pancasila UGM, Yogyakarta, Jumat (7/12/2018). Tim yang terdiri dari mahasiswa UGM dari berbagai jurusan itu dibentuk tahun 2013 dan menjadi wadah pengembangan kemampuan para anggotanya dalam pengembangan teknologi robot terbang.

KOMPAS/FERGANATA INDRA RIATMOKO (DRA)
07-12-2018

Berita

Empat Bidang Ilmu FEB UGM Masuk Peringkat 178-250 Dunia

Rabu, 24 Apr 2024 - 16:13 WIB