Para peneliti dari perusahaan keamanan online Check Point telah merinci penemuan terbaru mereka bahwa aplikasi Zoom
memiliki bug.
Terdapat eksploitasi pada subdomain yang memungkinkan orang menggunakan URL milik perusahaan untuk membuat video pertemuan.
Artinya
bagi perusahaan dan organisasi yang telah membayar Zoom untuk
menggunakan layanan konferensi video dapat mengatur subdomain untuk
tautan URL pertemuan.
Misalnya sebuah perusahaan dapat mengatur pertemuan dengan tautan url https://YourCompany.zoom.us/meetingID.
Dengan adanya bug ini memungkinkan siapa saja dapat membuat rapat Zoom sendiri dengan menggunakan subdomain apapun yang sudah terdaftar dengan Zoom.
Dilansir dari Mashable sebut saja perusahaan McDonald sudah terdaftar dan memiliki subdomain khusus seperti mcdonalds.zoom.us untuk rapatnya.
Nah dengan subdomain tersebut siapapun dapat memulai rapat mereka
sendiri dengan menambahkan 'mcdonalds' ke tautan rapat Zoom pribadi
mereka dan tautan tersebut akan berfungsi.
URL tersebut akan mengarahkan pengguna yang mengkliknya ke pertemuan Zoom pribadi yang dibuat oknum jahat.
Bagi
pengguna yang mengklik dan menghadiri pertemuan tersebut bisa diperdaya
untuk meyakini bahwa mereka melakukan panggilan konferensi dengan
perusahaan yang disebutkan dalam subdomain.
Oknum jahat tersebut bisa menggunakan kemampuan ini untuk berpura-pura sebagai perwakilan perusahaan, karyawan atau konsumen untuk membocorkan informasi yang sensitif.
Selain itu ada juga cara kedua di mana eksploitasi ini juga bisa disalahgunakan.
Beberapa perusahaan yang memiliki khusus URL Zoom dapat mengatur
antarmuka konferensi web brand untuk log-in dalam rapat.
Artinya bahwa oknum jahan ini bisa memulai pertemuan mereka sendiri dan kemudian mengarahkan pengguna ke dashboard mcdonalds.zoom.us untuk memasukkan ID rapat tersebut dan pengguna akan memasuki rapat Zoom si oknum jahat ini.
Dengan begitu pengguna akan mudah berpikir bahwa jika mereka masuk ke dalam pertemuan Zoom melalui antarmuka web lengkap dengan branding McDonald's, di URL mcdonalds.zoom.us, dan mereka akan berpikir bahwa ini adalah konferensi Zoom perusahaan yang resmi.
"Karena Zoom telah menjadi salah satu saluran komunikasi terkemuka dunia untuk bisnis, pemerintah dan konsumen, sangat penting bahwa pelaku ancaman dicegah untuk mengeksploitasi Zoom untuk tujuan kriminal," jelas Manajer Grup Point Point, Adi Ikan dalam sebuah pernyataan.
Menurut Check Point, perusahaan bekerja sama dengan Zoom
untuk memperbaiki masalah ini.
Perusahaan mengatakan bahwa Zoom juga telah menetapkan langkah-langkah keamanan tambahan untuk melindungi pengguna agar tidak terkena masalah ini.
Postingan
Tidak ada komentar:
Posting Komentar