Blunder Aplikasi Zoom yang Populer Kala Wabah Corona

Video Call Facetime Chatting Communication Concept

Jakarta, Pewartasatu – Popularitas aplikasi rapat online Zoom meroket di tengah pandemi virus corona (SARS-CoV-2). Nyatanya, popularitas itu tidak seiringan dengan kualitas keamanan data pengguna.

The Intercept baru saja melaporkan bahwa video call di Zoom tidak terenkripsi secara end-to-end, meskipun perusahaan telah mengklaim enkripisi tersebut.

Meskipun Zoom menggunakan enkripsi Transport Layer Security (TLS) yang biasanya digunakan untuk mengamankan situs web HTTPS. Namun pada praktiknya, data dienkripsi antara pengguna dan server Zoom.

Istilah enkripsi ujung-ke-ujung (end-to-end) biasanya mengacu pada melindungi konten antara pengguna sepenuhnya tanpa akses perusahaan sama sekali, mirip dengan Signal atau WhatsApp. Seperti dilansir The Verge, Zoom tidak menawarkan tingkat enkripsi tersebut,

Motherboard turut melaporkan Zoom telah membocorkan ribuan alamat email ribuan orang karena email semua pengguna dianggap merupakan bekerja di perusahaan yang sama. Padahal beberapa pengguna tidak bekerja di tempat yang sama.

Hal ini membuat orang asing dapat dengan mudah mendapatkan foto, dan email hingga melakukan video call dengan ribuan pengguna tersebut.

Instal Web yang Bisa Buka Webcam Pengguna

Contoh kerentanan keamanan Zoom lainnya adalah Zoom ketahuan menginstal server web rahasia dalam laptop Mac pengguna. Zoom juga gagal menghapus server tersebut saat pengguna telah menghapus Zoom.
Hal ini membuat Apple terpaksa turun tangan untuk mengamankan jutaan Mac.

Peneliti Keamanan Siber, Jonathan Leitschuh merupakan orang yang mengungkapkan server rahasia tersebut. Ia mengatakan server web merupakan situs web yang mampu mengaktifkan webcam Mac dengan Zoom diinstal tanpa izin pengguna.

Leitscuh menolak pembayaran dari Zoom atas temuannya tersebut karena Zoom ingin Leitschuh menandatangani perjanjian kerahasiaan yang akan mencegahnya untuk mengungkapkan rincian server rahasia.

Diam-diam Kirim Data ke Facebook, Zoom juga dikabarkan diam-diam mengirimkan data ke Facebook tanpa sepengetahuan pengguna. Data tetap dikirim sekalipun pengguna tak punya akun Facebook.

Aplikasi itu pun tidak membeberkan akan melakukan praktik berbagi data kepada Facebook itu dalam kebijakan privasinya. Setelah aplikasi diunduh dan digunakan di ponsel atau tablet, aplikasi Zoom bakal terhubung ke Facebook Graph API.

Kebijakan privasi Zoom tidak menjelaskan soal jenis pembagian data tersebut. Perusahaan itu hanya mengatakan berbagi data dengan pihak ketiga tanpa menyebutkan nama Facebook secara khusus.

Zoom menghapus kode yang mengirim data pengguna sebagai respons. Akan tetapi tidak cukup cepat untuk mencegah gugatan class action atau penyelidikan oleh jaksa agung New York, seperti dikutip The New York Times.

Zoom Bisa Lacak Pengguna hingga Install Otomatis Layaknya Malware

Zoom dikritik lagi karena fitur pelacakan peserta rapat. Saat diaktifkan, host atau penggelar rapat dapat memeriksa apakah peserta menjauh dari laptop selama panggilan.

Selain itu, seorang peneliti keamanan menemukan bahwa Zoom bisa menginstal aplikasi di Mac tanpa interaksi pengguna. Teknik tanpa interaksi ini juga digunakan oleh malware di macOS.

Zoom memperketat kebijakan privasinya minggu ini setelah dikritik karena mengizinkan Zoom mengumpulkan informasi tentang pertemuan pengguna.

Zoombombing

Ini adalah serangan yang dilancarkan hacker berupa gangguan dari luar yang membajak konferensi video dengan mengirim gambar-gambar tidak senonoh atau ujaran kebencian disertai ancaman.

Redaksi: