Zoom Meeting, Amankah?
Aplikasi Zoom Meeting sedang naik daun. Demi memperlambat penyebaran virus Corona, penggunaan aplikasi ini berbanding lurus dengan peningkatan kebijakan untuk memindahkan koordinasi dan komunikasi dari kantor atau ruang publik ke rumah. Penggunaan ini juga meningkat untuk diskusi publik atau reuni temu kangen.
Tetapi tidak boleh dilupakan, keamanan siber dari aplikasi ini harus diperhatikan, terutama untuk instansi atau bisnis yang mengerti tentang data-data mereka yang harus dirahasiakan dari pihak yang tidak berkepentingan.
---
Aplikasi Zoom sudah mempunyai beberapa catatan tentang keamanan aplikasi yang belum diperbaiki, seperti yang diutarakan oleh Jonathan Leitschuh pada pertengahan tahun lalu. Tetapi sepertinya akun twitter Felix memunculkan kembali perhatian akan problem dari aplikasi ini via thread dalam rentang di masa pandemik ini (sejauh yang dari saya perhatikan).
Berdasarkan thread-nya, Felix menemukan pada script installer Zoom, secara manual melewati pra-instalasi yang digunakan untuk mengecek apakah software yang digunakan cocok dengan mesin dari Mac. Konsen dari user pun juga tidak dilibatkan dan biasanya akan menekan tombol konfirmasi jika yang diharapkan sudah disetujui olehnya.
Selain itu, jika user adalah bagian dari grup "admin", yang pada mayoritas besar kasus tersebut benar jika user bukan bagian dari departemen IT dari perusahan, root tidak dibutuhkan untuk instalasi aplikasi pada direktori default /Application. Jika user bukanlah seorang admin dan aplikasi sudah diinstal di /Application, mereka akan menggunakan alat "zoomAuthenticationtool".
Alat ini akan menggunakan AuthorizationExecuteWithPrivileges() API untuk menampilkan prompt permintaan sandi untuk meraih akses root. Untuk lebih detailnya, Felix menuliskannya lebih lengkap di blog Vmray.
 |
| Zoom digunakan oleh Bandung Mitigasi Hub untuk merapatkan barisan RT/RW dalam menghadapi pandemik |
Tetapi tidak boleh dilupakan, keamanan siber dari aplikasi ini harus diperhatikan, terutama untuk instansi atau bisnis yang mengerti tentang data-data mereka yang harus dirahasiakan dari pihak yang tidak berkepentingan.
---
Aplikasi Zoom sudah mempunyai beberapa catatan tentang keamanan aplikasi yang belum diperbaiki, seperti yang diutarakan oleh Jonathan Leitschuh pada pertengahan tahun lalu. Tetapi sepertinya akun twitter Felix memunculkan kembali perhatian akan problem dari aplikasi ini via thread dalam rentang di masa pandemik ini (sejauh yang dari saya perhatikan).
 |
| Karena tidak tahu apa yang diinstal, biasanya user akan menekan tombol "Continue",. |
Selain itu, jika user adalah bagian dari grup "admin", yang pada mayoritas besar kasus tersebut benar jika user bukan bagian dari departemen IT dari perusahan, root tidak dibutuhkan untuk instalasi aplikasi pada direktori default /Application. Jika user bukanlah seorang admin dan aplikasi sudah diinstal di /Application, mereka akan menggunakan alat "zoomAuthenticationtool".
Alat ini akan menggunakan AuthorizationExecuteWithPrivileges() API untuk menampilkan prompt permintaan sandi untuk meraih akses root. Untuk lebih detailnya, Felix menuliskannya lebih lengkap di blog Vmray.
 |
| Menjalankan zoomAuthenticationTool |
---
Problem lainnya yang diangkat mengenai keamanan dan privais Zoom adalah temuan Motherboard mengenai produk versi iOS yang mengirimkan analitik ke Facebook. Zoom adalah salah satu aplikasi yang menggunakan software development kits (SDK) dari Facebook. Tujuan awalnya, agar para developer bisa mengimplementasikan fitur tertentu pada aplikasinya lebih mudah, yang sayangnya juga berdampak pada pengiriman data ke Facebook.
Menurut analisis dari Motherboard dari analisa trafik jaringan, ketika mengunduh aplikasi dan membuka aplikasi, Zoom terhubung ke Graph API Facebook. Zoom akan memberitahukan Facebook ketika user membuka aplikasi, termasuk hal detail seperti jenis, model, dan OS gawai user, zona waktu, dan kota tempat terhubung. Data ini digunakan untuk mengidentifikasi iklan yang unik kepada tiap user.
Akibat hal ini, berdasarkan laporan MIT Technology Review, Zoom harus menghadapi class action lawsuit, karena user tidak bisa mendapatkan konsen yang proporsional, sebelum datanya dibagikan ke Facebook.
Melalui komunikasi yang dijalin CEO Zoom dengan para penggunanya melalui Twitter, mereka berusaha merespon positif tentang hal ini dan meminta maaf telah mengabaikan privasi dan keamanan selama ini, dan berjanji memperbaikinya. Sebagai tindak lanjut hal tersebut, Zoom sudah menghapus SDK Facebook dan memperbaiki script yang ditemukan oleh Felix.
Kepada para user yang sudah menggunakan Zoom sebelum akhir bulan Maret 2020, diharapkan untuk mengunduh dan menginstal ulang aplikasi untuk mendapatkan update terbaru, baik yang gratis maupun berbayar.
Untuk membaca lebih detail tentang yang sudah Zoom lakukan dan janjikan kepada user dan peraturan yang berlaku, dapat dibaca di blognya.
---
Dalam proses pemasaran, Zoom mengklaim produknya dikembangkan dengan enkripsi end-to-end (E2E). Berdasarkan tulisan The Intercept dan Wired. para pemerhati dan peneliti keamanan siber dan privasi menilai sebaliknya.
Teknologi enkripsi yang digunakan oleh Zoom, TLS, adalah teknologi digunakan untuk mengamankan koneksi website HTTPS. Dengan arti kata, koneksi antara aplikasi Zoom yang sedang berjalan di user dan server Zoom dienkripsi seperti halnya koneksi antara antara browser dari user dan website HTTPS yang dikunjunginya. Yang berarti, ketika user mengadakan pertemuan di Zoom, konten video atau suara akan tetap menjadi privat dari orang lain yang tidak mengikuti pertemuan, tetapi tidak oleh perusahaan. Enkripsi ini dinamakan enkripsi transport.
Untuk dapat dinilai enkripsi E2E, konten video dan suara hanya dapat didekripsi oleh partisipan pertemuan. Perusahaan yang mengelola aplikasi mungkin bisa mengenkripsinya, tetapi tidak akan mempunyai key untuk mengdekripsi konten. Dan dengan demikian juga, perusahaan tidak akan bisa mendengarkan pertemuan rahasia user.
Laporan Citizen Lab menganalisa lebih detail skema enkripsi Zoom. Zoom menghasilkan dan memegang semua key di sistem key management. Kebanyakan pengembang Zoom dan infrastruktur key management berada di China, yang berarti semua key yang digunakan untuk mengenkripsi pertemuan user dibuat tersentralisasi disana. Key ini kemudian didistribusikan ke semua user yang mengikuti pertemuan.
Agar sebuah enkripsi bisa dinilai sebagai E2E, key ini akan berubah ketika beberapa orang keluar atau masuk di tengah pertemuan. Citizen Lab justru menemukan, key berubah hanya ketika semua user yang terlibat sudah meninggalkan pertemuan. Dapat dilihat, sangat tidak cocok dengan klaim pemasaran Zoom.
Di dalam blognya, Zoom meminta maaf akan kebingungan yang telah terjadi, dan mengklarifikasi klaim tersebut. Meskipun saat ini belum mencapai E2E yang diharapkan, di balik faktor kesulitan yang harus diimplementasikan ke fitur yang dijual oleh Zoom, tetapi mereka berjanji untuk memperbaikinya. Tetapi selain dari itu, pemerhati, peneliti, dan pengambil kebijakan mengharapkan pesan yang digunakan dalam pemasaran Zoom lebih jelas dan transaparan, serta mengpublikasikan transparency report, seperti Google, Facebook, dan Microsoft.
---
Sebenarnya ada banyak temuan lainnya yang ditemukan dari aplikasi Zoom dan ditampilkan melalui media sosial atau tulisan di blog atau media online. Salah satu sampel lainnya adalah tulisan dari Motherboard mengenai bocornya ribuan alamat email dan foto user. Bahkan tulisan Forbes menyarankan user untuk melihat aplikasi alternatif, seperti Houseparty, Signal, dan Jitsi. Khususnya mengenai Signal, nama Edward Snowden, yang dikenal karena membocorkan dokumen NSA dan seorang advokat privasi, tertulis di dalam website sebagai pengguna aplikasi ini.
Mungkin, yang telah ditemukan dan dianalisa oleh para pemerhati keamanan cukup banyak, bervariasi, dan sangat fundamental. Tetapi disisi lain, hal tersebut bisa dinilai sebagai bentuk normal, karena jika melihat lagi pengertian tentang keamanan dan privasi, tidak ada kondisi batas terbaik. Teknologi berkembang, penggunaan berkembang, dan secara langsung atau tidak langung, kemungkinan akan bocornya keamanan dan privasi juga semakin banyak dan bervariasi.
Tetapi jika memperhatikan kepada semakin sensitif dan mikronya data yang tersebar dalam jaringan internet, seperti yang diutarakan di tulisan Yuval Noah Harari, menjadi dasar yang penting untuk user agar berperan aktif juga dalam menjaga keamanan dan privasi di dunia siber, baik secara pengembangan teknologi maupun kebijakan yang diterapkan di perusahaan aplikasi atau negara yang terkait.
Komentar
Posting Komentar