Cyberthreat.id- Celah keamanan (bug) yang ditemukan di beberapa aplikasi seluler konferensi video memungkinkan penyerang mendengarkan atau melihat suasana di sekitar pengguna  tanpa izin sebelum orang di ujung lain menjawab panggilan.

Seperti dilaporkan  Bleeping Computer pada Selasa (19 Januari 2021), bug itu ditemukan oleh peneliti keamanan Google Project Zero Natalie Silvanovich di aplikasi pesan Signal, Google Duo, Facebook Messenger, JioChat, dan Mocha. Sekarang semuanya telah diperbaiki.

Namun, sebelum ditambal, aplikasi-aplikasi itu memungkinkan untuk memaksa perangkat yang ditargetkan mengirimkan audio ke perangkat penyerang tanpa perlu mendapatkan eksekusi kode.

Bug yang ditemukan Natalie adalah jenis kesalahan logika. Dalam pemograman komputer, kesalahan logika adalah bug dalam program yang menyebabkannya beroperasi secara tidak benar, tetapi tidak berakhir secara tidak normal. Kesalahan logika menghasilkan output yang tidak diinginkan.

"Saya menyelidiki mesin status sinyal dari tujuh aplikasi konferensi video dan menemukan lima kerentanan yang memungkinkan perangkat penelepon memaksa perangkat orang yang dihubungi untuk mengirimkan data audio atau video," kata Natalie yang juga membagikan temuannya itu di Twitter kemarin sembari membagikan tautan yang mengarahkan ke detail laporannya (bisa diakses di sini). 
 

 

 

"Secara teoritis, memastikan persetujuan dari orang dihubungi sebelum audio atau video ditransmisikan harusnya adalah hal sederhana, menunggu sampai pengguna menerima panggilan."

"Namun, ketika saya melihat aplikasi yang sebenarnya, mereka mengaktifkan transmisi dalam berbagai cara. Sebagian besar menyebabkan kerentanan yang memungkinkan panggilan terhubung sebelum orang yang dihubungi menjawab panggilan," kata Natalie.

Supaya lebih jelas, bayangkan kondisi ini. Ketika seseorang menghubungi Anda lewat fitur video call pada aplikasi, pihak ketiga dapat menerima video Anda, bahkan ketika Anda belum menjawab panggilan. Katakanlah saat panggilan masuk Anda sedang berpakaian, dan berniat menjawab panggilan setelahnya. Namun, karena bug tadi, video Anda sedang berpakaian telah terkirim.  

Natalie bilang, bug pada Signal yang ditambal pada September 2019 memungkinkan untuk menyambungkan panggilan audio dengan mengirimkan pesan koneksi dari perangkat pemanggil ke perangkat yang dipanggil, tanpa interaksi pengguna. Dengan kata lain, bug itu membuat perangkat menjawab sendiri panggilan masuk.

Bug Google Duo, kondisi yang memungkinkan orang yang dihubungi membocorkan paket video dari panggilan tak terjawab ke penelepon, telah diperbaiki pada Desember 2020, sementara cacat Facebook Messenger yang memungkinkan panggilan audio terhubung sebelum panggilan terjawab, telah diperbaiki pada November 2020.

Dua kerentanan serupa ditemukan di messenger JioChat dan Mocha pada Juli 2020, bug yang memungkinkan pengiriman audio JioChat (diperbaiki pada Juli 2020) dan untuk mengirim audio dan video Mocha (diperbaiki pada Agustus 2020) setelah eksploitasi, tanpa persetujuan pengguna.

Natalie juga mencari bug serupa di aplikasi konferensi video lainnya, termasuk Telegram dan Viber, tetapi tidak menemukan masalah seperti itu.

"Mayoritas mesin yang saya selidiki memiliki kerentanan logika yang memungkinkan konten audio atau video dikirim dari orang yang dihubungi ke penelepon tanpa persetujuan," tambah Silvanovich.

"Ini juga mengkhawatirkan untuk dicatat bahwa saya tidak melihat fitur panggilan grup apa pun dari aplikasi ini, dan semua kerentanan yang dilaporkan ditemukan dalam panggilan peer-to-peer. Ini adalah area untuk pekerjaan di masa mendatang yang dapat mengungkapkan masalah tambahan."

Sebelumnya, Natalie juga menemukan kerentanan kritis dalam aplikasi perpesanan seluler WhatsApp yang dapat diaktifkan hanya dengan menjawab panggilan pengguna. Untungnya, masalah itu telah diperbaiki.[]