Ilustrasi | Foto: flags.co.uk/Cyberthreat.id/Andi Nugroho
Ilustrasi | Foto: flags.co.uk/Cyberthreat.id/Andi Nugroho
Cyberthreat.id – Kabar tak sedap datang dari laboratorium Citizen Lab. Peneliti perangkat lunak dari Universitas Toronto itu baru saja selesai meneliti aplikasi telekonferensi video Zoom.
Hasilnya, kunci yang digunakan untuk mengenkripsi dan mendekripsi pertemuan (meeting) via Zoom dapat dikirim ke sebuah peladen (server) di Beijing, China, bahkan jika semua peserta berada di negara lain.
Selama pengujian yang dilakukan pengguna di Kanada dan Amerika Serikat, peneliti memperhatikan, kunci yang digunakan untuk mengenkripsi dan mendekripsi rapat daring itu dikirim ke server yang rupanya berlokasi di Beijing.
“Pemindaian menunjukkan total lima peladen di China dan 68 di AS yang rupanya menjalankan perangkat lunak peladen Zoom yang sama dengan peladen Beijing. Kami menduga kunci dapat didistribusikan melalui peladen ini,” ujar Citizen Lab seperti dikutip dari Security Week, Jumat (3 April 2020).
Berita Terkait:
Temuan itu di mata peneliti sungguh memprihatinkan karena secara hukum yang berlaku di China,“Zoom mungkin berkewajiban untuk mengungkapkan kunci-kunci ini kepada pihak berwenang di China,” Citizen Lab menambahkan.
Menurut peneliti, rapat Zoom dienkripsi dengan kunci AES-128. Teknologi enkripsi ini berbeda dengan klaim perusahaan yang menggunakan enkripsi AES-256. Selain itu, kunci AES digunakan dalam mode ECB, yang tidak lagi direkomendasikan, menurut peneliti. Alasannya, enkripsi itu dinilai gagal menyembunyikan pola data dengan benar.
Citizen Lab juga mengatakan, meski Zoom Video Communication Inc. berkantor pusat di AS, ternyata memiliki tiga perusahaan China yang bertanggung jawab untuk mengembangkan perangkat lunak Zoom.
Berita Terkait:
Perusahaan melalui afiliasinya di China mempekerjakan setidaknya 700 karyawan di Negeri Tirai Bambu dalam penelitian dan pengembangan (litbang), demikian menurutaporan keuangan atau dokumen formal kepada Komisi Sekuritas dan Bursa AS (SEC) atau arsip SEC
“Mengoperasikan pengembangan di China menghemat Zoom membayar pekerja, mengurangi biaya mereka dan meningkatkan margin keuntungan. Namun, pengaturan ini juga dapat membuka Zoom terhadap tekanan dari otoritas China,” kata peneliti.
SecurityWeek telah mengontak Zoom untuk berkomentar, tapi belum ada tanggapan dari perusahaan.
Zoom menjadi aplikasi telekonferensi video yang naik daun selama pandemi Covid-19. Aplikasi dipakai para pegawai pemerintahan dan swasta yang terpaksa “dirumahkan” dan bekerja dari rumah (work from home/WFH) untuk menghambat penyebaran virus corona.
Baru-baru ini, laporan dari media investigasi The Intercept juga mengungkapkan, Zoom tak menjalankan enkripsi end-to-end (E2E). Perusahaan mengaku hanya menjalankan transport encrypted.
Berita Terkait:
Pada 1 April lalu, di blog perusahaan, Zoom mengklarifikasi bahwa definisi enkripsi E2E yang dimaksud berbeda dengan pandangan komunitas keamanan siber. Enkripsi E2E biasa dipahami sebagai komunikasi yang dilindungi, kecuali pengirim dan penerima yang dapat mengakses data yang sedang dikirim. Bahkan, penyedia layanan pun tidak memiliki akses ke data yang sedang dikirim.
Dalam kasus Zoom, hanya komunikasi antara peserta rapat dan server Zoom yang dienkripsi. Ini artinya memberikan celah kepada perusahaan untuk akses ke data yang tidak terenkripsi dan memungkinkannya untuk memantau percakapan.
Namun, perusahaan menyatakan, “Dalam rapat yang tidak direkam, kami mengenkripsi semua video, audio, berbagi layar, dan konten obrolan di klien (perangkat) pengirim. Dan, tidak mendekripsinya di sembarang titik sebelum mencapai klien penerima,” tulis perusahaan.[]
Share:
