Key Takeaways
- Laporan terbaru oleh perusahaan keamanan siber McAfee menemukan bahwa perangkat lunak panggilan video dapat diretas untuk memata-matai pengguna.
- Aplikasi kencan seperti eHarmony dan Plenty of Fish termasuk di antara yang diidentifikasi rentan terhadap peretasan.
- Jumlah orang yang menggunakan platform konferensi video telah meningkat secara dramatis, dengan banyak orang terpaksa bekerja dari rumah selama pandemi virus corona.
Panggilan video Anda mungkin tidak seaman yang Anda pikirkan, menurut penelitian baru.
Perusahaan keamanan siber McAfee telah merilis laporan yang mengungkap kerentanan baru dalam kit pengembangan perangkat lunak panggilan video (SDK). Peretas dapat mengeksploitasi kerentanan ini untuk memata-matai panggilan video dan audio langsung pengguna. Aplikasi kencan seperti eHarmony dan Plenty of Fish termasuk di antara yang diidentifikasi menggunakan platform SDK yang rentan.
"Apakah Anda menghadiri rapat kerja virtual reguler atau bertemu dengan keluarga besar di seluruh dunia, sebagai konsumen, penting untuk menyadari apa sebenarnya yang Anda hadapi saat mengunduh aplikasi yang membantu Anda tetap terhubung," Steve Povolny, kepala McAfee Advanced Threat Research mengatakan dalam sebuah wawancara email.
"Seiring dengan pesatnya adopsi alat dan aplikasi konferensi video, potensi ancaman terhadap keamanan online pasti akan muncul."
Banyak Ancaman terhadap Obrolan Video
SDK, yang disediakan oleh perusahaan perangkat lunak Agora.io, dapat digunakan oleh aplikasi untuk komunikasi suara dan video di banyak platform, seperti seluler dan web. Tidak diketahui berapa banyak aplikasi lain yang terpengaruh, kata Povolny.
Sejak McAfee menemukan masalah keamanan ini, Agora telah memperbarui SDK-nya untuk menyediakan enkripsi. Namun para ahli mengatakan bahwa banyak jenis komunikasi video tetap rentan terhadap peretasan.
Apa pun yang terhubung ke internet dapat diretas, kata Joseph Carson, kepala ilmuwan keamanan di perusahaan keamanan siber Thycotic, dalam sebuah wawancara email.
"Perangkat apa pun yang mengandung kamera pasti dapat disalahgunakan untuk merekam video, menganalisis data itu, dan melakukan pengenalan suara atau wajah," tambahnya.
"Dalam banyak insiden, vendor yang memproduksinya tidak menyediakan kemampuan untuk mematikannya, yang berarti mereka hanya berfokus pada kemudahan penggunaan dan akibatnya hampir selalu mengorbankan keamanan."
Jumlah orang yang menggunakan platform konferensi video telah meningkat secara dramatis, dengan banyak orang terpaksa bekerja dari rumah selama pandemi virus corona, Hank Schless, manajer senior solusi keamanan di firma keamanan siber Lookout, mengatakan dalam sebuah wawancara email.
"Aktor jahat tahu bahwa ada banyak pengguna baru yang tidak terbiasa dengan aplikasi yang dapat mereka eksploitasi," tambahnya. "Dalam jenis kampanye ini, mereka sering menggunakan URL jahat dan lampiran pesan palsu untuk membawa target ke halaman phishing."
Serangan Orang Dalam adalah Ancaman Terbesar
Panggilan video paling rentan saat panggilan direkam dan disimpan di server pihak ketiga atau di server penyedia aplikasi, kata Hang Dinh, profesor ilmu komputer dan informasi di Indiana University South Bend, dalam email wawancara.
Misalnya, panggilan video di Facebook Messenger disimpan di server Facebook dan dapat dilihat oleh karyawan Facebook.
"Jika salah satu karyawan mereka tidak berhati-hati dengan keamanan, panggilan Anda dapat diretas," tambah Dinh. "Ingat bahwa Twitter juga diretas karena kesalahan orang dalam."
Untuk membuat komunikasi mereka lebih aman, pengguna harus memilih panggilan video terenkripsi ujung ke ujung seperti WhatsApp, Google Duo, FaceTime, dan ExtentWorld, kata Dinh.
"Menjadi terenkripsi ujung ke ujung berarti panggilan tidak disimpan dan didekripsi di server pihak ketiga mana pun, termasuk server penyedia panggilan," tambahnya.
Perangkat lunak konferensi video populer Zoom juga baru-baru ini mulai menawarkan panggilan video terenkripsi ujung ke ujung. Namun, fitur enkripsi pada Zoom tidak diaktifkan secara default, kata Dinh.
Bagi kebanyakan orang, risiko paling signifikan terhadap peretasan video adalah penyadapan, Chris Morales, kepala analisis keamanan di perusahaan keamanan siber Vectra AI, mengatakan dalam sebuah wawancara email.
"Risiko lainnya adalah terganggunya sesi dengan gambar dan suara yang dibagikan," katanya. "Anggap saja seperti grafiti digital."
Untuk mencegah peretas, pengguna harus memiliki kata sandi untuk semua konferensi video, kata Morales.
Kata sandi itu tidak boleh diposting secara publik dan harus dibagikan secara pribadi. Moderator juga dapat, secara default, mengaktifkan mute pada semua peserta dan menonaktifkan fitur berbagi layar. "Seberapa kuat kata sandi itu masih akan memengaruhi kemampuan seseorang untuk mengakses sesi saat ini," tambahnya. "Tapi itu jauh lebih baik daripada tidak ada kata sandi sama sekali."
