Populer dan ada di mana-mana (perangkat lunak tidak selalu keduanya!) Perusahaan pertemuan cloud Zoom baru-baru ini mengumumkan bug oops-yang-tidak-seharusnya-terjadi dalam versi Mac dari perangkat lunaknya.
Buletin keamanan, dapat dimaafkan, ditulis dalam gaya pemburu bug yang biasanya staccato dan jargon, tetapi artinya cukup jelas.
Bug dilambangkan CVE-2022-28762, dan dirinci dalam Buletin Zoom ZB-22023:
Saat konteks rendering mode kamera diaktifkan sebagai bagian dari Zoom App Layers API dengan menjalankan Aplikasi Zoom tertentu, port debug lokal dibuka oleh klien Zoom.
Kemana Anda ingin pergi hari ini?
Sebuah "debugging port" biasanya mengacu pada koneksi jaringan yang mendengarkan, biasanya soket TCP, yang menangani permintaan debugging.
Dengan cara yang sama seperti server email biasanya mendengarkan pada TCP port 25, menunggu klien email jarak jauh untuk "memanggil" melalui jaringan dan meminta izin untuk mengirimkan pesan masuk, port debugging mendengarkan pada port yang mereka pilih sendiri (seringkali dapat dikonfigurasi, meskipun terkadang hanya dengan cara yang tidak terdokumentasi) untuk koneksi masuk yang ingin mengeluarkan perintah debug.
Namun, tidak seperti server email, yang menerima permintaan yang berkaitan dengan pengiriman pesan (mis MAIL FROM dan RCPT TO), koneksi debug biasanya menyediakan jenis interaksi yang jauh lebih intim dengan aplikasi yang Anda sambungkan.
Memang, port debugging umumnya memungkinkan Anda tidak hanya untuk mengetahui tentang konfigurasi dan keadaan internal aplikasi itu sendiri, tetapi juga untuk mengeluarkan perintah langsung ke aplikasi, termasuk jenis perintah yang menguras keamanan yang tidak tersedia untuk pengguna biasa. melalui antarmuka pengguna biasa.
Server email, misalnya, biasanya akan membiarkan Anda mengirim pesan ke port TCP untuk nama pengguna pilihan Anda, tetapi itu tidak akan membiarkan Anda mengirim perintah yang mengkonfigurasi ulang server itu sendiri, dan itu tidak akan membiarkan Anda mengekstrak informasi rahasia seperti statistik server atau pesan orang lain.
Sebaliknya, itu adalah jenis "fitur" yang biasanya diizinkan oleh port debug, sehingga pengembang dapat mengubah dan memantau perilaku aplikasi mereka saat mereka mencoba memperbaiki masalah, tanpa harus melalui antarmuka pengguna biasa.
(Anda dapat melihat bagaimana "saluran samping" semacam ini ke dalam aplikasi akan sangat berguna ketika Anda mencoba men-debug antarmuka pengguna itu sendiri, mengingat tindakan menggunakan UI untuk men-debug UI hampir pasti akan mengganggu dengan pengukuran yang Anda coba lakukan.)
Khususnya, port debug biasanya memungkinkan Anda mendapatkan semacam "tampilan internal" dari aplikasi itu sendiri, seperti: mengintip ke area memori yang biasanya tidak akan pernah diekspos ke pengguna aplikasi; mengambil snapshot data yang dapat berisi data rahasia seperti kata sandi dan token akses; dan memicu pengambilan audio atau video tanpa memberi tahu pengguna…
…semuanya tanpa masuk ke aplikasi atau layanan di tempat pertama.
Dengan kata lain, port debugging adalah kejahatan yang diperlukan untuk digunakan selama pengembangan dan pengujian, tetapi mereka tidak seharusnya diaktifkan, atau bahkan idealnya dapat diaktifkan, selama penggunaan aplikasi secara teratur, karena lubang keamanan yang jelas mereka perkenalkan.
Tidak perlu kata sandi
Secara longgar, jika Anda memiliki akses ke port TCP tempat debugger mendengarkan, dan Anda dapat membuat koneksi TCP ke port tersebut, itu saja autentikasi yang Anda perlukan untuk mengambil alih aplikasi.
Dan itulah mengapa port debugging biasanya hanya diaktifkan dalam keadaan yang dikontrol dengan hati-hati, ketika Anda tahu bahwa Anda benar-benar ingin mengizinkan pengembang untuk dapat berkeliaran di dalam aplikasi, menikmati apa yang secara efektif tidak diatur dan akses negara adidaya yang berpotensi berbahaya .
Memang, banyak produk perangkat lunak yang sengaja dibuat dalam dua rasa yang berbeda: build debug, di mana debugging dapat diaktifkan jika diinginkan, dan build rilis di mana fitur debugging dihilangkan sama sekali sehingga tidak dapat diaktifkan sama sekali, baik dengan kecelakaan atau dengan desain.
Ponsel Android Google menyertakan mode debug, di mana Anda dapat mencolokkan kabel USB dan menggali ke dalam ponsel (walaupun tidak dengan kekuatan root penuh) dari laptop Anda melalui apa yang dikenal sebagai ADB, kependekan dari Jembatan Debug Android. Untuk mengaktifkan debugging sama sekali, pertama-tama Anda harus mengklik Settings > Tentang Telepon > Nomor Bangun tujuh kali (benar-benar!) berturut-turut. Hanya dengan begitu opsi untuk mengaktifkan debugging bahkan muncul di menu, tempat Anda dapat mengaktifkannya di Settings > System > Advanced > Pilihan pengembang > USB debugging. Kemudian, ketika Anda mencolokkan dan mencoba menghubungkan dari laptop Anda, Anda harus mengotorisasi koneksi melalui popup peringatan di telepon itu sendiri. Anda pasti dapat melakukan ini dengan sengaja, jika Anda memiliki akses fisik ke ponsel yang tidak terkunci, tetapi itu tidak mungkin terjadi karena kesalahan.
Untuk keamanan tambahan, port debugging sering diatur sehingga port tersebut tidak akan menerima koneksi yang datang dari komputer lain (dalam istilah teknis, port tersebut hanya mendengarkan pada antarmuka "localhost").
Ini berarti penyerang yang berusaha menyalahgunakan antarmuka debugging yang diaktifkan secara tidak benar akan membutuhkan pijakan di komputer Anda terlebih dahulu, seperti semacam malware proxy yang menerima koneksi melalui internet, dan kemudian merelai paket jaringannya ke antarmuka jaringan "localhost".
Meskipun membutuhkan semacam akses lokal dalam kasus CVE-2022-28762, Zoom memberi bug ini "skor keparahan" CVSS sebesar 7.3/10 (73%), dan peringkat urgensi sebesar High.
Koneksi jaringan TCP lokal biasanya dirancang untuk bekerja melintasi batas pengguna dan proses, sehingga penyerang tidak perlu masuk sebagai Anda (atau sebagai administrator) untuk menyalahgunakan bug ini – proses apa pun, bahkan program yang berjalan di bawah akun tamu, mungkin bisa memata-matai Anda sesuka hati.
Selain itu, karena perintah perangkat lunak yang dikeluarkan melalui port debugging biasanya beroperasi secara independen dari antarmuka pengguna reguler aplikasi, Anda mungkin tidak akan melihat tanda-tanda bahwa sesi Zoom Anda telah dibajak dengan cara ini.
Jika penyerang mengaktifkan aplikasi melalui saluran remote control Mac yang lebih konvensional seperti Berbagi Layar (VNC), Anda setidaknya memiliki kesempatan untuk melihat penyerang menggerakkan penunjuk tetikus Anda, mengklik tombol menu, atau mengetik teks…
…tetapi melalui antarmuka debugging, yang pada dasarnya adalah pintu belakang yang disengaja, Anda mungkin tidak menyadari (dan mungkin bahkan tidak dapat mendeteksi) bahwa seorang penyerang mengintai Anda secara pribadi, menggunakan webcam dan mikrofon Anda.
Apa yang harus dilakukan?
Untungnya, tim keamanan Zoom sendiri melihat apa yang kami asumsikan sebagai kesalahan build-time (fitur yang dibiarkan diaktifkan yang seharusnya disembunyikan), dan segera memperbarui perangkat lunak Mac yang bermasalah.
Perbarui ke Klien Zoom macOS Anda untuk versi 5.12.0 atau lebih baru dan port debugging akan tetap tertutup saat Anda menggunakan Zoom.
Di Mac, buka utama zoom.us menu dan pilih Check for Updates... untuk melihat apakah Anda memiliki versi terbaru.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- CVE-2022-28762
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- mengintip
- spyware
- Tak ada kategori
- VPN
- kerentanan
- website security
- zephyrnet.dll
- zoom
![S3 Ep120: Ketika dud crypto tidak mau melepaskannya [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: Ketika dud crypto tidak mau melepaskannya [Audio + Text]")
