Seorang peneliti keamanan telah mengungkap bagaimana fitur bergabung otomatis ke rapat Jitsi dapat dieksploitasi untuk merekam audio dan video pengguna secara diam-diam tanpa sepengetahuan mereka. Kerentanan ini memengaruhi pengguna platform konferensi video open-source populer tersebut, terutama mereka yang menggunakan instance publik meet.jit.si dengan jutaan pengguna aktif bulanan.
Serangan Perekaman Diam-diam
Eksploitasi ini bekerja dengan mengelabui pengguna agar secara otomatis bergabung ke rapat Jitsi tersembunyi melalui website berbahaya. Ketika seseorang mengunjungi halaman web yang telah dikompromikan, mereka akan diarahkan ke URL rapat Jitsi dengan parameter khusus yang melewati layar pra-bergabung normal. Jika pengguna sebelumnya telah memberikan izin mikrofon dan kamera kepada Jitsi , rapat akan langsung mulai merekam di latar belakang tanpa indikasi visual apa pun.
Serangan ini menjadi lebih licik melalui trik browser yang cerdik. Website berbahaya dapat membuka halaman asli pengguna di jendela baru sambil secara diam-diam memuat rapat Jitsi di tab latar belakang. Ini berarti korban mungkin tidak pernah menyadari bahwa kamera dan mikrofon mereka sedang diakses.
Layar pra-bergabung: Antarmuka Jitsi normal yang meminta pengguna untuk mengonfirmasi sebelum bergabung ke rapat
Gambaran Umum Metode Serangan
- Target: Pengguna Jitsi yang sebelumnya telah memberikan izin mikrofon/kamera
- Teknik: Parameter URL
config.prejoinConfig.enabled=falsemelewati layar pra-bergabung - Metode Tersembunyi: JavaScript
window.open()dan pengalihanlocation.hrefuntuk menyembunyikan serangan - Keterbatasan: Tidak berfungsi dalam iframe lintas-origin karena keamanan browser
- Timeline: Dilaporkan 17 Juni 2025; Dipublikasikan 23 Juli 2025 setelah tidak ada respons
Kekhawatiran Komunitas tentang Keamanan Browser
Anggota komunitas teknologi mengungkapkan kekhawatiran tentang implikasi yang lebih luas di luar Jitsi saja. Beberapa pengguna melaporkan merasa khawatir tentang kebiasaan browsing mereka, menyadari bahwa eksploitasi serupa bisa saja berjalan tanpa disadari di banyak tab browser yang terbuka. Satu anggota komunitas bahkan menyebutkan kemungkinan mengalami jenis serangan ini selama periode pandemi, menunjukkan bahwa kerentanan ini mungkin telah ada selama bertahun-tahun.
Diskusi ini juga menyoroti perbedaan dalam cara berbagai sistem operasi menangani izin. Pengguna Mac melaporkan diminta izin kamera dan mikrofon secara eksplisit setiap kali mereka menggunakan Jitsi , yang akan mencegah jenis serangan perekaman diam-diam ini.
Respons Jitsi Memicu Perdebatan
Yang mungkin paling kontroversial adalah respons resmi Jitsi terhadap laporan keamanan tersebut. Perusahaan menolak kekhawatiran peneliti dengan pesan singkat yang menyatakan bahwa perilaku ini adalah fitur yang disengaja, bukan bug. Sikap ini membingungkan anggota komunitas yang kesulitan memahami kasus penggunaan yang sah untuk penangkapan audio dan video otomatis tanpa persetujuan pengguna yang jelas.
Bisakah seseorang menjelaskan fitur yang digunakan untuk ini? Saya kesulitan memikirkan alasan yang valid untuk bergabung otomatis dengan audio/video seperti itu.
Peneliti menunggu lebih dari sebulan untuk klarifikasi tambahan dari Jitsi sebelum mempublikasikan temuan tersebut, tetapi tidak menerima respons lebih lanjut tentang perbaikan potensial atau pembatasan untuk instance publik mereka.
Keterbatasan Teknis dan Perlindungan
Kabar baiknya adalah eksploitasi ini memiliki beberapa keterbatasan bawaan. Ini hanya berfungsi jika pengguna sebelumnya telah memberikan izin kamera dan mikrofon kepada Jitsi di browser mereka. Selain itu, serangan tidak berfungsi melalui iframe yang disematkan karena pembatasan keamanan browser, meskipun penyerang masih dapat menggunakan jendela popup atau pengalihan halaman untuk mencapai hasil yang sama.
Pembuat browser telah mengimplementasikan berbagai perlindungan terhadap akses media yang tidak sah, tetapi pertahanan ini bergantung pada pengguna yang membuat keputusan berdasarkan informasi tentang pemberian izin. Setelah izin diberikan kepada domain, kunjungan berikutnya mungkin secara otomatis menggunakan kembali izin tersebut dalam kondisi tertentu.
Insiden ini menyoroti ketegangan yang sedang berlangsung antara kenyamanan pengguna dan privasi dalam aplikasi web, di mana fitur yang dirancang untuk merampingkan pengalaman pengguna dapat secara tidak sengaja menciptakan risiko keamanan ketika dieksploitasi oleh aktor jahat.
Referensi: Jitsi privacy flaw that enables one-click stealth audio and video capture