Jitsi-lek laat aanvaller zonder toestemming met webcam meekijken
Een kwetsbaarheid in videoconferentieplatform Jitsi maakt het mogelijk voor aanvallers om zonder toestemming van gebruikers met de webcam mee te kijken en met de microfoon mee te luisteren. In eerste instantie stelde Jitsi dat het om een feature ging, maar is daar nu toch op teruggekomen. Dagelijks maken miljoenen mensen gebruik van Jitsi. Het is mogelijk om de videoconferentiesoftware zelf te hosten of van Jitsi's publieke dienst gebruik te maken.
Het privacyprobleem doet zich voor wanneer een gebruiker eerder een publieke Jitsi-meeting heeft bezocht en daarbij toestemming gaf dat het platform zijn camera en microfoon mag benaderen. Deze eerder gegeven toestemming is vervolgens door een aanvaller te misbruiken als hij een gebruiker een gecompromitteerde of malafide website laat bezoeken. Daarbij zal de 'meeting' van de aanvaller in de achtergrond draaien en de webcam en microfoon van de gebruiker kunnen benaderen.
De onderzoeker die het probleem ontdekte rapporteerde dit op 17 juni aan Jitsi. Dezelfde dag lieten de ontwikkelaars weten dat het om een feature ging. Vervolgens vroeg de onderzoeker of hij zijn bevindingen openbaar mocht maken, maar kreeg geen reactie. Daarop besloot hij deze week zijn bevindingen te delen. Dit zorgde voor de nodige kritiek op Jitsi. Op Hacker News laat een Jitsi-ontwikkelaar weten dat er inderdaad een fout is gemaakt bij het beoordelen van deze bugmelding en er aan een oplossing wordt gewerkt.
In eerste instantie stelde Jitsi dat het om een feature ging,
end qoute.
Oei, oppassen, "dat het om een feature ging" is een favoriete uitspraak van mickeysoft...
In eerste instantie stelde Jitsi dat het om een feature ging,
end qoute.
Oei, oppassen, "dat het om een feature ging" is een favoriete uitspraak van mickeysoft...
Bij mij komt iedere sessie opnieuw de vraag om toestemming tot de camera en microfoon, daarom ging ik er vanuit dat na het einde van de vorige sessie de toestemming ook eindigde zoals het eigenlijk hoort. Gebruik al bewust geen mickey software juist om die reden:
https://wire.com/en/blog/ms-teams-is-open-for-hackers
Hopelijk neemt Jitsi het probleem wel serieus nu!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?