Jitsi-lek laat aanvaller zonder toestemming met webcam meekijken
Een kwetsbaarheid in videoconferentieplatform Jitsi maakt het mogelijk voor aanvallers om zonder toestemming van gebruikers met de webcam mee te kijken en met de microfoon mee te luisteren. In eerste instantie stelde Jitsi dat het om een feature ging, maar is daar nu toch op teruggekomen. Dagelijks maken miljoenen mensen gebruik van Jitsi. Het is mogelijk om de videoconferentiesoftware zelf te hosten of van Jitsi's publieke dienst gebruik te maken.
Het privacyprobleem doet zich voor wanneer een gebruiker eerder een publieke Jitsi-meeting heeft bezocht en daarbij toestemming gaf dat het platform zijn camera en microfoon mag benaderen. Deze eerder gegeven toestemming is vervolgens door een aanvaller te misbruiken als hij een gebruiker een gecompromitteerde of malafide website laat bezoeken. Daarbij zal de 'meeting' van de aanvaller in de achtergrond draaien en de webcam en microfoon van de gebruiker kunnen benaderen.
De onderzoeker die het probleem ontdekte rapporteerde dit op 17 juni aan Jitsi. Dezelfde dag lieten de ontwikkelaars weten dat het om een feature ging. Vervolgens vroeg de onderzoeker of hij zijn bevindingen openbaar mocht maken, maar kreeg geen reactie. Daarop besloot hij deze week zijn bevindingen te delen. Dit zorgde voor de nodige kritiek op Jitsi. Op Hacker News laat een Jitsi-ontwikkelaar weten dat er inderdaad een fout is gemaakt bij het beoordelen van deze bugmelding en er aan een oplossing wordt gewerkt.
In eerste instantie stelde Jitsi dat het om een feature ging,
end qoute.
Oei, oppassen, "dat het om een feature ging" is een favoriete uitspraak van mickeysoft...
In eerste instantie stelde Jitsi dat het om een feature ging,
end qoute.
Oei, oppassen, "dat het om een feature ging" is een favoriete uitspraak van mickeysoft...
Bij mij komt iedere sessie opnieuw de vraag om toestemming tot de camera en microfoon, daarom ging ik er vanuit dat na het einde van de vorige sessie de toestemming ook eindigde zoals het eigenlijk hoort. Gebruik al bewust geen mickey software juist om die reden:
https://wire.com/en/blog/ms-teams-is-open-for-hackers
Hopelijk neemt Jitsi het probleem wel serieus nu!
Gebruik dat veel, gebruik dat vaak. Scheelt een hoop ellende.
Bij mij komt iedere sessie opnieuw de vraag om toestemming tot de camera en microfoon, daarom ging ik er vanuit dat na het einde van de vorige sessie de toestemming ook eindigde zoals het eigenlijk hoort.
Volgens mij geef je in je browser toestemming aan de site voor toegang tot je geluid en video. Dat betekent dat een nieuwe meeting op dezelfde site geen nieuwe toestemming nodig heeft. Dat is bij mij iig het geval (niet alleen in Jitsi).
Wat ik me dus afvraag is hoe die gecompromitteerde of malafide website de toegang van de oorspronkelijke Jitsi site kan misbruiken. Dat klinkt eerder als een browser-bug...
Het idee dat een eerder gegeven toestemming zomaar herbruikbaar is via een malafide website, is ongeveer alsof je de sleutel van je voordeur aan de postbode geeft en hij vervolgens al zijn vrienden uitnodigt voor een housewarming. In de achtergrond. Zonder muziek. Alleen beeld en geluid van jou.
En hoe reageerde Jitsi? Eerst door te zeggen: “Werkt zoals bedoeld.” Daarna: radiostilte. En pas ná publieke ophef: “Oké, misschien toch niet helemaal de bedoeling.” Welkom bij incidentrespons volgens het handboek Open Source Damage Control – editie 2020.
Het goede nieuws? Er komt een fix. Het slechte nieuws? Tot die tijd moet je maar hopen dat je vorige Jitsi-sessie niet je woonkamerdeur op een kier heeft gezet.
Misschien een idee voor Jitsi: standaard alle microfoons en camera’s uit, tenzij de gebruiker drie keer bevestigt, z’n webcam aankijkt en hardop zegt: “Ja, ik vertrouw dit écht.” Liever paranoia dan een ongewenste cameo.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?