Seorang penyelidik keselamatan telah mendedahkan bagaimana ciri penyertaan mesyuarat automatik Jitsi boleh dieksploitasi untuk merakam audio dan video pengguna secara rahsia tanpa pengetahuan mereka. Kelemahan ini memberi kesan kepada pengguna platform persidangan video sumber terbuka yang popular ini, terutamanya mereka yang menggunakan contoh awam meet.jit.si dengan berjuta-juta pengguna aktif bulanan.
Serangan Rakaman Senyap
Eksploit ini berfungsi dengan memperdaya pengguna untuk menyertai mesyuarat Jitsi tersembunyi secara automatik melalui laman web berniat jahat. Apabila seseorang melawat halaman web yang terjejas, mereka akan dialihkan ke URL mesyuarat Jitsi dengan parameter khas yang memintas skrin pra-sertai yang biasa. Jika pengguna sebelum ini memberikan kebenaran mikrofon dan kamera kepada Jitsi , mesyuarat akan mula merakam serta-merta di latar belakang tanpa sebarang petunjuk yang boleh dilihat.
Serangan ini menjadi lebih licik melalui helah pelayar yang bijak. Laman web berniat jahat boleh membuka halaman asal pengguna dalam tetingkap baru sambil secara rahsia memuatkan mesyuarat Jitsi di tab latar belakang. Ini bermakna mangsa mungkin tidak pernah menyedari bahawa kamera dan mikrofon mereka sedang diakses.
Skrin pra-sertai: Antara muka Jitsi biasa yang meminta pengguna mengesahkan sebelum menyertai mesyuarat
Gambaran Keseluruhan Kaedah Serangan
- Sasaran: Pengguna Jitsi yang sebelum ini telah memberikan kebenaran mikrofon/kamera
- Teknik: Parameter URL
config.prejoinConfig.enabled=falsememintas skrin pra-sertai - Kaedah Senyap: JavaScript
window.open()danlocation.hrefmengalihkan untuk menyembunyikan serangan - Batasan: Tidak berfungsi dalam iframe silang-asal disebabkan keselamatan pelayar
- Garis Masa: Dilaporkan 17 Jun 2025; Diterbitkan 23 Julai 2025 selepas tiada respons
Kebimbangan Komuniti Mengenai Keselamatan Pelayar
Ahli komuniti teknologi menyatakan kebimbangan tentang implikasi yang lebih luas selain daripada Jitsi sahaja. Sesetengah pengguna melaporkan berasa bimbang tentang tabiat pelayaran mereka, menyedari bahawa eksploit serupa mungkin telah berjalan tanpa disedari dalam banyak tab pelayar terbuka mereka. Seorang ahli komuniti bahkan menyebut kemungkinan mengalami jenis serangan ini semasa tempoh pandemik, menunjukkan kelemahan ini mungkin telah wujud selama bertahun-tahun.
Perbincangan juga telah menyerlahkan perbezaan dalam cara pelbagai sistem pengendalian mengendalikan kebenaran. Pengguna Mac melaporkan diminta kebenaran kamera dan mikrofon secara eksplisit setiap kali mereka menggunakan Jitsi , yang akan menghalang jenis serangan rakaman senyap ini.
Respons Jitsi Mencetuskan Perdebatan
Mungkin yang paling kontroversi ialah respons rasmi Jitsi terhadap laporan keselamatan tersebut. Syarikat itu menolak kebimbangan penyelidik dengan mesej ringkas yang menyatakan tingkah laku ini adalah ciri yang disengajakan, bukan pepijat. Pendirian ini telah mengelirukan ahli komuniti yang bergelut untuk memahami kes penggunaan yang sah untuk tangkapan audio dan video automatik tanpa persetujuan pengguna yang jelas.
Bolehkah seseorang menerangkan ciri yang digunakan untuk ini? Saya bergelut untuk memikirkan sebarang sebab yang sah untuk penyertaan automatik dengan audio/video seperti itu.
Penyelidik menunggu lebih sebulan untuk penjelasan tambahan daripada Jitsi sebelum membuat penemuan itu umum, tetapi tidak menerima respons lanjut tentang pembaikan berpotensi atau sekatan untuk contoh awam mereka.
Batasan Teknikal dan Perlindungan
Berita baiknya ialah eksploit ini mempunyai beberapa batasan terbina dalam. Ia hanya berfungsi jika pengguna sebelum ini telah memberikan kebenaran kamera dan mikrofon kepada Jitsi dalam pelayar mereka. Selain itu, serangan tidak berfungsi melalui iframe terbenam kerana sekatan keselamatan pelayar, walaupun penyerang masih boleh menggunakan tetingkap pop timbul atau pengalihan halaman untuk mencapai hasil yang sama.
Pembuat pelayar telah melaksanakan pelbagai perlindungan terhadap akses media tanpa kebenaran, tetapi pertahanan ini bergantung pada pengguna membuat keputusan termaklum tentang pemberian kebenaran. Setelah kebenaran diberikan kepada domain, lawatan seterusnya mungkin secara automatik menggunakan semula kebenaran tersebut dalam keadaan tertentu.
Insiden ini menyerlahkan ketegangan berterusan antara kemudahan pengguna dan privasi dalam aplikasi web, di mana ciri yang direka untuk menyelaraskan pengalaman pengguna boleh secara tidak sengaja mewujudkan risiko keselamatan apabila dieksploitasi oleh pelakon berniat jahat.
Rujukan: Jitsi privacy flaw that enables one-click stealth audio and video capture