Một nhà nghiên cứu bảo mật đã tiết lộ cách tính năng tự động tham gia cuộc họp của Jitsi có thể bị khai thác để ghi âm và quay video người dùng một cách bí mật mà họ không hề hay biết. Lỗ hổng này ảnh hưởng đến người dùng của nền tảng hội nghị truyền hình mã nguồn mở phổ biến này, đặc biệt là những người sử dụng phiên bản công cộng meet.jit.si với hàng triệu người dùng hoạt động hàng tháng.
Cuộc Tấn công Ghi âm Âm thầm
Kỹ thuật khai thác này hoạt động bằng cách lừa người dùng tự động tham gia vào các cuộc họp Jitsi ẩn thông qua các website độc hại. Khi ai đó truy cập vào một trang web bị xâm phạm, họ sẽ bị chuyển hướng đến một URL cuộc họp Jitsi với các tham số đặc biệt bỏ qua màn hình tham gia thông thường. Nếu người dùng trước đó đã cấp quyền truy cập microphone và camera cho Jitsi , cuộc họp sẽ bắt đầu ghi âm ngay lập tức trong nền mà không có bất kỳ dấu hiệu hiển thị nào.
Cuộc tấn công trở nên còn lén lút hơn thông qua một thủ thuật trình duyệt thông minh. Các website độc hại có thể mở trang gốc của người dùng trong một cửa sổ mới trong khi bí mật tải cuộc họp Jitsi trong tab nền. Điều này có nghĩa là nạn nhân có thể không bao giờ nhận ra rằng camera và microphone của họ đang bị truy cập.
Màn hình tham gia trước: Giao diện Jitsi thông thường yêu cầu người dùng xác nhận trước khi tham gia cuộc họp
Tổng quan về phương thức tấn công
- Mục tiêu: Người dùng Jitsi đã từng cấp quyền truy cập mic/camera
- Kỹ thuật: Tham số URL
config.prejoinConfig.enabled=falsebỏ qua màn hình tham gia trước - Phương pháp ẩn danh: JavaScript
window.open()và chuyển hướnglocation.hrefđể che giấu cuộc tấn công - Hạn chế: Không hoạt động trong iframe cross-origin do bảo mật trình duyệt
- Thời gian: Báo cáo ngày 17 tháng 6 năm 2025; Công bố ngày 23 tháng 7 năm 2025 sau khi không nhận được phản hồi
Mối lo ngại của Cộng đồng về Bảo mật Trình duyệt
Các thành viên cộng đồng công nghệ đang bày tỏ lo lắng về những tác động rộng lớn hơn ngoài chỉ riêng Jitsi . Một số người dùng báo cáo cảm thấy lo lắng về thói quen duyệt web của họ, nhận ra rằng các kỹ thuật khai thác tương tự có thể đã chạy mà không bị phát hiện trong nhiều tab trình duyệt mở của họ. Một thành viên cộng đồng thậm chí còn đề cập đến việc có thể đã trải qua loại tấn công này trong thời kỳ đại dịch, cho thấy lỗ hổng này có thể đã tồn tại trong nhiều năm.
Cuộc thảo luận cũng đã làm nổi bật sự khác biệt trong cách các hệ điều hành khác nhau xử lý quyền truy cập. Người dùng Mac báo cáo được yêu cầu cấp quyền camera và microphone rõ ràng mỗi khi họ sử dụng Jitsi , điều này sẽ ngăn chặn loại tấn công ghi âm âm thầm này.
Phản hồi của Jitsi Gây ra Tranh cãi
Có lẽ gây tranh cãi nhất là phản hồi chính thức của Jitsi đối với báo cáo bảo mật. Công ty đã bác bỏ mối lo ngại của nhà nghiên cứu bằng một thông điệp ngắn gọn tuyên bố rằng hành vi này là một tính năng có chủ ý, không phải là lỗi. Lập trường này đã khiến các thành viên cộng đồng bối rối khi họ khó hiểu các trường hợp sử dụng hợp pháp cho việc tự động thu âm và quay video mà không có sự đồng ý rõ ràng của người dùng.
Ai đó có thể mô tả tính năng mà điều này được sử dụng không? Tôi khó nghĩ ra bất kỳ lý do hợp lệ nào cho việc tự động tham gia với âm thanh/video như vậy.
Nhà nghiên cứu đã chờ đợi hơn một tháng để có thêm làm rõ từ Jitsi trước khi công bố các phát hiện, nhưng không nhận được phản hồi nào thêm về các bản sửa lỗi tiềm năng hoặc hạn chế cho phiên bản công cộng của họ.
Hạn chế Kỹ thuật và Biện pháp Bảo vệ
Tin tốt là kỹ thuật khai thác này có một số hạn chế tích hợp. Nó chỉ hoạt động nếu người dùng trước đó đã cấp quyền camera và microphone cho Jitsi trong trình duyệt của họ. Ngoài ra, cuộc tấn công không hoạt động thông qua các iframe nhúng do hạn chế bảo mật của trình duyệt, mặc dù kẻ tấn công vẫn có thể sử dụng cửa sổ popup hoặc chuyển hướng trang để đạt được kết quả tương tự.
Các nhà sản xuất trình duyệt đã triển khai nhiều biện pháp bảo vệ khác nhau chống lại việc truy cập phương tiện truyền thông trái phép, nhưng những biện pháp phòng thủ này dựa vào việc người dùng đưa ra quyết định có hiểu biết về việc cấp quyền. Khi quyền đã được cấp cho một tên miền, các lần truy cập tiếp theo có thể tự động sử dụng lại những quyền đó trong một số điều kiện nhất định.
Sự cố này làm nổi bật những căng thẳng đang diễn ra giữa sự tiện lợi của người dùng và quyền riêng tư trong các ứng dụng web, nơi các tính năng được thiết kế để hợp lý hóa trải nghiệm người dùng có thể vô tình tạo ra rủi ro bảo mật khi bị khai thác bởi các tác nhân độc hại.
Tham khảo: Jitsi privacy flaw that enables one-click stealth audio and video capture