นักวิจัยด้านความปลอดภัยได้เปิดเผยว่าฟีเจอร์เข้าร่วมประชุมอัตโนมัติของ Jitsi สามารถถูกใช้ในทางที่ผิดเพื่อบันทึกเสียงและวิดีโอของผู้ใช้แบบลับๆ โดยที่พวกเขาไม่รู้ตัว ช่องโหว่นี้ส่งผลกระทบต่อผู้ใช้แพลตฟอร์มการประชุมทางวิดีโอโอเพนซอร์สยอดนิยม โดยเฉพาะผู้ที่ใช้ instance สาธารณะ meet.jit.si ที่มีผู้ใช้งานหลายล้านคนต่อเดือน
การโจมตีแบบบันทึกเงียบๆ
การใช้ประโยชน์จากช่องโหว่นี้ทำงานโดยหลอกให้ผู้ใช้เข้าร่วมการประชุม Jitsi ที่ซ่อนอยู่โดยอัตโนมัติผ่านเว็บไซต์ที่เป็นอันตราย เมื่อมีคนเข้าชมเว็บเพจที่ถูกโจมตี พวกเขาจะถูกเปลี่ยนเส้นทางไปยัง URL การประชุม Jitsi ที่มีพารามิเตอร์พิเศษที่ข้ามหน้าจอ pre-join ปกติ หากผู้ใช้เคยให้สิทธิ์ไมโครโฟนและกล้องกับ Jitsi มาก่อน การประชุมจะเริ่มบันทึกทันทีในพื้นหลังโดยไม่มีสัญญาณที่มองเห็นได้
การโจมตีกลายเป็นเรื่องที่ลับแสงมากขึ้นผ่านเทคนิคเบราว์เซอร์ที่ฉลาด เว็บไซต์ที่เป็นอันตรายสามารถเปิดหน้าเดิมของผู้ใช้ในหน้าต่างใหม่ขณะที่แอบโหลดการประชุม Jitsi ในแท็บพื้นหลัง ซึ่งหมายความว่าเหยื่ออาจไม่เคยสังเกตเห็นว่ากล้องและไมโครโฟนของพวกเขากำลังถูกเข้าถึง
หน้าจอ Pre-join: อินเทอร์เฟซปกติของ Jitsi ที่ขอให้ผู้ใช้ยืนยันก่อนเข้าร่วมการประชุม
ภาพรวมของวิธีการโจมตี
- เป้าหมาย: ผู้ใช้ Jitsi ที่เคยอนุญาตการเข้าถึงไมโครโฟน/กล้องไว้ก่อนหน้านี้
- เทคนิค: พารามิเตอร์ URL
config.prejoinConfig.enabled=falseข้ามหน้าจอก่อนเข้าร่วม - วิธีการลับ: JavaScript
window.open()และlocation.hrefเปลี่ยนเส้นทางเพื่อซ่อนการโจมตี - ข้อจำกัด: ไม่สามารถใช้งานใน iframe ข้ามโดเมนได้เนื่องจากความปลอดภัยของเบราว์เซอร์
- ไทม์ไลน์: รายงานเมื่อ 17 มิถุนายน 2025; เผยแพร่เมื่อ 23 กรกฎาคม 2025 หลังจากไม่ได้รับการตอบสนอง
ความกังวลของชุมชนเกี่ยวกับความปลอดภัยของเบราว์เซอร์
สมาชิกชุมชนเทคโนโลยีกำลังแสดงความกังวลเกี่ยวกับผลกระทบที่กว้างขึ้นนอกเหนือจาก Jitsi เท่านั้น ผู้ใช้บางคนรายงานว่ารู้สึกกังวลเกี่ยวกับพฤติกรรมการท่องเว็บของตน โดยตระหนักว่าการใช้ประโยชน์จากช่องโหว่ที่คล้ายกันอาจเกิดขึ้นโดยไม่มีใครสังเกตในแท็บเบราว์เซอร์จำนวนมากที่พวกเขาเปิดไว้ สมาชิกชุมชนคนหนึ่งยังกล่าวถึงการที่อาจเคยประสบกับการโจมตีประเภทนี้ในช่วงระบาดใหญ่ ซึ่งบ่งชี้ว่าช่องโหว่นี้อาจมีอยู่มาหลายปีแล้ว
การอภิปรายยังเน้นให้เห็นความแตกต่างในการที่ระบบปฏิบัติการต่างๆ จัดการกับสิทธิ์การเข้าถึง ผู้ใช้ Mac รายงานว่าถูกขอให้ให้สิทธิ์กล้องและไมโครโฟนอย่างชัดเจนทุกครั้งที่ใช้ Jitsi ซึ่งจะป้องกันการโจมตีแบบบันทึกเงียบๆ นี้ได้
การตอบสนองของ Jitsi ก่อให้เกิดการถกเถียง
สิ่งที่อาจเป็นที่ถกเถียงมากที่สุดคือการตอบสนองอย่างเป็นทางการของ Jitsi ต่อรายงานความปลอดภัย บริษัทได้ปฏิเสธความกังวลของนักวิจัยด้วยข้อความสั้นๆ ที่ระบุว่าพฤติกรรมนี้เป็นฟีเจอร์ที่ตั้งใจไว้ ไม่ใช่ข้อผิดพลาด จุดยืนนี้ทำให้สมาชิกชุมชนงุนงงที่พยายามเข้าใจกรณีการใช้งานที่ถูกต้องสำหรับการจับเสียงและวิดีโออัตโนมัติโดยไม่มีความยินยอมที่ชัดเจนจากผู้ใช้
มีใครสามารถอธิบายฟีเจอร์ที่ใช้สำหรับสิ่งนี้ได้ไหม? ฉันพยายามคิดเหตุผลที่ถูกต้องสำหรับการเข้าร่วมอัตโนมัติพร้อมเสียง/วิดีโอแบบนี้แต่คิดไม่ออก
นักวิจัยรอคำชี้แจงเพิ่มเติมจาก Jitsi มากกว่าหนึ่งเดือนก่อนเปิดเผยผลการค้นพบต่อสาธารณะ แต่ไม่ได้รับการตอบสนองเพิ่มเติมเกี่ยวกับการแก้ไขที่เป็นไปได้หรือข้อจำกัดสำหรับ instance สาธารณะของพวกเขา
ข้อจำกัดทางเทคนิคและการป้องกัน
ข่าวดีคือการใช้ประโยชน์จากช่องโหว่นี้มีข้อจำกัดบางอย่างที่มีอยู่แล้ว มันจะทำงานได้ก็ต่อเมื่อผู้ใช้เคยให้สิทธิ์กล้องและไมโครโฟนกับ Jitsi ในเบราว์เซอร์ของพวกเขามาก่อน นอกจากนี้ การโจมตีไม่สามารถทำงานผ่าน iframe ที่ฝังตัวได้เนื่องจากข้อจำกัดด้านความปลอดภัยของเบราว์เซอร์ แม้ว่าผู้โจมตียังคงสามารถใช้หน้าต่างป๊อปอัปหรือการเปลี่ยนเส้นทางหน้าเพื่อให้ได้ผลลัพธ์เดียวกัน
ผู้ผลิตเบราว์เซอร์ได้ใช้การป้องกันต่างๆ เพื่อต่อต้านการเข้าถึงสื่อที่ไม่ได้รับอนุญาต แต่การป้องกันเหล่านี้อาศัยผู้ใช้ในการตัดสินใจอย่างมีข้อมูลเกี่ยวกับการให้สิทธิ์ เมื่อสิทธิ์ถูกให้กับโดเมนแล้ว การเข้าชมครั้งต่อไปอาจใช้สิทธิ์เหล่านั้นซ้ำโดยอัตโนมัติภายใต้เงื่อนไขบางประการ
เหตุการณ์นี้เน้นให้เห็นความตึงเครียดที่ยังคงดำเนินอยู่ระหว่างความสะดวกสบายของผู้ใช้และความเป็นส่วนตัวในแอปพลิเคชันเว็บ ที่ฟีเจอร์ที่ออกแบบมาเพื่อปรับปรุงประสบการณ์ผู้ใช้อาจสร้างความเสี่ยงด้านความปลอดภัยโดยไม่ตั้งใจเมื่อถูกใช้ประโยชน์โดยผู้ที่มีเจตนาร้าย
อ้างอิง: Jitsi privacy flaw that enables one-click stealth audio and video capture