ハクソク

世界を動かす技術を、日本語で。

Jitsiのプライバシー欠陥により、ワンクリックでのステルス音声および映像キャプチャが可能に

290日前原文(zimzi.substack.com)

概要

  • Jitsi の公開インスタンスに存在する セキュリティリスク の事例紹介
  • 攻撃者 がユーザーの音声・映像を 無断取得 できる可能性
  • Jitsi運営 はこれを「機能」として認識し、修正予定なし
  • ユーザー自身によるセキュリティ対策 の重要性強調
  • 公開事例 の経緯とディスクッションの呼びかけ

Jitsi公開インスタンスにおけるセキュリティリスク

  • Jitsi はオープンソースの ウェブ会議アプリケーション
  • meet.jit.si は誰でも利用できる 公開インスタンス、月間数百万ユーザー規模
  • 攻撃者は MiniGinger という会議を公開インスタンス上に作成
  • ユーザーが攻撃者管理の CuteCats.com へアクセスすると、裏で次のURLにリダイレクト
    • https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false
  • ユーザーが過去にJitsi会議で マイク・カメラ利用を許可 していた場合、 追加の操作なし でMiniGinger会議がバックグラウンドで実行
  • これにより、攻撃者は ユーザーの音声・映像データ無断取得 可能
  • さらに、JavaScriptを用いた ウィンドウ操作トリック でユーザーに気づかれにくくすることも可能
    • window.open(location.href)
    • location.href= ('https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false')

Jitsi運営の対応と問題提起

  • Jitsi運営 はこの挙動を「 機能」として認識、 修正予定なし と回答
  • 特に 公開インスタンス でのリスクが高いことを指摘
  • 利用者側での 自己防衛 策の必要性
  • 少なくとも公開インスタンスでは無効化 すべきという提案

公開・ディスクロージャー経緯

  • 2025年6月17日 :Jitsiに発見内容を報告
  • 同日 :Jitsiから「 機能」との回答
  • 6月18日 :公開議論の許可を問い合わせるも回答なし
  • 7月23日 :1ヶ月以上返答なしのため本記事を 公開
  • HackerNews での議論を呼びかけ

ユーザー向けセキュリティ対策

  • Jitsi会議利用時、マイク・カメラの アクセス権限管理 の徹底
    • 利用後は ブラウザの権限設定 で都度解除推奨
  • 不審なサイト不明な会議URL へのアクセス回避
  • 公開インスタンス利用時 は特に 注意喚起
  • 公式コミュニティや セキュリティ議論 への参加推奨

まとめとディスカッションの呼びかけ

  • Jitsi公開インスタンス の設計上の問題点
  • 開発側とユーザー側 双方の意識向上の必要性
  • 本件に関する 意見・議論 をコメント欄や HackerNews で募集

Hackerたちの意見

Jitsiは使ってないけど、オープンタブの数がちょっと恥ずかしくなってきた。別の脆弱性がずっと前にこっそり仕掛けられてたかもしれないしね。

少なくともFirefoxでは、タブ録画中はファビコンに脈打つ赤いマイクが表示されるよ。気づいてると思うけど、もしかしたらタブが多すぎて見えなくなってるのかもね?

これってどんな機能に使われるのか説明してくれる人いる?自動で音声/映像に参加する理由が全然思いつかないんだけど。

フリクションを減らすためだと思うよ。一度だけ許可を与えれば、毎回Jitsiミーティングに参加するたびに許可を求められないからね。

Matrixはしばらくの間、Jitsiを音声/ビデオ通話のソリューションとして組み込んでたし、今もクライアントによってはそうかも。通話ボタンをクリックしたら自動的に通話に参加するのは、UXの観点から見ても理にかなってる。ただ、特定のコンテナ以外でそれを許可する理由は思いつかないな。統合には便利だけど、公共のインスタンスでは明らかに悪いデザインだよね。

もし他のサービスに埋め込まれていて、すでにそのサービスを通じて参加ボタンをクリックしてたら、追加の事前参加ダイアログはあまり望ましくないUXフローになると思う。例えば、仕事で使わなきゃいけないMS Teamsが、Outlookで参加ボタンをクリックするたびに事前参加ダイアログを出さずに、マイクをミュート、カメラを無効にした状態で自動的に参加してくれたら文句は言わないかな。でも、私の場合はMS Teamsを独自のブラウザウィンドウ/プロセス/プロファイルに入れてるから、セキュリティの問題にはならないんだ。Firefoxでの動作を全く考慮しないから、タブの同期やタブグループ、アカウントコンテナを逃したくないし、Chromeに似た機能を追加する拡張機能をインストールできないのが理由なんだけどね。

これって新しいって理解されてるの?かなり前にこれにやられた気がするんだけど。(パンデミック中、つまり脆弱性が多かった時期にね。)もし誰かがシグナルの情報を教えてくれたら、オフレコで話す用意はあるよ。

うん、これは新しいことじゃないし、Jitsiだけに影響してるわけでもないと思う(「正しい」ビデオ会議システムだけを見た場合)Jitsiで簡単にアーカイブできるからね。

もしかしたら僕のMacが過敏に設定されてるのかもしれないけど、マイクとカメラの許可を求められずに動画を共有できるの?僕はいつもJitsiでチャットしてて、毎回マイクとカメラの使用許可を明示的に与えなきゃいけないんだよね。

すでにJitsiを使ってるなら、もうその許可を与えてるんじゃないの?

おそらく99%の人が「はい、いつも」とクリックするよね。

でも、マイクとカメラの許可を与えずにビデオを共有できる? うん、それはブラウザの設定で「特定のサイトのマイク/カメラの許可を記憶する」ってやつだね。この「記憶する」がデフォルトでどの程度あるのかは分からないけど、システム設定やMDAなどで無効にできるはず。多分、SafariのMac版ではデフォルトじゃないかもしれないけど、あなたの安全を守るためだけじゃなくて、イライラさせてMacを使わせようとしてるのかも。Appleが人をアプリストアに誘導するためにやってる似たようなことの悲しいリストに入るね。でも、より安全なのは多くのユーザーにとってはやっぱりいいことだよね。

猫だけを使ったセキュリティリサーチの解説画像や例を読むためには、どこでお金を払えばいいの?この脆弱性、可愛いね。

こういう脆弱性(こっそり音声や映像をキャプチャする)は意外と一般的だよ。詳しくは https://googleprojectzero.blogspot.com/2021/01/the-state-of-... を見てみて。

俺のことをスパイできないよ。Linuxのドライバーが動かないし。/s

これは明らかに大きな脆弱性で、機能じゃないよね。権限や認証情報のハイジャックだよ。ユーザーは以前の会議でjitsiドメインにオーディオとビデオの録画を許可していて、そのドメインがその権限を使って、第三者が始めた unsolicited meeting をスタートさせてる。被害者のビデオとオーディオにアクセスできるってわけ。

Jitsiを自分でホストすれば、問題になる可能性はかなり低いよ。大きな公共サーバーの場合だけが心配だね。

この攻撃/機能はconfig.prejoinConfig.enabled=falseという設定に依存してる(これが事前参加ダイアログを表示するかどうかを決める)けど、これをURLで設定できるのはちょっと疑問だな。ユーザーが自分で設定するのはいいけど、ルームやURLがそれを使えるのは…おかしい気がする。2. 他にどれだけのサイトがこの攻撃の対象になってるのか(例えばMS Teamsとか)もっと分かりにくいけど。3. 実際、攻撃者がJSをコントロールできる瞬間、他のほとんどのビデオ会議システムもその機能を持ってると思う。多分、追加の作業が必要だけどね。そうなると、素直にオープンにするのもいいかも?でも、こういう攻撃のコストは、他の会議システムと比べるとちょっと低すぎる気がする。

Jitsiの開発者です。今、これについて再検討中です。Jitsi Meetが埋め込まれる場合、外部の「ホスト」サイトから提供される事前参加ページがあるため、こういうことが起こっています。今後、これがどのように使われるか制限していく予定です。

今後、潜在的なセキュリティ問題の初期トリアージについての議論はあるのかな?投稿の反応を見てがっかりしたよ。「それは機能です」といった短い返事が、正当なセキュリティの懸念や開示に対するもので、公開の場での発表リクエストにも返事がなかった。Jitsiは「ユーザーのために責任ある開示を推奨していますので、公開スペースに投稿する前にご連絡ください」と言ってるけど、誰も返事をくれなかったら、最初からJitsiに連絡する意味がないよね。https://jitsi.org/のヒーローイメージバナーには「もっと安全」と書いてあるけど、それに関しての扱いには少し疑問があるな。(プライバシーやセキュリティのことをあまり scrutinize されたくないなら、サイトの最初に「もっと安全」と広告するのはやめた方がいいと思うよ)

カメラでは再現できてないけど、マイクはミュート解除されてるよ: https://github.com/jitsi/jitsi-meet/issues/16262#issuecommen...