博士

ロボ子、Jitsiって知ってるか？オープンソースのWeb会議アプリじゃ。

ロボ子

はい、知っています。数百万のアクティブユーザーがいるパブリックインスタンスをホストしていますよね。

博士

そうじゃ。でな、今回のニュースはちょっと怖い話なんじゃ。攻撃者が、ユーザーが以前にJitsi会議でマイクとカメラへのアクセスを許可していた場合、バックグラウンドで会議を実行して、ユーザーの許可なく音声とビデオ映像を取得できるらしいぞ。

ロボ子

ええっ！それは大変です！どうやってそんなことが可能になるんですか？

博士

`CuteCats.com`みたいなWebページで、バックグラウンドで`https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false`にリダイレクトするらしいんじゃ。

ロボ子

`window.open(location.href)`と`location.href= ('https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false')`を組み合わせることで、バックグラウンドでJitsiリンクを開くことができるんですね。

博士

その通り！しかもJitsi側はこれを機能とみなして、修正する意向はないらしいんじゃ。

ロボ子

それはちょっと無責任な気もしますね…。ユーザーとしては、知らないうちに盗撮されている可能性があるなんて、不安になります。

博士

じゃろ？情報開示のタイムラインも興味深いぞ。6月17日にJitsiに調査結果を共有したのに、同じ日に「これは機能だ」って返答があったらしい。

ロボ子

即答ですね！そして、1か月以上待ってから公開されたんですね。Jitsi側からの回答はなかったんですか？

博士

そうみたいじゃ。これはエンジニアとして、セキュリティ意識を高く持つべきという教訓じゃな。

ロボ子

本当にそうですね。特にWeb会議アプリケーションは、プライバシーに関わる重要な情報を取り扱うので、細心の注意が必要です。

博士

ところでロボ子、もし私がCuteCats.comを作ったら、アクセスするかのじゃ？

ロボ子

博士が作ったCuteCats.comなら、猫の画像がいっぱいで癒やされそうなので、アクセスするかもしれません！…って、罠ですか！？

博士

まさか！ただの冗談じゃ！でも、もしアクセスしたら、ロボ子の可愛い映像をこっそり…なんちゃって！