Ketika WhatsApp memperkenalkan fitur end-to-end encryption ke milyaran penggunanya, banyak pengguna langsung merasa aman saat chat dan ngobrol melalui WhatsApp. Tapi ternyata yang namanya produk buatan manusia, selalu saja ada celahnya.
Kelompok peneliti dari Ruhr University Bochum di Jerman baru saja menemukan celah keamanan yang cukup berbahaya di WhatsApp, dimana siapapun yang berhasil mendapatkan akses ke server WhatsApp bisa memasukkan member ke private group WhatsApp tanpa sepengetahuan administrator. Member yang disusupkan ini kemudian bisa melihat dan mengintip seluruh isi percakapan kedepannya, jadi apapun yang diobrolkan didalamnya bakal terbaca oleh member sisipan tersebut.
Sebenarnya begitu seorang member dimasukkan kedalam group — termasuk melalui celah keamanan ini, semua orang di group bakal tahu bahwa ada member baru, termasuk administrator. Tapi peneliti dari Ruhr University dan Johns Hopkins’ Green menjelaskan beberapa trik yang bisa digunakan untuk menunda deteksi ini.
Jadi begitu attacker mendapatkan akses ke server WhatsApp, punya akses juga untuk mengatur percakapan. Jadi dia bisa menggunakan server tersebut untuk memblokir pesan di group, termasuk member yang mungkin bertanya tentang member baru, atau melaporkan adanya keanehan tersebut. Bahkan di group WA yang punya beberapa administrator, server yang sudah di hijack bisa digunakan untuk menampilkan pesan yang berbeda bagi setiap administrator, sehingga deteksi makin sulit dilakukan. Bahkan sang attacker juga bisa mencegah administrator menendang member penyusup tersebut dari group.
Celah keamanan ini tentu saja bisa dimanfaatkan oleh peretas manapun yang mampu mengambil akses server WhatsApp, pegawai WhatsApp sendiri, atau pihak pemerintah yang secara diam-diam memang punya akses ke server tersebut untuk keperluan tertentu.
Saat dihubungi WIRED, pihak WhatsApp menyatakan bahwa celah keamanan ini memang benar ada, dan jika dihilangkan bakal menghilangkan juga fitur populer di WhatsApp yaitu Group Invite Link.
Kelompok peneliti dari Ruhr University ini sebenarnya sudah melaporkan hal ini ke WhatsApp sejak bulan Juli tahun lalu, dan staff WhatsApp menyatakan sudah memperbaiki satu celah lainnya. Tetapi untuk celah keamanan yang satu ini, WhatsApp menyatakan merupakan sebuah celah yang teoritis dan susah diaplikasikan dalam kehidupan nyata. Bahkan celah keamanan ini dianggap tidak masuk kualifikasi bug bounty program yang rutin diadakan oleh Facebook selaku pemilik WhatsApp. Hal ini mungkin karena sang hacker harus berhasil memperoleh akses terlebih dahulu ke server WhatsApp untuk bisa mengeksekusi semua hal diatas — yang tentu saja hal ini tidaklah mudah.
Jadi jika memang WhatsApp membiarkan keberadaan celah keamanan tersebut demi mempertahankan fitur Group Invite Link, maka sebagai administrator dan member private group kamu perlu lebih waspada akan penyusup tak dikenal yang tiba-tiba masuk dan memata-matai obrolan didalam group tanpa sepengetahuan.
via wired
