4 (Empat) Catatan Penting EFF terkait Aplikasi WhatsApp

facebook-whatsapp-deal-640x360

EFF atau Electronic Frontier Foundation beberapa waktu yang lalu mengulas secara mendalam aplikasi perpesanan yang sangat populer, yaitu WhatsApp. Aplikasi milik Facebook ini, sebelumnya telah mengatakan akan membagi data penggunanya ke Facebook, sesuatu yang dinilai banyak orang sebagai pelanggaran terhadap apa yang dinyatakan oleh WhatsApp sendiri pada tahun 2012 yang lalu.

Pembahasan tentang WhatsApp ini merupakan bagian dari kegiatan reguler EFF yang disebut Surveillance Self Defense. EFF menyatakan bahwa tidak ada teknologi yang 100 persen aman untuk setiap pengguna, dan selalu ada trade-off antara keamanan, kegunaan, dan pertimbangan lainnya. Dalam Surveillance Self Defense (SSD), EFF bertujuan untuk menyoroti teknologi handal sambil menambahkan peringatan untuk menjelaskan bagaimana berbagai kekuatan dan kelemahan teknologi tersebut memengaruhi privasi dan keamanan pengguna.

EFF menyoroti 4 (empat) hal berikut terkait aplikasi WhatsApp.

  1. Backup Tidak Terenkripsi

WhatsApp menyediakan mekanisme untuk mem-backup pesan ke penyimpanan awan. Setelah pertama kali menginstal, WhatsApp meminta pengguna untuk memilih seberapa sering ingin backup pesan, apakah harian, mingguan, bulanan, atau tidak pernah. EFF menyarankan pengguna untuk tidak pernah mem-backup pesan ke penyimpanan awan karena hal tersebut akan memberikan salinan tidak terenkripsi dari log pesan ke penyedia layanan penyimpanan awan. Agar komunikasi pengguna benar-benar aman, setiap kontak di mana pengguna melakukan chatting dengannya harus melakukan hal yang sama.

2. Notifikasi Perubahan Kunci

Jika kunci enkripsi dari kontak berubah, aplikasi perpesanan yang aman harus memberitahu pengguna dan memintanya untuk menerima perubahan. Di WhatsApp, jika kontak pengguna mengubah kunci, hal ini tersembunyi secara default. Agar bisa diberitahu, pengguna harus mencari pengaturan Pemberitahuan Keamanan dan secara manual mengaktifkannya.

Verifikasi kunci sangat penting untuk mencegah Man In The Middle Attack, di mana pihak ketiga bisa saja berpura-pura menjadi kontak yang dikenal pengguna. Dalam skenario serangan ini, pihak ketiga berada di tengah-tengah dan meyakinkan perangkat pengguna untuk mengirim pesan ke mereka, bukan kontak pengguna sebenarnya, sambil mendekripsi pesan tersebut, mungkin memodifikasi mereka, dan mengirim mereka bersama dengan aslinya, ke penerima yang sebenarnya. Jika terjadi perubahan kunci kontak pengguna tiba-tiba, ini bisa menjadi indikasi bahwa pengguna sedang diserang dengan serangan Man In The Middle Attack sehingga perlu pemberitahun secara default.

3. Aplikasi Web

WhatsApp menyediakan antarmuka web yang dilindungi HTTPS bagi pengguna untuk mengirim dan menerima pesan. Seperti semua situs web lainnya, sumber daya yang dibutuhkan untuk memuat aplikasi disampaikan masing-masing setiap kali pengguna mengunjungi situs tersebut. Jadi, bahkan jika ada dukungan untuk kripto dalam browser, aplikasi web dapat dengan mudah dimodifikasi untuk melayani versi berbahaya dari aplikasi pada setiap pageload yang mampu memberikan semua pesan pengguna kepada pihak ketiga. Seharusnya, WhatsApp menyediakan versi desktop client dalam bentuk ekstensi daripada hanya antarmuka web.

4. Berbagi Data dengan Facebook

Dalam pembaruan kebijakan privasi baru-baru ini, WhatsApp mengumumkan rencana untuk berbagi data dengan Facebook. Hal ini menandakan pergeseran menyangkut sikap WhatsApp terhadap privasi pengguna. Secara khusus, bahasa yang tidak jelas dalam kebijakan privasi yang diperbarui tersebut menimbulkan pertanyaan tentang informasi apa yang dibagi WhatsApp atau yang tidak dibagi dengan Facebook.

WhatsApp telah mengumumkan secara terbuka rencana untuk berbagi nomor telepon pengguna dan data penggunaan WhatsApp dengan Facebook untuk tujuan melayani rekomendasi teman dan iklan yang lebih relevan. Pengguna WhatsApp diberikan waktu 30 hari untuk ikut dalam perubahan ini, namun mereka tidak dapat memilih keluar dari kebijakan berbagi data tersebut. Hal ini memberikan Facebook pandangan yang makin luas tentang kegiatan pengguna dalam komunikasi online, afiliasi, dan kebiasaan.

Sumber: EFF