Kerentanan WhatsApp Mungkinkan Siapapun Lakukan Pengintipan

Sebuah kerentanan keamanan yang dapat digunakan oleh Facebook dan lain-lain untuk mencegat dan membaca pesan terenkripsi telah ditemukan dalam layanan pesan WhatsApp. Facebook mengklaim bahwa tidak ada yang dapat mencegat pesan WhatsApp, bahkan tidak juga Facebook dan stafnya untuk memastikan privasi bagi penggunanya yang jumlahnya satu miliar lebih. Namun, penelitian baru menunjukkan bahwa WhatsApp atau Facebook atau siapapun sebenarnya bisa membaca pesan karena cara WhatsApp dalam menerapkan protokol enkripsi end-to-end.

Kelompok kampanye privasi mengatakan bahwa kerentanan tersebut adalah ancaman besar bagi kebebasan berbicara dan memperingatkan hal itu bisa digunakan oleh instansi pemerintah sebagai backdoor untuk mengintip pengguna yang sebelumnya percaya pesan mereka telah aman. Sebagaimana diketahui WhatsApp telah membuat privasi dan keamanan sebagai titik penjualan utama dan telah menjadi alat komunikasi aktivis, pembangkang dan diplomat.

Enkripsi end to end WhatsApp bergantung pada generasi kunci keamanan yang unik, menggunakan protokol Signal yang diakui yang dikembangkan oleh Open Whisper System yang dipertukarkan dan diverifikasi antara pengguna untuk menjamin komunikasi yang aman dan tidak dapat dicegat oleh seorang perantara. WhatsApp memiliki kemampuan untuk memaksakan generasi kunci enkripsi baru untuk pengguna offline, tanpa diketahui oleh pengirim dan penerima pesan dan untuk membuat pesan pengirim dienkripsi kembali dengan kunci baru dan mengirimkannya lagi untuk setiap pesan yang belum ditandai sebagai terkirim.

Penerima tidak sadar akan perubahan di enkripsi ini, sedangkan pengirim hanya diberitahu jika mereka telah memilih untuk ikut peringatan enkripsi dalam pengaturan, dan hanya setelah pesan telah dikirimkan kembali. Re-enkripsi dan rebroadcasting ini memungkinkan WhatsApp secara efektif untuk mencegat dan membaca pesan pengguna.

Celah keamanan ditemukan oleh Tobias Boelter, seorang peneliti kriptografi dan keamanan di University of California, Berkeley. Dia mengatakan bahwa jika WhatsApp diminta oleh lembaga pemerintah untuk mengungkapkan catatan pesan, WhatsApp secara efektif dapat memberikan akses karena perubahan kunci.

Kerentanan tersebut tidak melekat pada protokol Signal. Aplikasi perpesanan Open Whisper Systems, Signal, yang digunakan dan direkomendasikan oleh whistleblower Edward Snowden, tidak menderita kerentanan yang sama. Jika penerima mengubah kunci keamanan saat offline, misalnya, pesan yang dikirim akan gagal untuk disampaikan dan pengirim akan diberitahu tentang perubahan kunci keamanan tanpa otomatis mengirim ulang pesan.

Implementasi WhatsApp yang secara otomatis mengirim ulang pesan yang gagal dikirimkan dengan kunci baru tanpa peringatan kepada pengguna sebelumnya atau memberi mereka kemampuan untuk mencegahnya.

Boelter melaporkan kerentanan tersebut ke Facebook pada bulan April 2016, tetapi diberitahu bahwa Facebook menyadari masalah ini, namun sampai sekarang lubang keamanan ini masih ada atau belum ditutup.

Sumber: The Guardian