Peneliti Temukan Kelemahan Keamanan di WhatsApp, Munculkan Kekhawatiran Privasi
Ilustrasi whatsapp.(Pixabay/Reka) |
Facebook mengakuisisi aplikasi perpesanan seluler WhatsApp seharga $ 19 miliar dalam bentuk tunai dan saham.
Menurut peneliti keamanan, akuisisi itu menarik tidak hanya bagi raksasa jejaring sosial itu, tetapi juga bagi mata-mata pemerintah dan peretas.
Sebuah laporan oleh Paul Jauregui, seorang peneliti di perusahaan keamanan Praetorian,
menunjukkan kelemahan utama dalam penerapan Secure Socket Layers (SSL) WhatsApp,
protokol yang bertanggung jawab atas enkripsi di balik komunikasi pengguna.
Pertanyaan yang dimaksud adalah mengapa WhatsApp mendukung versi 2 enkripsi SSL.
Versi protokol yang lebih lama rentan terhadap beberapa serangan terkenal yang memungkinkan peretas memantau percakapan antara dua titik akhir untuk melihat dan memanipulasi lalu lintas yang dilewati.
Serangan ini dikenal sebagai serangan “man-in-the-middle”, di mana penyerang dapat mencegat data yang dikirimkan antara dua pengguna tanpa terlihat, meskipun enkripsi SSL.
Tim WhatsApp gagal menerapkan teknik yang disebut “Skema Sertifikat” yang dirancang untuk memblokir serangan yang menggunakan sertifikat palsu,
yang pada dasarnya adalah siapa pun yang mencoba menyamar sebagai diri mereka sendiri.
Jauregui juga menunjukkan bahwa ada dua kelemahan lagi dalam cara WhatsApp
mengimplementasikan SSL. Aktifkan cipher null SSL (secara default aplikasi secara otomatis beralih ke
tidak ada enkripsi jika teknologi enkripsi aplikasi tidak cocok dengan teknologi enkripsi server) dan cipher yang diaktifkan ekspor SSL.
Kedua hal ini memudahkan penyerang untuk ‘menguping’ lalu lintas saat bergerak dari satu titik akhir ke titik akhir lainnya.
Kekhawatiran privasi lainnya berasal dari fakta bahwa WhatsApp memiliki data pribadi 450 juta pengguna, dan pelanggaran datanya sangat serius.
Peneliti Privasi Runa Sandvik mengatakan:
“Meskipun tidak ada iklan di WhatsApp, sesuai dengan kebijakan privasi kami, kami dapat secara berkala memindai buku alamat seluler pengguna dan mengunggah nomor tersebut ke server kami, meskipun nomor tersebut tidak mencantumkan nama.”
Dengan akuisisi WhatsApp oleh Facebook, banyak orang mulai bertanya-tanya apakah jejaring sosial akan menggabungkan data pengguna dengan data dari WhatsApp.
Paul Jauregui dari Praetorian menulis:
“Ini adalah hal yang disukai NSA. Ini pada dasarnya memungkinkan mereka (atau penyerang) untuk menghubungkan man-in-the-middle, kemudian menurunkan enkripsi untuk memblokirnya dan mengendus lalu lintas. Masalah keamanan ini membahayakan informasi dan komunikasi pengguna WhatsApp.”
Dalam sebuah wawancara, salah satu pendiri dan CEO WhatsApp Jan Koum mengatakan kepada Wired UK:
“Jika tidak ada yang berhak menguping, seharusnya tidak ada negara totaliter. Saya seharusnya tidak menjadi jenis negara yang saya tinggalkan sebagai seorang anak dan datang ke negara demokrasi dan kebebasan berbicara ini.
Tujuan kami adalah untuk melindunginya. Ada enkripsi antara klien dan server. Kami tidak menyimpan pesan di server kami dan kami tidak menyimpan riwayat obrolan. Semuanya ada di ponsel Anda. ”
Masalah keamanan terbaru WhatsApp bukanlah hal baru. Pada Oktober 2013, seorang mahasiswa ilmu komputer di Universitas Utrecht di Belanda mendokumentasikan kelemahan enkripsi fatal yang memungkinkan penyerang mendekripsi pesan (suara atau teks) apa pun yang dikirim menggunakan WhatsApp.