Peringatan mendesak telah dikeluarkan untuk pengguna WhatsApp setelah pakar keamanan siber menemukan kerentanan serius.
Para peneliti mengatakan kelemahan sederhana memungkinkan mereka mengakses 3,5 miliar profil di aplikasi perpesanan milik Meta.
Meskipun pesan pengguna tetap terenkripsi, para peneliti mengatakan mereka mampu mengumpulkan ‘metadata’ dalam jumlah besar.
Hal ini memungkinkan mereka menemukan informasi pribadi, termasuk nomor telepon, lokasi, jenis perangkat, dan usia akun seseorang.
Para ahli dari Universitas Wina dan SBA Research mengatakan kelemahan keamanan memungkinkan mereka mengeksploitasi mekanisme penemuan kontak bawaan WhatsApp.
Biasanya, ini memungkinkan aplikasi mengakses daftar kontak pengguna untuk menemukan pengguna WhatsApp lain berdasarkan nomor telepon mereka.
Namun, para peneliti menemukan bahwa tidak ada batasan berapa banyak kontak yang dapat dicari oleh mekanisme ini.
Dengan memanfaatkan kelemahan ini, para peneliti dapat mencari 100 juta nomor telepon setiap jam dan mengakses miliaran profil pengguna.
Pakar keamanan siber telah mengeluarkan peringatan mendesak setelah menemukan kelemahan keamanan yang memungkinkan akses ke 3,5 miliar profil WhatsApp
Penulis utama Gabriel Gegenhuber, seorang peneliti di Universitas Wina, mengatakan: ‘Biasanya, sebuah sistem tidak akan merespon permintaan dalam jumlah besar dalam waktu singkat – terutama ketika berasal dari satu sumber.
‘Perilaku ini mengungkap kelemahan mendasar, yang memungkinkan kami mengeluarkan permintaan tak terbatas ke server dan, dengan melakukan hal tersebut, memetakan data pengguna di seluruh dunia.’
Dengan menggunakan teknik ini, para peneliti mengungkap kumpulan data yang luar biasa dari akun WhatsApp di 245 negara.
Bekerja sama dengan para peneliti, Meta mengatakan bahwa pihaknya kini telah ‘mengatasi dan memitigasi masalah ini’.
Nitin Gupta, Wakil Presiden Teknik di WhatsApp, mengatakan: ‘Kami telah mengerjakan sistem anti-goresan yang terdepan di industri, dan penelitian ini berperan penting dalam pengujian tekanan dan memastikan kemanjuran pertahanan baru ini.
‘Yang penting, para peneliti telah menghapus data yang dikumpulkan sebagai bagian dari penelitian ini dengan aman, dan kami tidak menemukan bukti adanya pelaku jahat yang menyalahgunakan vektor ini.’
Mr Gupta juga menekankan bahwa pesan pengguna tetap aman dan pribadi, dan itu Enkripsi ujung ke ujung WhatsApp tidak dikompromikan pada titik mana pun.
Namun, para peneliti berpendapat bahwa penelitian mereka menunjukkan risiko ‘mensentralisasikan’ pesan-pesan dunia hanya pada beberapa aplikasi.
Para peneliti mampu mengekstrak cukup data dari profil pengguna untuk mengidentifikasi lokasi mereka hingga ke negara bagian tersebut (diilustrasikan)
Peneliti berhasil mengakses akun tersebut dengan memanfaatkan mekanisme penemuan kontak WhatsApp. Para ahli mengatakan kelemahan tersebut kini telah diperbaiki, dan tidak ada penjahat dunia maya yang menggunakannya (stok gambar)
Data publik yang awalnya tersedia bagi para peneliti hanyalah jenis informasi yang dapat dilihat oleh siapa pun yang memiliki nomor telepon pengguna.
Namun, mereka juga dapat mengekstrak informasi tambahan, memungkinkan mereka menentukan sistem operasi pengguna, usia akun, dan jumlah perangkat pendamping yang ditautkan.
Di negara-negara termasuk Amerika Serikat, Brasil, dan Meksiko, terdapat cukup data untuk mengidentifikasi lokasi pengguna hingga negara bagian tersebut.
Hal ini dapat menyebabkan pengguna menjadi sasaran panggilan penipuan atau serangan lainnya.
Rekan penulis Dr Aljosha Judmayer mengatakan: ‘Enkripsi ujung ke ujung melindungi konten pesan, namun belum tentu metadata terkait.
“Pekerjaan kami menunjukkan bahwa risiko privasi juga dapat muncul ketika metadata dikumpulkan dan dianalisis dalam skala besar.”
Dengan menggunakan data yang dikumpulkan dengan menunjukkan kerentanan, para peneliti mampu mengungkapkan beberapa rincian mengejutkan tentang pengguna global WhatsApp.
Misalnya, para peneliti menemukan hal itu di sana adalah jutaan akun WhatsApp aktif di negara-negara yang secara resmi melarang platform tersebut.
Dengan menggunakan profil yang terekspos, para peneliti menemukan bahwa ada jutaan akun aktif di negara-negara yang secara resmi melarang aplikasi tersebut – termasuk Tiongkok, Iran, dan Myanmar.
Negara-negara tersebut termasuk Tiongkok, Iran, dan Myanmar, yang semuanya menerapkan peraturan ketat akses terkendali ke layanan internet global.
Yang lebih memprihatinkan, para peneliti menemukan bahwa setengah dari jumlah tersebut 500 juta nomor telepon yang terungkap dalam kebocoran Facebook tahun 2021 masih aktif di WhatsApp.
Bocoran tersebut memperlihatkan nama lengkap, nomor telepon, lokasi, dan tanggal lahir pengguna di platform tersebut dari 2018 hingga 2019 diposting ke forum peretasan.
Komisi Perlindungan Data Irlandia menjatuhkan denda kepada Meta, perusahaan induk Facebook, sebesar €265 juta (£233 juta), setelah memutuskan bahwa pelanggaran tersebut berarti perusahaan tersebut gagal memenuhi undang-undang perlindungan data.
Para peneliti mengatakan bahwa ada risiko keamanan siber yang bertahan lama dan meningkat bagi siapa pun yang menggunakan nomor yang sebelumnya telah terungkap dalam kebocoran ini.
