- WhatsApp memiliki 3,5 miliar akun aktif yang terkena risiko pengikisan metadata secara global
- Cacat penemuan kontak memungkinkan penghitungan nomor telepon dalam skala global yang besar
- Jutaan kunci enkripsi digunakan kembali di seluruh akun, sehingga melemahkan asumsi keamanan
Ada apa pengguna mungkin perlu mengambil langkah ekstra untuk melindungi informasi akun mereka setelah adanya penemuan yang berpotensi menimbulkan kekhawatiran.
A belajar oleh para peneliti di Universitas Wina mengungkapkan bahwa sistem penemuan kontak pada aplikasi ini memungkinkan pengumpulan data pengguna WhatsApp secara luas dalam skala yang belum pernah terjadi sebelumnya karena tidak memadainya pembatasan tarif di seluruh titik akhir global.
Para peneliti mampu mengumpulkan sejumlah besar nomor telepon, foto profil publik, teks status akun, tag bisnis, dan informasi yang terkait dengan kunci enkripsi ujung ke ujung.
Bagaimana data dikumpulkan dalam skala besar
Kumpulan data tersebut mencakup pengguna di negara-negara yang melarang WhatsApp, termasuk Tiongkok, Iran, Myanmar, dan Korea Utara, yang berpotensi memungkinkan untuk mengidentifikasi individu di wilayah dengan pengawasan negara yang ketat dan akses terbatas ke alat terenkripsi.
Tim peneliti menghasilkan lebih dari 60 miliar kemungkinan nomor ponsel di lebih dari dua ratus negara menggunakan alat penghasil nomor otomatis.
Mereka kemudian memeriksa setiap nomor terhadap server WhatsApp melalui protokol rekayasa balik.
Metode ini mengandalkan klien sumber terbuka yang dimodifikasi yang menanyakan infrastruktur WhatsApp secara langsung, bukan melalui aplikasi resmi.
Proses ini memvalidasi ribuan angka per detik tanpa diblokir, mengulangi masalah enumerasi yang sebelumnya didokumentasikan pada tahun 2012 dan 2021.
Data yang dikumpulkan mencakup stempel waktu, informasi perangkat, kunci enkripsi yang dapat dilihat publik, dan metadata yang memungkinkan pemetaan pola penggunaan di seluruh wilayah global.
Ada jutaan kasus di mana kunci enkripsi digunakan kembali di berbagai akun meskipun ada harapan bahwa setiap kunci harus unik.
Beberapa kunci seluruhnya terdiri dari angka nol, menunjukkan penerapan yang cacat oleh klien pihak ketiga dan bukan oleh aplikasi utama.
Dalam pernyataan yang dikirim ke CyberinsiderNitin Gupta, Wakil Presiden Teknik di WhatsApp, mengatakan
“Kami berterima kasih kepada para peneliti Universitas Wina atas kemitraan dan ketekunan mereka yang bertanggung jawab dalam program Bug Bounty kami. Kolaborasi ini berhasil mengidentifikasi teknik enumerasi baru yang melampaui batas yang kami inginkan, sehingga memungkinkan para peneliti untuk mengumpulkan informasi dasar yang tersedia untuk umum. Kami telah mengerjakan sistem anti-scraping yang terdepan di industri, dan penelitian ini berperan penting dalam pengujian stres dan mengkonfirmasi kemanjuran pertahanan baru ini. Yang terpenting, para peneliti telah menghapus data yang dikumpulkan sebagai bagian dari penelitian dengan aman, dan kami tidak menemukan apa pun Bukti adanya pelaku jahat yang menyalahgunakan vektor ini. Sebagai pengingat, pesan pengguna tetap bersifat pribadi dan aman berkat enkripsi end-to-end bawaan WhatsApp, dan tidak ada data non-publik yang dapat diakses oleh para peneliti.”
Meta berpendapat bahwa pesan tetap terlindungi, namun para peneliti berpendapat bahwa penggunaan kembali kunci publik melemahkan model kepercayaan di balik enkripsi ujung ke ujung.
Perusahaan menerapkan batasan tarif yang lebih ketat pada Oktober 2025 setelah pengungkapan dan kemudian mengatasi masalah terpisah Apel perangkat yang memungkinkan pengambilan media tanpa izin.
WhatsApp diperkirakan mencapai 3,5 miliar akun aktif pada awal tahun 2025, menjadikannya salah satu platform komunikasi yang paling banyak digunakan dalam sejarah.
Bagaimana agar tetap aman
- Batasi apa yang muncul di kolom profil publik dan hindari memposting tautan di pesan status.
- Gunakan kata sandi yang kuat dan aktifkan otentikasi dua faktor untuk perlindungan akun yang lebih baik.
- Selalu perbarui perangkat lunak antivirus untuk mendeteksi ancaman sebelum memengaruhi akun Anda.
- Gunakan layanan perlindungan pencurian identitas untuk memantau aktivitas mencurigakan atau penyalahgunaan data.
- Blokir kontak yang tidak dikenal dan tinjau aktivitas akun secara teratur untuk mengetahui perilaku yang tidak biasa.
- Aktifkan firewall untuk mencegah akses jaringan berbahaya dan koneksi mencurigakan.
- Hindari klien WhatsApp tidak resmi dan perbarui aplikasi resmi sesegera mungkin.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
