TEMPO.CO, Jakarta - WhatsApp pekan lalu berada di tengah badai kontroversi menyusul pemaparan kerentanan utama dalam aplikasi pengiriman pesan. Kelemahan keamanan mereka dalam memanfaatkan apa yang dikenal sebagai buffer overflow membuat penyerang bisa menginstal spyware pada perangkat target.
Akibatnya, penyerang mendapatkan akses ke sejumlah besar data pribadi, seperti panggilan, teks, foto, lokasi, dan data lainnya di handset.
Baca juga: Hati-Hati, Peretas Masih Bisa Akses WhatsApp yang Belum Update
Serangan itu dilaporkan menggunakan spyware Pegasus, yang memungkinkan ponsel Anda dapat terinfeksi melalui panggilan WhatsApp sederhana. Penyusup canggih ini memiliki kemampuan mengaktifkan kamera dan mikrofon ponsel.
Setelah mendapatkan akses ke perangkat, penyerang dapat mengubah log panggilan untuk menyembunyikan aktivitas jahat mereka. Kabar baiknya adalah bahwa WhatsApp telah menambal lubang keamanan untuk memperbaikinya.
Namun, berita buruknya adalah bahwa banyak orang masih belum memperbarui ke versi aplikasi yang sudah diperbaiki. Dari perspektif yang lebih luas, kejadian ini mendorong untuk mempertimbangkan apakah layanan pesan terenkripsi ini dapat cukup aman untuk benar-benar melindungi komunikasi dan data pribadi penggunanya.
Hal itu mungkin membebani pikiran Anda setelah pengungkapan cacat keamanan WhatsApp. WhatsApp menawarkan enkripsi end-to-end, yang membuat pengguna merasa aman dan terlindungi. Seperti yang dijelaskan di situs webnya bahwa: "Seperti halnya pesan Anda, panggilan WhatsApp adalah end-to-end yang dienkripsi sehingga WhatsApp dan pihak ketiga tidak dapat mendengarkannya."
Dan itu benar, setiap pesan atau panggilan dienkripsi secara unik, sehingga konten tidak dapat dibaca atau didengar oleh siapa pun kecuali pengirim/ pemanggil dan penerima. Namun, enkripsi tidak ada artinya jika software itu membawa kerentanan yang dapat dieksploitasi untuk menginstal spyware.
Jadi yang lebih pas pertanyaannya adalah: dapatkah perangkat lunak benar-benar aman? Jelas tidak mungkin memberikan jaminan apa pun di bagian itu, jadi jawaban singkatnya adalah tidak juga. Etienne Greeff, salah satu pendiri SecureData, mengatakan bahwa sistem operasi yang mendasari mungkin tampak sangat aman, seperti iOS.
"Tetapi seluruh ekosistem termasuk semua aplikasi pada sistem operasi sangat kompleks dan berbelit-belit, sehingga menjadi sulit untuk memiliki keamanan lengkap. Selain itu, beberapa alat keamanan yang diduga sebagai zero-day digunakan untuk mengamankan sistem yang kompleks, tapi tidak efektif," kata Greeff.
Greeff menguraikan sedikit tentang mengapa alat keamanan zero-day, aplikasi antivirus atau keamanan yang khas tidak akan efektif. Dia menjelaskan bahwa dalam ruang memori Android tidak ada proses yang dapat mengakses memori dari proses lain.
Senior Manager Penetration Testing, Consulting Services NTT Security Daniel Follenfant, menekankan bahwa menjaga keamanan aplikasi adalah pertempuran yang konstan. Setiap pengguna Windows, Follenfant menambahkan, akan melihat tambalan datang sepanjang waktu, tapi dia terus memiliki keyakinan bahwa mereka akan mengawasi kerentanan keamanan dan memperbaikinya, seperti yang dilakukan WhatsApp.
"Kita harus percaya bahwa vendor akan memantau dan melihat kerentanan itu, hari ini persaingan dan pergantian aplikasi berarti bahwa jika Anda (sebagai vendor) tidak terlihat mengambil tindakan positif, Anda akan kehilangan pengguna Anda dan mereka akan berpindah," tutur Follenfant.
Jelas, perusahaan yang menjanjikan perlindungan untuk data sensitif Anda seperti WhatsApp harus berada di ujung tombak keamanan. Dan harus bergerak cepat untuk meminimalkan kerusakan yang disebabkan oleh celah keamanan, dengan patch perbaikan cepat, seperti yang terjadi pekan lalu.
TECHRADAR | FORBES | FINANCIALTIMES
