TEMPO.CO, San Francisco - Sebuah kerentanan keamanan yang dapat digunakan Facebook dan pihak lain untuk mencegat dan membaca pesan terenkripsi telah ditemukan dalam layanan pesan WhatsApp. Hal ini diungkap dalam laporan Guardian, Jumat 13 Januari 2017.
Padahal Facebook mengklaim bahwa tidak ada yang dapat mencegat pesan WhatsApp, bahkan tidak perusahaan dan stafnya. Tapi penelitian baru menunjukkan bahwa perusahaan sebenarnya bisa membaca pesan. Hal ini terkait cara WhatsApp melakukan protokol enkripsi end-to-end.
Enkripsi end-to-end WhatsApp bergantung pada kunci keamanan yang unik, menggunakan protokol Signal, yang dikembangkan oleh Open Whisper Systems, yang dibagi dan diverifikasi di antara pengguna untuk menjamin komunikasi yang aman dan tidak dapat dicegat oleh seorang perantara.
Namun, WhatsApp memiliki kemampuan untuk memaksakan kunci enkripsi baru untuk pengguna offline, tanpa diketahui oleh pengirim dan penerima pesan, dan membuat pengirim melakukan re-encrypt pesan dengan kunci baru dan mengirimkannya lagi untuk setiap pesan yang belum ditandai sebagai terkirim.
Penerima tidak sadar akan perubahan pada enkripsi. Re-enkripsi dan rebroadcasting ini efektif memungkinkan WhatsApp untuk mencegat dan membaca pesan pengguna.
Celah keamanan ini ditemukan oleh Tobias Boelter, seorang kriptografi dan peneliti keamanan di University of California, Berkeley. "Jika WhatsApp diminta oleh lembaga pemerintah untuk mengungkapkan catatan pesan, ia secara efektif dapat memberikan akses karena perubahan kunci," ujarnya kepada Guardian.
Kerentanan ini tidak melekat pada protokol Signal. Signal tidak mengalami kerentanan yang sama. Jika penerima mengubah kunci keamanan saat offline misalnya, pesan yang dikirim akan gagal untuk disampaikan dan pengirim akan diberitahu tentang perubahan kunci keamanan tanpa otomatis mengirim ulang pesan.
WhatsApp secara otomatis mengirim ulang pesan yang tidak terkirim dengan kunci baru tanpa memperingatkan pengguna sebelumnya, atau memberi mereka kemampuan untuk mencegahnya.
Boelter melaporkan kerentanan ini ke Facebook pada bulan April 2016, tapi diberitahu bahwa Facebook menyadari masalah ini. Guardian telah memverifikasi celah ini masih ada.
Steffen Tor Jensen, kepala keamanan informasi di European-Bahraini Organisation for Human Rights, memverifikasi temuan Boelter ini. "WhatsApp dapat secara efektif terus membuka kunci keamanan ketika perangkat sedang offline dan mengirim kembali pesan, tanpa memberitahu perubahan,” ujarnya.
Seorang juru bicara WhatsApp mengatakan kepada Guardian bahwa lebih dari 1 miliar orang menggunakan WhatsApp hari ini karena sederhana, cepat, handal dan aman. “Pada WhatsApp, kami selalu percaya bahwa percakapan harus aman dan privat. Tahun lalu, kami memberi semua pengguna kami tingkat keamanan yang lebih baik dengan membuat setiap pesan, foto, video, file dan panggilan terenkripsi end-to-end secara default. Saat kami memperkenalkan fitur seperti enkripsi end-to-end, kami fokus membuat produk yang sederhana dan mempertimbangkan bagaimana itu digunakan setiap hari di seluruh dunia.”
"Dalam penerapan protokol Signal, kami memiliki pengaturan "Show Security Notification" (pilihan Setting> Account> Security) yang memberitahu Anda bila kode keamanan kontak telah berubah,” tambahnya.
“Kami tahu alasan paling umum ini terjadi adalah karena seseorang telah beralih ponsel atau menginstal ulang WhatsApp. Hal ini karena di banyak bagian dunia, orang sering mengubah perangkat dan kartu SIM. Dalam situasi ini, kami ingin memastikan pesan seseorang tersampaikan, tidak hilang dalam perjalanan," ujarnya.
Diminta untuk berkomentar secara khusus mengenai apakah Facebook / WhatApps telah mengakses pesan pengguna dan apakah telah melakukannya atas permintaan instansi pemerintah atau pihak ketiga lainnya, WhatsApp mengarahkan Guardian ke situsnya yang merinci soal permintaan oleh negara.
WhatsApp kemudian mengeluarkan pernyataan lain yang mengatakan, "WhatsApp tidak memberikan pemerintah 'backdoor' ke dalam sistem dan akan melawan setiap permintaan pemerintah untuk membuat backdoor."
GUARDIAN | ERWIN Z
Baca:
Retakan Besar Menganga di Padang Es Antartika, Bahaya Mengancam
Huawei Luncurkan P8 Lite Baru, Ini Spesifikasi dan Harganya
Kantongi Paten, Amazon Punya 2 Konsep Antar Paket Pakai Drone
