tirto.id - “Sebelum melakukan panggilan telepon atau mengirim SMS, Anda bisa melihat status orang itu. Jika status orang yang hendak Anda telepon atau kirimi SMS tertulis 'saya bersedia', Anda bisa meneleponnya,” urai Jan Koum membeberkan awal mula WhatsApp dalam acara Stanford Center for Professional Development, April 2017. Aplikasi ini awalnya tidak didesain sebagai aplikasi pesan instan, melainkan sebagai aplikasi pemberi kabar.
“Kira-kira begitulah WhatsApp 1.0. Aplikasi itu jadi kegagalan yang mengerikan. Tidak ada orang yang menggunakan WhatsApp kala itu,” kenang Koum yang mendirikan WhatsApp bersama Brian Acton pada 2008.
Sepuluh tahun berlalu. Kegagalan yang mengerikan itu berubah menjadi kesuksesan. Hingga April 2019, WhatsApp yang kini dimiliki Facebook itu memiliki 1,6 miliar pengguna aktif bulanan.
Sayangnya, kengerian masih mengintai WhatsApp. Khususnya terkait privasi dan keamanan pengguna. Dalam acara TechCrunch Disrupt 2015, pendiri Telegram Pavel Durov bahkan menyebut keamanan WhatsApp “absolutely suck” alias busuk.
“Saya memiliki teman di Rusia. Suatu ketika ia ditangkap polisi dan polisi menunjukkan ke teman saya itu bukti-bukti berupa screenshot percakapan di WhatsApp-nya,” kisah Durov.
Selepas isu penggunaan WhatsApp untuk menyebarkan hoaks mereda, Facebook melalui Common Vulnerabilities and Exposures (CVE), standar publikasi temuan celah keamanan, bernomor 2019-3568, mengkonfirmasi celah keamanan pada WhatsApp. Memanfaatkan celah dalam Voice-over-Internet-Protocol (VoIP) yang digunakan WhatsApp, peretas dapat mengeksekusi program jahat untuk dijalankan pada perangkat sasaran.
Dalam CVE 2019-3568 itu, semua perangkat yang terpasang WhatsApp, baik pada sistem operasi iOS, Android, maupun Windows Phone ada dalam posisi rawan. Khususnya pengguna WhatsApp untuk Android sebelum versi v2.19.134, WhatsApp Business untuk Android sebelum versi v2.19.44, WhatsApp untuk iOS sebelum versi v2.19.51, WhatsApp Business untuk iOS sebelum versi v2.19.51, dan WhatsApp untuk Windows Phone sebelum versi v2.18.348.
Celah keamanan WhatsApp memungkinkan penyerang untuk memasang malware, yang kemudian bisa menyelinap ke dalam kamera, mikrofon, pesanan dalam smartphone, menangkap tangkapan layar (screenshot), hingga mencatat tiap ketukan keyboard. Yang mengerikan, serangan malware via celah keamanan di WhatsApp ini bisa terjadi dengan cara sederhana: penyerang tinggal melakukan panggilan telepon via WhatsApp saja. Tanpa iming-iming penipuan ala phishing.
Perusahaan asal Israel bernama NSO Group, dengan produk mereka bernama Pegasus, diduga berada di balik tindakan keji ini.
Kepada CBS News, bos NSO Group Shalev Hulio menolak tuduhan itu. “NSO Group hanya menjual Pegasus untuk mencegah kejahatan dan teror," kata Hulio. Karena Pegasus tidak dijual murah, Hulio menyiratkan betapa mustahilnya seorang atau kelompok kecil peretas menggunakan alat bikinan perusahaannya.
Sebelum Facebook mengungkap peretasan pada WhatsApp, NSO Group disebut-sebut terlibat dalam aksi pembunuhan wartawan The Washington Post Jamal Khashoggi. Lagi-lagi, Hulio menyangkal.
“Ketika pembunuhan Khashoggi terjadi, saya langsung memulai pemeriksaan apakah alat NSO digunakan. Kami bersih. Tidak ada alat buatan kami yang digunakan,” tegas Hulio.
Di sisi lain, Facebook menegaskan mereka “tidak menyangkal segala pemberitaan terkait WhatsApp” yang menyatakan NSO berada di balik serangan.
Wired mengabarkan Facebook belum mau merinci secara teknis bagaimana peretasan terjadi. Namun, dari CVE 2019-3568, peretasan pada WhatsApp kemungkinan memanfaatkan teknik bernama buffer overflow .Tatkala panggilan dilakukan, teknologi VoIP yang ditanam WhatsApp secara otomatis mengeksekusi panggilan itu dalam beberapa pilihan, yakni angkat, tolak, dan sebagainya. Sayangnya, pilihan tersebut menyimpan cela. Sistem mesti menyimpan data ke memori atas pilihan-pilihan itu. Pada tahap tertentu, penyimpanan data pada memori kala VoIP dilakukan bisa ditunggangi peretas.
Citizen Lab, laboratorium studi informasi yang berbasis di University of Toronto, menyebut perangkat-perangkat canggih NSO telah digunakan sekitar 45 negara, termasuk Meksiko, Bahrain, Arab Saudi, hingga Uni Emirat Arab. Laporan Financial Times menyatakan bahwa setengah penghasilan NSO berasal dari klien-kliennya di Timur Tengah.
Ahli keamanan siber Kevin Mitnick menyatakan bahwa jenis serangan yang menimpa WhatsApp tidak mungkin dilakukan kelompok peretasan biasa. "Ini teramat mahal,” katanya.
Tidak Ada Aplikasi yang Benar-benar Aman
Studi Svenja Schroder berjudul “When Signal Hits the Fan: On the Usability and Security of State-of-the-Art Secure Mobile Messaging” (2016) menyatakan bahwa Signal adalah aplikasi pesan instan teraman.
Mengapa? Signal merupakan aplikasi yang berawal dari dua hal berbeda: TextSecure (aplikasi pesan instan terenkripsi) dan RedPhone (aplikasi panggilan berbasis suara terenkripsi). Keduanya bergabung menciptakan aplikasi yang mengimplementasikan Curve25519 dan HMAC-SHA256 sebagai key derivation function (KDF). Dalam dunia Kriptografi, KDF merupakan suatu fungsi untuk menghasilkan lebih dari satu kunci rahasia guna membuka konten yang terkunci.
Atas fitur yang canggih ini, menurut Schroder, Signal menjadi standar de facto bagi aplikasi-aplikasi lain yang menerapkan skema end-to-end encryption. Karena Signal juga mengusung konsep Open Source, WhatsApp mengembangkan sistem keamanannya berdasarkan aplikasi ini. WhatsApp baru menerapkan end-to-end encryption pada April 2016.
Sementara itu, laporan “For Your Eyes Only? Ranking 11 Technology Companies On Encryption And Human Rights” (2016) yang diterbitkan Amnesty International menyatakan bahwa aplikasi pesan instan dari Facebook, yakni Facebook Messenger dan WhatsApp, menjadi aplikasi dengan peringkat terbaik. Amnesty International memberi Facebook Messenger dan WhatsApp skor 73 dari 100, mengungguli Telegram (67/100), Blackberry Messenger (20/100), dan WeChat (0/100).
Beberapa alasan mengapa aplikasi pesan instan dari Facebook memperoleh skor yang baik, meskipun perusahaan ini tengah dirundung masalah privasi, ialah keberadaan fitur-fitur standar keamanan yang terpasang. Facebook pun mendapatkan penilaian positif karena mereka berani terbuka ketika terjadi serangkaian kebobolan atau penemuan celah keamanan.
WhatsApp memang aplikasi pesan instan yang paling populer. Namun, kepopuleran itu pula yang membuatnya jadi sasaran empuk para penjahat digital.
Editor: Windu Jusuf
