Meski Sudah Terenkripsi, WhatsApp Tetap Rentan Diretas

tirto.id - WhatsApp jadi medium komunikasi paling revolusioner abad ini. Bayangkan saja, nyaris semua fungsi komunikasi bisa dilakukan, mulai dari mengirim teks, mengirim foto dan video, meninggalkan pesan suara, melakukan panggilan video, sampai memasang status. Dengan segala fungsi dan kemudahan yang ia tawarkan, tak mengherankan apabila lebih dari sepertiga manusia di muka bumi menggunakan WhatsApp sebagai pelantar komunikasi.

Data terbaru dari Meta pada 1 Mei 2025 menunjukkan, pengguna WhatsApp sudah melewati angka 3 miliar. WhatsApp memang bukan satu-satunya pelantar yang menawarkan fungsi serupa karena masih ada Telegram, Signal, dan LINE. Akan tetapi, harus diakui, untuk saat ini belum ada yang bisa mengalahkan popularitas WhatsApp, khususnya di Asia, Afrika, Amerika Selatan, serta sebagian Eropa.

Selain soal kemudahan dan fungsi, satu hal lain yang ditawarkan WhatsApp (juga pelantar sejenis) adalah keamanan dalam berkomunikasi. Inilah yang membuat banyak orang merasa nyaman membicarakan apa pun di sana, bahkan hal-hal yang sangat pribadi atau strategis. Sistem enkripsi ujung-ke-ujung (end-to-end encryption) dipromosikan sebagai benteng utama. Dengan cara ini, pesan hanya bisa dibaca oleh pengirim dan penerima.

Rasa aman itulah yang membuat WhatsApp makin tak tergantikan dalam kehidupan sehari-hari. Orang tak hanya menggunakan aplikasi ini untuk bercakap-cakap dengan teman dan keluarga, tetapi juga untuk bekerja, berbelanja, hingga mengakses layanan publik. Di sejumlah negara, termasuk Indonesia, aplikasi ini bahkan sudah menjadi kanal resmi komunikasi pemerintah.

Namun, seiring meningkatnya ketergantungan, pertanyaan besar muncul: benarkah keamanan yang ditawarkan WhatsApp benar-benar mutlak? Atau, sebagaimana teknologi lain, ada celah yang bisa dimanfaatkan pihak-pihak tertentu untuk meretas dan mengintip isi percakapan?

Bagaimana WhatsApp Mengamankan Percakapan?

WhatsApp dan Signal boleh jadi merupakan dua pelantar berbeda. Akan tetapi, tahukah Anda bahwa sebenarnya WhatsApp menggunakan teknologi yang diperkenalkan oleh Signal?

Aplikasi Signal dikembangkan oleh Signal Foundation, sebuah organisasi nirlaba di Amerika Serikat yang berfokus pada privasi digital. Signal dikenal di kalangan aktivis, jurnalis, dan pegiat keamanan siber sebagai salah satu aplikasi pesan paling aman karena ia tidak hanya mengenkripsi isi pesan, tetapi juga meminimalisasi pengumpulan data pengguna.

Signal menggunakan sebuah sistem enkripsi bernama Signal Protocol, yang sebelumnya dikenal sebagai TextSecure Protocol. Protokol ini dianggap standar emas di dunia keamanan digital lantaran menggabungkan dua mekanisme penting: Double Ratchet Algorithm, yang memastikan setiap pesan dikirim dengan kunci unik, dan forward secrecy, yang menjaga agar kunci lama tidak bisa dipakai untuk membuka pesan baru.

Pada 2016, WhatsApp mengumumkan bahwa mereka juga akan mengadopsi Signal Protocol untuk seluruh komunikasi di platformnya. Artinya, semua pesan teks, panggilan suara, panggilan video, hingga pengiriman foto dan dokumen akan dienkripsi ujung ke ujung. Bahkan pihak WhatsApp mengklaim tidak bisa mengakses isi percakapan di tengah jalan.

Selain itu, WhatsApp menambahkan beberapa fitur pendukung. Ada two-step verification berupa PIN enam digit untuk mencegah peretasan akun lewat SIM swap atau pencurian kode verifikasi. Ada pula fitur security code verification, yang memungkinkan pengguna memastikan bahwa percakapan mereka benar-benar terenkripsi dengan memindai atau mencocokkan kode keamanan.

WhatsApp juga memperkenalkan opsi backup terenkripsi end-to-end di Google Drive dan iCloud yang, sayangnya, belum dimanfaatkan secara optimal oleh pengguna. Walaupun enkripsi ujung-ke-ujung melindungi pesan yang sedang dikirim, banyak pengguna masih belum mengaktifkan backup terenkripsi. Itu berarti, percakapan lama yang tersimpan di cloud bisa diakses pihak ketiga jika akun Google atau iCloud mereka berhasil dibobol.

Tidak Kebal dari Peretasan

Meski menawarkan enkripsi ujung-ke-ujung, WhatsApp tetap tidak kebal dari peretasan. Pasalnya, sistem enkripsi mereka hanya bekerja saat pesan dikirim dari satu perangkat ke perangkat lain. Namun, begitu pesan sudah sampai dan dibuka, ia kembali tampil sebagai teks biasa di layar. Jika perangkat penerima itu terinfeksi malware atau spyware, enkripsi tidak lagi punya arti. Celah ini dikenal sebagai endpoint vulnerability.

Kasus paling menonjol terjadi pada awal 2025. The Guardian melaporkan bagaimana spyware asal Israel digunakan untuk menarget jurnalis dan aktivis di berbagai negara dengan memanfaatkan WhatsApp.

Metodenya disebut zero-click exploit. Artinya, korban tidak perlu mengklik tautan mencurigakan atau mengunduh apa pun. Mereka cukup menerima pesan berisi file berbahaya dan ponsel mereka langsung bisa disusupi. Setelah berhasil masuk, spyware itu dapat membaca pesan, merekam suara, bahkan menyalakan kamera tanpa izin.

Kasus lain muncul beberapa bulan kemudian. TechCrunch mengungkap celah serupa yang menyerang perangkat Apple. Bug ini memungkinkan pemasangan spyware tanpa interaksi pengguna. Serangan jenis ini berbahaya karena hampir mustahil bagi pengguna awam untuk menyadari bahwa perangkat mereka sudah dikendalikan dari jauh.

Selain serangan langsung ke perangkat, masalah juga datang dari cara WhatsApp menyimpan data lama. Walaupun Meta telah memperkenalkan backup terenkripsi di Google Drive dan iCloud, fitur ini masih opsional. Banyak orang tetap menggunakan backup standar yang lebih mudah diakses peretas. Penelitian terbaru memperingatkan bahwa data cadangan ini bisa menjadi pintu masuk bagi injection attack, yaitu teknik penyusupan yang memanfaatkan celah dalam proses backup dan restore.

Bahkan ketika isi pesan sudah terlindungi sekalipun, metadata-nya masih terbuka. Metadata adalah informasi tentang siapa berbicara dengan siapa, kapan, seberapa lama, dan seberapa sering. Ia tidak dilindungi oleh enkripsi, padahal bisa sangat berharga. Penelitian lain yang dimuat di arXiv menunjukkan bahwa hanya dengan metadata, penyerang bisa memetakan jaringan sosial, hubungan personal, hingga pola perilaku pengguna. Dengan kata lain, walaupun tidak tahu isi percakapan, mereka bisa menebak konteksnya.

Celah lain ditemukan dalam desain protokol enkripsi itu sendiri. Studi University of Vienna menyoroti masalah pada prekey, yaitu kunci sementara yang digunakan WhatsApp untuk menjaga kerahasiaan pesan. Dalam kondisi tertentu, penyerang bisa menguras habis stok prekey milik korban. Akibatnya, sistem tidak lagi menjalankan prinsip forward secrecy, sehingga pesan lama yang seharusnya tetap aman bisa ikut terancam.

Risiko serupa juga muncul dari fitur silent delivery receipts. Fitur ini seharusnya hanya dipakai untuk memberi tahu peladen (server) bahwa pesan sudah diterima tanpa menampilkan notifikasi ke pengguna. Namun, temuan lain dari peneliti University of Vienna ini membuktikan bahwa mekanisme tersebut bisa disalahgunakan untuk memantau aktivitas pengguna secara diam-diam. Misalnya, kapan mereka online, apakah mereka mengganti perangkat, atau apakah mereka sedang membuka aplikasi.

Di luar masalah teknis, faktor manusia juga sering dimanfaatkan. Peretas tidak perlu membongkar enkripsi jika mereka bisa mencuri identitas pengguna lewat phishing atau SIM swap. Korban biasanya ditipu untuk membocorkan kode verifikasi enam digit yang dikirim lewat SMS. Begitu kode itu didapat, akun WhatsApp bisa diambil alih dalam hitungan menit.

Keepnet Labs mencatat bahwa metode ini masih menjadi salah satu cara paling populer untuk meretas akun WhatsApp. Sementara, panduan yang diterbitkan Norton menegaskan pentingnya kewaspadaan karena trik-trik semacam ini jauh lebih efektif terhadap pengguna awam dibanding serangan teknis rumit.

Semua contoh ini memperlihatkan kenyataan yang tak bisa dihindari. Yakni, bahwa enkripsi bukan jaminan mutlak. WhatsApp memang menggunakan salah satu protokol terkuat di dunia, tetapi ancaman nyata datang dari sisi lain—perangkat, cadangan cloud, metadata, desain protokol, bahkan kelengahan penggunanya sendiri.

Apa yang Bisa Dilakukan Pengguna?

Fakta bahwa WhatsApp bisa diretas bukan berarti kita harus meninggalkannya begitu saja. Dengan lebih dari 3 miliar pengguna, aplikasi ini sudah menjadi bagian tak terpisahkan dari kehidupan digital. Kini, yang bisa dilakukan adalah mengurangi risiko, memperkecil peluang peretasan, dan meningkatkan kesadaran.

Langkah pertama adalah menjaga perangkat tetap bersih dan selalu up-to-date. Sebab, mayoritas serangan memanfaatkan celah pada sistem operasi atau aplikasi yang belum diperbarui. Menginstal pembaruan secara rutin adalah cara paling sederhana untuk menutup pintu masuk bagi spyware dan malware.

Kedua, aktifkan perlindungan tambahan di akun. WhatsApp menyediakan fitur two-step verification berupa PIN enam digit yang akan diminta setiap kali ada upaya login. Fitur ini dapat mencegah serangan SIM swap atau pencurian kode verifikasi. Penting juga untuk menggunakan kata sandi yang kuat dan unik pada akun Google atau iCloud, terutama bila Anda menyimpan cadangan WhatsApp di sana. Jika memungkinkan, aktifkan backup terenkripsi end-to-end agar data lama tidak mudah diakses pihak ketiga.

Ketiga, batasi informasi yang bisa diambil dari metadata. Caranya dengan menonaktifkan fitur “Last Seen” atau “Online”, mematikan tanda centang biru untuk pesan terbaca, dan mengatur agar foto profil hanya bisa dilihat oleh kontak tepercaya. Pengaturan sederhana ini dapat menyulitkan orang asing memantau kebiasaan Anda.

Keempat, waspada terhadap rekayasa sosial. Jangan pernah membagikan kode verifikasi enam digit kepada siapa pun, bahkan jika pesan atau telepon itu tampak datang dari WhatsApp sendiri. Perlu dicatat bahwa serangan phishing atau penyamaran seperti ini jauh lebih umum dibanding serangan teknis yang rumit. Keepnet Labs mencatat bahwa sebagian besar peretasan akun WhatsApp berawal dari kelengahan pengguna.

Terakhir, bagi mereka yang memiliki risiko tinggi—seperti jurnalis, aktivis, atau politisi—gunakan perangkat khusus dengan pengaturan keamanan ketat. Beberapa produsen ponsel kini menyediakan mode lockdown yang dirancang untuk melawan serangan zero-click. Cara ini mungkin terasa ekstrem, tetapi penting bagi mereka yang menjadi target pengawasan tingkat tinggi.

Pada akhirnya, tidak ada sistem yang benar-benar kebal. Enkripsi ujung ke ujung adalah pencapaian besar dalam melindungi komunikasi digital, tetapi ia bukan perisai mutlak. Keamanan tetaplah gabungan antara teknologi dan perilaku. Dan pada titik itu, peran pengguna sama pentingnya dengan kekuatan algoritma enkripsi yang melindungi pesan-pesan mereka.