Baca berita dengan sedikit iklan, klik disini
TEMPO.CO, Jakarta - Peneliti menemukan celah keamanan aplikasi obrolan populer, WhatsApp. Akun Anda ternyata bisa ditangguhkan oleh siapa saja dengan cara yang cukup mudah, hanya dengan memiliki nomor telepon Anda.
Baca berita dengan sedikit iklan, klik disini
Dikutip Android Police, Senin, 12 April 2021, cacat yang baru ditemukan peneliti itu menggunakan dua vektor terpisah. Penyerang menginstal WhatsApp di perangkat baru dan memasukkan nomor Anda untuk mengaktifkan layanan obrolan itu.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik disini
Mereka tentu saja tidak dapat memverifikasinya, karena sistem otentikasi dua faktor mengirimkan perintah login ke ponsel Anda. Setelah beberapa kali percobaan berulang dan gagal, login Anda dikunci selama 12 jam.
Di sinilah celah itu terbuka, dengan akun Anda terkunci, penyerang mengirim pesan dukungan ke WhatsApp dari alamat email mereka dan mengklaim bahwa nomor telepon (Anda) telah hilang atau dicuri, dan akun yang terkait dengan nomor Anda perlu diambil kembali.
WhatsApp "memverifikasi" ini dengan email balasan, dan menangguhkan akun Anda tanpa masukan apa pun dari Anda. Penyerang dapat mengulangi proses tersebut beberapa kali berturut-turut untuk membuat kunci semi permanen pada akun Anda.
Serangan itu merupakan bukti konsep dari sepasang peneliti keamanan, Luis Márquez Carpintero dan Ernesto Canales Pereña. Hasilnya memang mengganggu, tapi paling tidak, metode ini tidak dapat digunakan untuk benar-benar mendapatkan akses ke sebuah akun, hanya untuk memblokir akses oleh pemiliknya yang sah.
“Pesan teks dan kontak rahasia tidak akan diungkapkan,” katanya seperti dikutip Forbes.
Tidak ada indikasi bahwa teknik ini digunakan banyak orang. Tetapi ketika didesak untuk berkomentar, WhatsApp mengelak, dan tidak menunjukkan bahwa itu berfungsi.
Seorang perwakilan aplikasi besutan Facebook itu mengatakan bahwa memberikan alamat email dengan kredensial otentikasi dua faktor pengguna dapat membantu menghindari skenario hipotetis ini. “Tetapi itu masih menempatkan tanggung jawab pada WhatsApp untuk benar-benar mengikuti praktik terbaiknya sendiri.”
WhatsApp memperingatkan bahwa menggunakan kerentanan ini melanggar persyaratan layanannya yang tidak terlalu menghalangi, karena dapat dilakukan secara anonim dengan perangkat seluler apa pun dan email sekali pakai.
ANDROID POLICE | FORBES
Foto 
