PEMBARUAN: Seorang juru bicara WhatsApp telah menghubungi TechRadar Pro dengan pernyataan berikut yang mengatakan bahwa masalah tersebut sekarang telah diperbaiki:
“Kami secara teratur bekerja dengan peneliti keamanan terkemuka untuk tetap berada di depan potensi ancaman bagi pengguna kami. Dalam hal ini, kami memperbaiki masalah yang secara teori dapat memengaruhi pengguna iPhone yang mengeklik tautan jahat saat menggunakan WhatsApp di desktop mereka. Bug tersebut segera diperbaiki dan telah diterapkan sejak pertengahan Desember.”
Seorang peneliti keamanan siber telah menemukan beberapa kerentanan keamanan di WhatsApp, mengungkapkan bahwa salah satu aplikasi perpesanan yang paling banyak digunakan tidak seaman yang diperkirakan.
Gal Weizman dari PerimeterX menggunakan keahlian JavaScriptnya untuk menemukan beberapa kerentanan dalam aplikasi perpesanan populer yang dapat membuat pengguna berisiko terkena serangan dengan membiarkan konten teks dan tautan di pratinjau situs web diubah untuk menampilkan konten palsu dan tautan yang dimodifikasi yang mengarah ke berbahaya tujuan.
Kerentanan yang ditemukan di aplikasi desktop WhatsApp dapat digunakan untuk membantu kampanye phishing, menyebarkan malware dan bahkan berpotensi ransomware untuk membahayakan jutaan pengguna karena layanan perpesanan saat ini memiliki lebih dari 1,5 miliar pengguna aktif bulanan.
Memodifikasi pesan
Dengan menemukan celah dalam Kebijakan Keamanan Konten (CSP) yang digunakan oleh WhatsApp, Weizman dapat mengaktifkan bypass serta skrip lintas situs (XSS) pada aplikasi desktop layanan perpesanan tersebut. Ini memungkinkannya untuk mendapatkan izin baca dari sistem file lokal di aplikasi desktop Mac dan Windows.
Dengan mengeksploitasi kelemahan ini, peretas dapat menargetkan pengguna yang tidak menaruh curiga dengan kode atau tautan berbahaya yang dimasukkan ke dalam pesan mereka. Lebih buruk lagi, pemberitahuan pesan ini sama sekali tidak terlihat oleh mata yang tidak terlatih. Jenis serangan ini dimungkinkan hanya dengan memodifikasi kode JavaScript dari satu pesan sebelum dikirimkan ke penerimanya.
Melalui platform desktop WhatsApp, Weizman dapat menemukan kode tempat pesan dibuat, mengotak-atiknya, lalu membiarkan aplikasi terus mengirimkan pesan tersebut seperti biasanya. Ini melewati filter dan mengirim pesan yang dimodifikasi melalui aplikasi seperti biasa yang tampak relatif normal di antarmuka pengguna. Weizman bahkan menemukan bahwa pratinjau situs web, yang ditampilkan saat pengguna berbagi tautan web, juga dapat dirusak sebelum ditampilkan.
Untuk mencegah menjadi korban serangan semacam ini, pengguna WhatsApp harus mencari teks yang mungkin lebih terlihat seperti potongan kode daripada teks yang sah. Selain itu, pesan berbahaya hanya dapat berfungsi jika berisi teks “javascript”, jadi pengguna harus memperhatikan ini juga jika kode terlihat. Terakhir, pengguna harus berhati-hati dan menghindari membuka tautan apa pun yang dikirim oleh akun yang tidak dikenal.
Pengguna yang tertarik yang ingin mempelajari lebih lanjut tentang penemuan Weizman dapat melihat posting blognya (terbuka di tab baru) di situs web Perimeter X.