Jakarta – WhatsApp memiliki satu celah keamanan yang cukup membahayakan pengguna. Dengan celah ini, seseorang bisa membuat akun WhatsApp kalian kena suspend secara permanen hanya dengan bermodalkan nomor telepon kalian.
Celah ini ditemukan oleh peneliti keamanan Luis Márquez Carpintero dan Ernesto Canales Pereña. Meski sudah dilindungi oleh two-factor authentication (2FA), ponsel kalian tetap bisa menjadi korban serangan ini dan saat ini belum ada solusinya.
Celah ini memanfaatkan dua vektor. Pertama, penyerang atau orang tidak bertanggung jawab akan menginstal WhatsApp di perangkat baru dan memasukkan nomor kalian untuk mengaktifkan akunnya.
Mereka tentu tidak akan bisa menyelesaikan proses verifikasi karena kode 2FA yang diminta akan dikirimkan ke nomor telepon kalian. Setelah beberapa kali percobaan login yang gagal, proses login di akun WhatsApp kalian akan dikunci selama 12 jam.
Kalian mungkin tetap bisa menggunakan WhatsApp seperti biasa. Tapi jika misalnya kalian sempat mematikan akun WhatsApp di ponsel dan harus melakukan verifikasi ulang, kalian tidak akan bisa memasukkan kode verifikasi karena telah dikunci oleh WhatsApp.
Setelah proses login dikunci, penyerang akan mengirimkan pesan kepada tim WhatsApp lewat alamat email mereka yang isinya meminta agar akun yang telah terdaftar dengan nomor kalian untuk dihapus karena telah hilang atau dicuri.
WhatsApp kemudian memverifikasi permintaan ini dengan email balasan, dan akan menangguhkan akun tanpa memastikan dengan kalian terlebih dahulu. Si penyerang kemudian bisa mengunci akun WhatsApp kalian secara permanen dengan mengulang kembali proses di atas.
Jika mereka berhasil, kalian akan diminta menunggu ‘-1 detik’ dan harus meminta bantuan WhatsApp untuk mengembalikan akun kalian yang terkunci permanen.
Celah ini memang sangat mengganggu, tapi setidaknya metode ini tidak bisa digunakan penyerang untuk mengambil alih sebuah akun, hanya memblokir akses pengguna yang ingin login. Pesan dan kontak yang ada di dalam WhatsApp tidak akan terekspos, seperti dikutip dari Android Police, Rabu (14/4/2021).
Kepada Forbes, juru bicara WhatsApp mengindikasikan tidak akan menambal celah ini. Mereka justru menyarankan pengguna untuk menyediakan alamat email dengan 2FA untuk membantu tim support WhatsApp jika hal ini terjadi.
WhatsApp menegaskan bahwa penggunaan celah keamanan ini melanggar ketentuan layanan mereka. Tapi ini tentu tidak akan menghentikan seseorang yang berniat jahat karena mereka bisa melancarkan serangan secara anonim dengan email sekali pakai.
(vmp/afr)