Bug WhatsApp Bisa Memungkinkan Peretas Membaca File Anda

WhatsApp menambal celah keamanan di aplikasi desktopnya bulan lalu yang berpotensi memungkinkan peretas mengakses file lokal komputer Anda. Ditemukan oleh peneliti keamanan siber di PerimeterX, kerentanan memengaruhi klien Windows dan Mac layanan perpesanan saat dipasangkan dengan iPhone.

Cacat ditemukan di dalam Kebijakan Keamanan Konten WhatsApp, lapisan keamanan tambahan yang sering digunakan perusahaan untuk mencegah serangkaian serangan tertentu dan memungkinkan pelaku jahat untuk memanipulasi pesan dan tautan melalui metode yang disebut Cross-Site Scripting.

Ketika pengguna mengetuk salah satu teks yang tercemar ini, mereka secara tidak sadar akan memberikan izin kepada penyerang untuk membaca file lokal komputer mereka, serta untuk memasukkan kode berbahaya. Meskipun kerentanan memang membutuhkan interaksi dari pengguna agar berfungsi, kerentanan itu dapat dijalankan dari jarak jauh.

“Kerentanan di WhatsApp Desktop saat dipasangkan dengan WhatsApp untuk iPhone memungkinkan pembuatan skrip lintas situs dan pembacaan file lokal. Memanfaatkan kerentanan mengharuskan korban untuk mengklik pratinjau tautan dari pesan teks yang dibuat khusus, ”tulis perusahaan induk Facebook dalam sebuah penasihat keamanan.

Bug tersebut memengaruhi WhatsApp Desktop build sebelum v0.3.9309 dan WhatsApp untuk versi iPhone sebelum 2.20.10. Sudah diperbaiki pada 21 Januari 2020. Oleh karena itu, untuk memastikan Anda aman, lanjutkan dan perbarui aplikasi WhatsApp di komputer dan iPhone Anda.

“Versi lama kerangka Chromium Google Chrome, seperti yang digunakan oleh versi rentan aplikasi desktop WhatsApp, rentan terhadap injeksi kode ini, meskipun versi Google Chrome yang lebih baru memiliki perlindungan terhadap modifikasi JavaScript tersebut. Browser lain seperti Safari masih terbuka lebar terhadap kerentanan ini, ”jelas pendiri dan CTO PerimeterX, Ido Safruti.

Kerentanan tidak memengaruhi Android karena tidak seperti iOS, kerentanan ini memiliki perlindungan tambahan terhadap spanduk Javascript. "IOS menghilangkan pemeriksaan ini, yang memungkinkan spanduk dengan konten berbahaya dimuat di perangkat iOS," tambah juru bicara PerimeterX.

Pada tahun lalu, WhatsApp mengalami kesulitan menjaga kerentanan keamanan. Pada bulan November, raksasa perpesanan milik Facebook menambal kelemahan yang bisa membuat peretas mengendalikan ponsel hanya dengan file MP4. Beberapa minggu yang lalu, ditemukan bahwa bug yang sama juga membahayakan ponsel Amazon Jeff Bezos dan data sensitif. CEO Telegram kemudian, dalam sebuah posting blog yang pedas, menuduh WhatsApp sengaja menanamkan pintu belakang untuk lembaga penegak hukum dan menutupi mereka sebagai bug saat tertangkap.