Cyberthreat.id - Peneliti menemukan kelemahan baru pada WhatsApp yang memungkinkan penyerang menonaktifkan akun seseorang dari jarak jauh.

Pakar keamanan siber yang juga pendiri Digital Barriers Zak Doffman dalam tulisannya di Forbes (10 April 2021) mengatakan bahwa dia diberitahu oleh peneliti Luis Marquez Carpintero dan Ernesto Canales Perena bahwa mereka dapat mematikan WhatsApp orang lain di ponselnya, hingga memblokir akses pengguna dari akun WhatsAppnya. Itu dilakukan hanya berbekal nomor telepon yang dipakai untuk mendaftar akun WhatsApp. Bahkan, otentikasi dua faktor tak bisa menghentikannya.

Doffman mengatakan seharusnya itu tidak terjadi pada platform yang digunakann oleh dua miliar orang di seluruh dunia.

"Ini seharusnya tidak terjadi. Seharusnya tidak mungkin. Tidak semudah ini," tulis Doffman.

Awalnya, kata Doffman, dia tidak percaya omongan Luis Márquez dan Ernesto. Namun, ketika mereka bisa membuktikan ucapannya, Doffman akhirnya percaya itu terjadi pada WhatsApp.

“Ini adalah satu lagi peretasan yang mengkhawatirkan,” Jake Moore dari ESET memperingatkan.

"Peretasan yang dapat memengaruhi jutaan pengguna yang berpotensi menjadi target serangan. Dengan begitu banyak orang yang mengandalkan WhatsApp sebagai alat komunikasi utama mereka untuk tujuan sosial dan pekerjaan, mengkhawatirkan betapa mudahnya hal ini terjadi.”

Selama ini, orang-orang menghadapi momok pembajakan akun. Bulan demi bulan, berbagai jenis penipuan terus terjadi, di mana pengguna tertipu untuk menyerahkan kode OTP enam digit yang dikirim lewat SMS untuk mengaktifkan penginstalan WhatsApp baru. Dan setelah akun dibajak, proses pemulihannya bisa memakan waktu dan menyakitkan. Kita bahkan telah melihat cerita tentang akun yang dibajak yang menyebabkan akun lain diblokir.

Selama ini, pembajakan akun terjadi karena kesalahan pengguna. Sederhananya, Anda tidak boleh mengirim kode OTP enam digit kepada siapapun. Ini hampir pasti scam yang akan menyebabkan salah satu akun Anda diambil alih. WhatsApp kemudian mewanti-wanti agar orang-orang menggunakan otentikasi dua faktor (2FA), semacam kunci tambahan agar ketika akun dibajak, si pembajak masih harus memasukkan kode enam digit lainnya agar bisa menggunakan akun yang dibajaknya.

Masalahnya, dalam kerentanan keamanan baru ini, otentikasi dua faktor WhatsApp pun tidak mampu mencegah serangan ini. Bahkan, jika pengguna sudah mengikuti semua saran keamanan pun, itu tidak akan membantu.

Bagaimana kerentanan itu ditemukan
Peneliti menemukan kerentanan itu dengan mencoba memasukkan nomor ponsel yang terhubung dengan WhatsApp pada ponsel A ke layar utama ponsel B yang tidak terdapat akun WhatsApp yang aktif seperti layaknya ponsel baru.

Seperti diketahui saat pertama kali menginstal WhatsApp di ponsel baru dan mencoba masuk dengan nomor ponsel, platform akan mengirimi Anda kode SMS untuk memverifikasi akun.

Setelah Anda memasukkan kode verifikasi itu, barulah WhatsApp mengizinkan Anda masuk ke akun yang terhubung dengan nomor ponsel yang Anda masukkan. Jika Anda mengaktifkan verifikasi dua langkah (2FA) maka sebelum benar-benar diizinkan masuk, WhatsApp meminta Anda memasukkan PIN 2FA yang sebelumnya telah Anda atur.

Kelemahan pertama dalam proses itu adalah, siapapun dari ponsel mana pun dapat masuk berbekal nomor ponsel di layar verifikasi. Itu akan memicu kode verifikasi 6 digit yang akan masuk ke SMS di ponsel yang terhubung dengan nomor WhatsApp Anda.

Anda juga akan melihat notifikasi pada aplikasi WhatsApp agar tidak membagikan kode verifikasi itu kepada orang lain. Meskipun dalam beberapa kejadian, banyak pengguna tertipu dan memberikan kode ini kepada orang lain hingga berujung pada pembajakan akun WhatsApp.

Meminta kode verifikasi seperti itu, jika dilakukan oleh peretas, dapat dilakukan berulang-ulang, di saat WhatsApp Anda kondisinya masih aktif seperti biasa di ponsel Anda. Peretas meminta kode berulang dan memasukkan tebakan yang salah di kolom tempat mengisi kode verifikasi itu. Dengan melakukan itu, Anda tentu akan menerima banyak SMS masuk terkait kode itu, tetapi selagi Anda tidak berikan ke orang lain, maka akan aman saja.

Namun, memang tidak sampai mengambilalih akun Anda, hanya saja permintaan berulang kali dan memasukkan kode verifikasi salah itu memicu akun Anda akan tidak bisa meminta kode verifikasi lagi dalam 12 jam.

Setelah beberapa kali mencoba, WhatsApp di posisi peretas akan mengatakan "Kirim ulang SMS/Telepon saya dalam 12 jam". Artinya tidak ada kode baru yang dapat dibuat selama batas waktu itu. WhatsApp juga memblokir entri kode pada aplikasi setelah beberapa kali mencoba, memberi tahu peretas "Anda telah menebak terlalu banyak.. coba lagi dalam 12 jam"

WhatsApp di ponsel A akan beroperasi secara normal, sementara ponsel B tempat peretas menunjukkan pemblokiran kode baru agar tidak dikirim atau dimasukkan ke layar verifikasi. Adapun hitungan mundur 12 jam terlihat di layar verifikasi itu.

Ini tidak akan menjadi masalah selagi ponsel A tidak menonaktifkan atau keluar dari akun WhatsAppnya dan memerlukan verifikasi ulang.

Penonaktifan Akun Secara Otomatis karena Sebuah Email
Kelemahan kedua, peretas mendaftarkan alamat email baru dan mengirimkan email ke layanan dukungan WhatsApp support@whatsapp.com dari ponsel B bahwa akun yang tertaut dengan nomor ponsel A hilang/dicuri sehingga meminta untuk dinonaktifkan. WhatsApp mungkin mengirim balasan email otomatis meminta nomor itu lagi dan peretas mengirim nomor ponsel A lagi.

WhatsApp yang menerima email yang mereferensikan nomor telepon ponsel A tidak tahu itu benar-benar dari pemilik ponsel A. Karena, menurut Doffman, tidak ada pertanyaan lanjutan untuk mengkonfirmasinya. Proses otomatis pun berjalan tanpa sepengetahuan pemilik ponsel A (pemilik nomor ponsel WhatsApp sebenarnya) dan akun itu akan dinonaktifkan.

Satu jam kemudian, tiba-tiba WhatsApp akan berhenti bekerja pada ponsel A dan muncul pesan pop-up memberitahu bahwa "Nomor telepon Anda tidak lagi terdaftar di WhatsApp pada ponsel ini. Ini mungkin karena Anda mendaftarkannya di ponsel lain. Jika Anda tidak melakukannya, verifikasi nomor telepon Anda untuk masuk kembali ke akun Anda."

Menurut Doffman, penonaktifan otomatis tampaknya berjalan karena menggunakan kata kunci untuk memicu tindakan di WhatsApp.

Jika pop-up tersebut muncul dan pengguna ponsel A mengklik "OK" pada pop-up itu, maka pengguna akan keluar dari akunnya. Sebenarnya Anda bisa masuk kembali dengan memasukkan nomor telepon dan kode verifikasi serta 2FA jika mengaktifkannya.

Namun, itu jadi tidak bisa dilakukan, mengingat kerentanan pertama sudah disalahgunakan peretas. Anda tidak dapat memasukkan kode verifikasi yang biasanya perlu dimasukkan ketika mencoba masuk ke akun WhatsApp, karena Anda telah diblokir akibat perbuatan peretas.

WhatsApp akan memunculkan tulisan bahwa "Anda telah mencoba untuk mendaftarkan [nomor Anda] baru-baru ini," dan menambahkan "Tunggu sebelum meminta SMS atau panggilan".

Sementara Anda tidak pernah meminta itu bahkan baru akan memintanya, tetapi sudah tidak bisa dilakukan dan memunculkan hitungan mundur waktu sampai pada akhirnya Anda bisa meminta kode verifikasi lagi.

Hitungan mundur waktu itu akan sama dengan yang ada pada ponsel B (di sisi peretas), sehingga peretas tahu kapan itu akan berakhir. Pada saat hitungan mundur sudah mendekati waktu selesai, peretas menunggu dan kemudian mengulangi proses yang sama seperti yang dilakukan pada kerentanan pertama.

Anda kemudian akan menerima banyak SMS masuk, tetapi Anda juga tidak dapat memasukkannya ke kolom verifikasi karena peretas juga melakukan hal yang sama di waktu yang sama dengan Anda.

Itulah yang disayangkan, karena nomor ponsel A yang benar-benar terhubung dengan nomor ponsel WhatsApp itu malah diperlakukan sama dengan ponsel B yang notabene nomor ponsel yang terpasang di ponsel itu tidak tertaut atau tidak sama dengan nomor ponsel WhatsApp.

Arsitektur verifikasi ini, batasan SMS/kode dan tindakan otomatis berbasis kata kunci yang dapat menonaktifkan akun pengguna  karena sebuah email pun dapat disalahgunakan.

Menurut Doffman, arsitektur keamanan WhatsApp sudah ketinggalan, di mana tidak adanya verifikasi pada perangkat terpercaya seperti yang dilakukan Google dan Apple. Konsep perangkat terpercaya adalah sistem yang jauh lebih baik dan akan memperbaiki kerentanan itu. Karena, 2FA tidak membantu sama sekali bagi pengguna untuk menghindari kejadian semacam ini.

WhatsApp telah diberitahu dan tidak mengonfirmasi apakah akan memperbaiki kerentanan ini atau tidak. Alih-alih berjanji akan memperbaiki kerentanan ini, WhatsApp mengatakan bahwa temuan peneliti ini melanggar persyaratan layanan mereka.

“Memberikan alamat email dengan verifikasi dua langkah Anda membantu tim layanan pelanggan kami membantu orang-orang jika mereka pernah mengalami masalah yang tidak biasa ini. Keadaan yang diidentifikasi oleh peneliti ini akan melanggar persyaratan layanan kami dan kami mendorong siapa pun yang membutuhkan bantuan untuk mengirim email ke tim dukungan kami sehingga kami dapat menyelidikinya. "kata juru bicara WhatsApp kepada Doffman.

Yang dimaksud juru bicara WhatsApp itu, kata Doffman, adalah jika Anda yang melakukan serangan ini, Anda akan melanggar persyaratan layanan mereka dan akan menghadapi konsekuensi. Itu tidak membantu korban mana pun, tetapi hanya berfungsi sebagai peringatan untuk tidak bereksperimen dengan kerentanan ini.

WhatsApp tidak mengonfirmasi bahwa pihaknya berencana untuk memperbaiki kerentanan ini, terlepas dari kenyataan bahwa kerentanan ini dapat dieksploitasi dengan mudah dan anonim. Tanggapan mereka adalah mengecilkan risiko — tetapi risiko itu sangat nyata.

Di luar faktor gangguan, ada keuntungan material dalam membuat seseorang “putus komunikasi”. Jadi, mengingat penggunaan WhatsApp yang meluas, ini adalah celah keamanan yang perlu ditangani segera.  Penyerang bahkan tidak memerlukan kartu telepon untuk memalsukan instalasi baru, perangkat yang terhubung melalui Wifi akan berfungsi dengan baik.

Jadi, apa yang harus Anda lakukan? Anda harus mengaktifkan 2FA untuk mencegah pembajakan akun, dan ada baiknya menyertakan alamat email untuk membantu jika hal ini terjadi pada Anda.

Sementara itu, perhatikan jika mendapat peringatan bahwa seseorang telah meminta kode verifikasi Anda, dan jika terus berlanjut, Anda harus segera menghubungi Dukungan WhatsApp.[]

Editor: Yuswardi A. Suud