WhatsApp, Spyware, Hacking dan Security, Apa yang Terjadi

Pengungkapan WhatsApp milik Facebook tentang kelemahan keamanan memungkinkan para peretas untuk meng-inject-kan spyware pada smartphone menimbulkan kekhawatiran baru tentang keamanan ekosistem seluler.

Apa yang Terjadi dengan WhatsApp?

Lubang keamanan di aplikasi perpesanan WhatsApp dapat memungkinkan penyerang meng-inject-kan malware untuk mendapatkan akses ke smartphone Android atau Apple.

WhatsApp memperbaiki kesalahan ini minggu ini setelah diberi tahu bahwa spyware ini digunakan untuk melacak aktivis dan pengacara hak asasi manusia.

Peneliti keamanan percaya para penyerang menggunakan spyware Pegasus yang kuat dari NSO Group yang berbasis di Israel. Menurut analisis baru-baru ini dari software oleh perusahaan keamanan Lookout, Pegasus dapat menumbangkan keamanan perangkat dan mencuri daftar kontak korban dan lokasi GPS, serta password pribadi, Wi-Fi dan router yang tersimpan pada perangkat.

Infeksi dapat berakar dengan panggilan sederhana melalui WhatsApp. Lebih buruk lagi, korban mungkin tidak tahu ponselnya terinfeksi karena malware memungkinkan penyerang untuk menghapus riwayat panggilan.

Pengiriman ini sangat menyeramkan, kata peneliti keamanan John Dickson dari Denim Group, karena menginfeksi perangkat tanpa tindakan pengguna.

“Biasanya seorang pengguna harus mengklik sesuatu atau masuk ke suatu situs, tetapi itu tidak terjadi di sini,” kata Dickson. “Dan begitu penyerang masuk, mereka mendapatkan perangkat, dapat melakukan apa saja.”

Siapa yang Harus Disalahkan?

Sementara cacat ditemukan di WhatsApp, pakar keamanan mengatakan aplikasi apapun bisa menjadi kendaraan untuk muatan spyware.

“Kami belum dapat membuat software yang tidak memiliki bug atau kekurangan,” kata Joseph Hall, kepala teknolog untuk Center for Democracy & Technology, sebuah kelompok hak digital.

Hall mengatakan enkripsi di WhatsApp tidak rusak dan bahwa respon Facebook sangat cepat.

Marc Lueck dari perusahaan keamanan Zscaler mengatakan bahwa berdasarkan tanggapan Facebook, “Anda harus memberi mereka pujian karena menemukannya di tempat pertama, ini adalah kerentanan yang sangat dalam.”

Intrusi di WhatsApp bukan serangan pada enkripsi, ini serangan pada elemen lain dari aplikasi,” kata Lueck.

Apakah Enkripsi Masih Bermanfaat?

Enkripsi tetap menjadi fitur penting dengan membangun terowongan aman antara dua pihak yang memverifikasi identitasnya,” kata Lueck.

“Enkripsi tidak hanya penting untuk privasi, ini penting untuk kepercayaan,” katanya.

Enkripsi yang digunakan oleh WhatsApp dan aplikasi perpesanan lain mencegah penyadapan pesan dan percakapan tetapi tidak melindungi terhadap serangan yang mendapatkan akses ke perangkat itu sendiri, catat para peneliti.

End to end encryption tidak melakukan apapun untuk melindungi terhadap serangan pada endpoint Anda. Dan sabuk pengaman dan airbag tidak melakukan apapun untuk mencegah mobil Anda terkena meteorit,” tweet Matt Blaze, pakar keamanan komputer Universitas Georgetown.

“Meskipun tidak ada perlindungan terhadap setiap kemungkinan bahaya, keduanya tetap menjadi pertahanan paling efektif terhadap bahaya yang sangat umum.”

Dickson mengatakan bahwa sementara tidak enkripsi yang sangat mudah, satu-satunya cara untuk sepenuhnya menghindari peretasan adalah dengan menghindari elektronik sepenuhnya, “Anda bisa menggunakan orang yang menunggang kuda.”

Haruskah Anda Khawatir Diserang?

Citizen Lab, sebuah pusat penelitian di University of Toronto, mengatakan dalam sebuah laporan tahun 2018 bahwa menemukan infeksi spyware Pegasus di 45 negara, dengan 36 kemungkinan operator pemerintah.

NSO mempertahankan memberikan software-nya untuk tujuan penegakan hukum dan intelijen yang sah. Tetapi para peneliti Toronto mengatakan ini telah dibeli oleh negara-negara dengan catatan hak asasi manusia yang meragukan.

Peneliti Citizen Lab menulis di Globe & Mail bahwa menggali setidaknya 25 kasus penargetan kejam kelompok advokasi, pengacara, ilmuwan dan peneliti, penyelidik penghilangan massa dan anggota media.

Namun Lueck mengatakan program seperti Pegasus sangat mahal dan tidak mudah dimonetisasi oleh peretas untuk mendapatkan keuntungan.

“Rata-rata Anda bukan target software khusus ini, yang dibangun untuk dijual kepada pemerintah untuk menargetkan individu dan tidak bekerja dalam skala besar,” katanya.

Meski begitu, Lueck mengatakan kelemahannya menggarisbawahi fakta bahwa ekosistem ponsel telah menjadi platform yang tidak aman dan rentan seperti komputer.

Apakah Pemerintah Memerlukan Alat Digital yang Lebih Baik?

Pengungkapan ini hadir ketika pemerintah mencari alat yang lebih baik untuk melacak penjahat dan ekstremis menggunakan pesan terenkripsi. Undang-Undang Australia mewajibkan raksasa teknologi untuk menghapus perlindungan elektronik dan membantu dengan akses ke perangkat atau layanan.

Badan-badan penegak hukum mengeluhkan kegelapan di hadapan komunikasi elektronik terenkripsi saat mereka menyelidiki kejahatan serius seperti terorisme dan pelanggaran seks anak-anak.

Tetapi Hall mengatakan bahwa berita tentang Pegasus menunjukkan pemerintah memiliki alat untuk mengeksploitasi kelemahan software untuk penargetan tertentu tanpa melemahkan enkripsi dan privasi untuk semua pengguna.

“Anda dapat menargetkan pengiriman pada orang tertentu daripada membobol telepon semua orang sekaligus,” katanya.

(Visited 16 times, 1 visits today)

Leave a Reply

Your email address will not be published. Required fields are marked *