• Para peneliti menemukan beberapa kerentanan WhatsApp selama konferensi Black Hat 2019.
• Kerentanan memungkinkan aktor jahat memanipulasi obrolan.
• Facebook tidak memiliki perbaikan untuk kerentanan.

Kelemahan keamanan terbaru WhatsApp memungkinkan aktor jahat untuk menipu obrolan dan membuat mereka tampak seperti mereka datang dari Anda, lapor Check Point Research kemarin. Check Point Research mengumumkan temuannya selama konferensi keamanan Black Hat 2019.

Menurut para peneliti, ada tiga cara untuk mengeksploitasi kerentanan:

1. Gunakan fitur "kutipan" dalam percakapan grup untuk mengubah identitas pengirim, meskipun orang itu bukan anggota grup.
2. Ubah teks balasan orang lain, intinya memasukkan kata-kata ke mulut mereka.
3. Kirim pribadi ke peserta grup lain yang menyamar sebagai publik untuk semua, sehingga ketika individu yang dituju merespons, itu dapat dilihat oleh semua orang dalam percakapan.

Check Point memberi tahu WhatsApp tentang kerentanan pada Agustus 2018. WhatsApp kemudian memperbaiki metode ketiga. Namun, para peneliti menemukan masih mungkin untuk memanipulasi tanda kutip dan menipu mereka. Check Point menggunakan Burp Suit Extension untuk memecah enkripsi ujung-ke-ujung Whatsapp dan mendekripsi. Elemen yang dapat dieksploitasi di sini adalah versi web WhatsApp, yang menggunakan kode QR untuk memasangkan ke ponsel Anda.

Check Point pertama kali memperoleh pasangan kunci publik dan pribadi yang dibuat sebelum WhatsApp membuat kode QR. Dikombinasikan dengan parameter "rahasia" yang dikirim oleh ponsel Anda ke klien web WhatsApp ketika Anda memindai kode QR, Burp Suit Extension memudahkan untuk memantau dan mendekripsi.

Seorang juru bicara Facebook memberikan pernyataan berikut untuk Web Berikutnya:

Kami hati-hati meninjau masalah ini setahun yang lalu dan tidak benar untuk menyarankan ada kerentanan dengan keamanan yang kami berikan di WhatsApp. Skenario yang dijelaskan di sini hanyalah ponsel yang setara dengan mengubah balasan di utas email agar terlihat seperti sesuatu yang tidak ditulis seseorang. Kita harus sadar bahwa mengatasi masalah yang dikemukakan oleh para peneliti ini dapat membuat WhatsApp kurang pribadi - seperti menyimpan informasi tentang asal usul s.

Sayangnya, perusahaan tampaknya tidak memiliki resolusi untuk kerentanan WhatApp. Karena layanan olahpesan menggunakan enkripsi ujung ke ujung, Facebook tidak dapat mengakses versi dekripsi. Itu berarti Facebook tidak dapat melakukan intervensi jika aktor jahat mengeksploitasi kerentanan tersebut.