Kelemahan privasi di WhatsApp, aplikasi pengirim pesan instan dengan lebih dari 2 miliar pengguna di seluruh dunia, dimanfaatkan oleh para penyerang untuk menerobos fitur “Lihat sekali” dan melihat kembali pesan-pesan tersebut.
Meta mengatakan bahwa fitur “Lihat sekali” WhatsApp (diperkenalkan tiga tahun lalu) memungkinkan pengguna untuk berbagi foto, video, dan pesan suara secara pribadi, sehingga penerima tidak dapat meneruskan, berbagi, menyalin, atau mengambil tangkapan layar pesan mereka karena pesan tersebut akan otomatis hilang dari obrolan setelah dibuka sekali.
“Setelah Anda mengirim foto, video, atau pesan suara sekali saja, Anda tidak akan dapat melihatnya lagi,” kata perusahaan tersebut menjelaskan di situs web dukungannya.
“Foto atau video apa pun yang Anda kirim tidak akan disimpan di Foto atau Galeri penerima. Penerima juga tidak dapat mengambil tangkapan layar apa pun yang Anda kirim menggunakan View Once.”
Namun, “Lihat sekali” hanya akan memblokir pengguna WhatsApp dari mengambil tangkapan layar yang dikirim melalui perangkat seluler karena platform desktop dan web tidak mendukung pemblokiran tangkapan layar.
Lebih jauh lagi, Tim Peneliti Zengo X menemukan bahwa Meta menerapkan fitur ini dengan cara yang oleh para peneliti digambarkan sebagai “cara yang lalai,” yang memungkinkan penyerang untuk dengan mudah menyimpan dan membagikan salinan pesan “Lihat sekali”.
“Kami telah secara bertanggung jawab mengungkapkan temuan kami kepada Meta, tetapi ketika kami menyadari masalah ini sudah dieksploitasi secara luas, kami memutuskan untuk mempublikasikannya untuk melindungi privasi pengguna WhatsApp,” kata CTO Zengo, Tal Be’ery dikatakan.
Seperti yang ditemukan oleh peneliti keamanan Zengo, fitur “Lihat sekali” digunakan untuk mengirim pesan media terenkripsi ke semua perangkat penerima, pesan yang hampir identik dengan pesan normal tetapi menyertakan URL ke data terenkripsi yang dihosting di server web WhatsApp (“blob store”) dan kunci untuk mendekripsinya. Selain itu, pesan “Lihat sekali” menyetel tanda “Lihat sekali” ke “benar”.
“Rasa privasi yang salah”
Agak mabuk dijelaskan Fitur “Lihat sekali” WhatsApp memungkinkan pengguna mengirim pesan yang seharusnya hanya dilihat sekali. Namun, pesan tersebut tetap dikirim ke semua perangkat penerima, termasuk perangkat yang tidak diizinkan untuk menampilkannya. Selain itu, pesan tidak langsung dihapus dari server WhatsApp setelah diunduh.
Hal ini membuat pembatasan paparan media pada lingkungan dan platform yang terkendali menjadi mustahil, terutama karena beberapa versi pesan “Lihat sekali” juga berisi pratinjau media berkualitas rendah yang dapat dilihat tanpa mengunduh.
Lebih jauh lagi, pesan “Lihat sekali” berfungsi seperti pesan biasa tetapi dengan tanda “Lihat sekali”. Akan tetapi, penyerang dapat melewati fitur privasi ini dengan menyetel tanda “Lihat sekali” ini ke false, yang memungkinkan pesan diunduh, diteruskan, dan dibagikan.
“Privasi sangat penting untuk Pesan Instan. WhatsApp mengakui hal itu dengan mendukung Enkripsi Ujung-ke-Ujung (E2EE) untuk percakapan penggunanya secara default,” pungkas Be’ery.
“Namun, satu-satunya hal yang lebih buruk daripada tidak adanya privasi adalah rasa privasi yang salah di mana pengguna dituntun untuk percaya bahwa beberapa bentuk komunikasi bersifat pribadi padahal sebenarnya tidak. Saat ini, WhatsApp View merupakan bentuk privasi palsu yang jelas dan harus diperbaiki sepenuhnya atau ditinggalkan.”
Meskipun para peneliti Zengo merupakan pihak pertama yang melaporkan masalah ini ke Meta dan menerbitkan laporan yang merinci masalah privasi ini, kelemahan tersebut telah disalahgunakan untuk menyimpan pesan “Lihat Sekali” selama setidaknya satu tahun, dan mereka yang mengeksploitasinya bahkan membuat add-on browser untuk menyederhanakan seluruh proses.
BleepingComputer mengetahui setidaknya dua ekstensi Google Chrome, satu dirilis pada tahun 2023, yang dapat menonaktifkan tanda Lihat Sekali, sehingga fitur tersebut dapat dilewati.
Meta membalas email dari BleepingComputer mengenai bypass tersebut, dengan mengatakan bahwa mereka saat ini sedang meluncurkan perubahan pada fitur View Once. Meskipun perbaikan akan segera dilakukan pada WhatsApp Web, tidak jelas apakah kelemahan privasi tersebut masih dapat dieksploitasi menggunakan aplikasi WhatsApp khusus.
“Program bug bounty kami merupakan cara penting untuk menerima umpan balik berharga dari peneliti eksternal dan kami saat ini sedang dalam proses meluncurkan pembaruan untuk melihat sekali di web,” kata juru bicara WhatsApp kepada BleepingComputer. “Kami terus menghimbau pengguna untuk hanya mengirim pesan lihat sekali kepada orang yang mereka kenal dan percaya.”
