Kerentanan keamanan ditemukan di WhatsApp

 (univie.ac.at)
1 poin oleh GN⁺ 2025-11-22 | Belum ada komentar. | Bagikan ke WhatsApp
  • Tim peneliti dari Universitas Wina, Austria, dan SBA Research menemukan kerentanan privasi berskala besar pada mekanisme pencarian kontak WhatsApp yang memungkinkan enumerasi 3,5 miliar akun
  • Tim peneliti membuktikan bahwa lebih dari 100 juta nomor telepon per jam dapat di-query, dan Meta bekerja sama dengan mereka untuk memperbaiki masalah ini
  • Data yang dapat dikumpulkan mencakup nomor telepon, kunci publik, stempel waktu, dan informasi profil yang disetel publik, yang memungkinkan inferensi tentang sistem operasi, usia akun, dan jumlah perangkat yang terhubung
  • Hasil analisis menunjukkan bahwa bahkan di negara-negara tempat WhatsApp dilarang (Tiongkok, Iran, Myanmar, dll.) masih ada jutaan akun aktif, dan distribusi global Android 81% · iOS 19% telah terkonfirmasi
  • Riset ini menunjukkan bahwa analisis metadata saja sudah dapat menimbulkan risiko paparan privasi, serta menekankan pentingnya riset keamanan yang berkelanjutan dan independen

Kerentanan pada pencarian kontak WhatsApp ditemukan

  • Tim peneliti mengonfirmasi bahwa fitur contact discovery WhatsApp, yang dirancang untuk menemukan pengguna lain berdasarkan buku alamat pengguna, dapat dimanfaatkan untuk mengajukan lebih dari 100 juta nomor telepon per jam
    • Dengan cara ini, mereka mengidentifikasi lebih dari 3,5 miliar akun aktif di 245 negara
    • Kemampuan memproses permintaan sebanyak itu dari satu sumber dinilai mengungkap cacat pada desain sistem
  • Data yang dapat diakses mencakup nomor telepon, kunci publik, stempel waktu, foto profil publik, dan bio, yang memungkinkan inferensi tentang jenis sistem operasi, waktu pembuatan akun, dan jumlah perangkat yang terhubung

Temuan utama riset

  • Bahkan di negara tempat WhatsApp secara resmi dilarang (Tiongkok, Iran, Myanmar), masih terdapat jutaan akun aktif
  • Proporsi perangkat global tercatat Android 81% dan iOS 19%, serta ada perbedaan dalam perilaku pengungkapan privasi per wilayah (misalnya apakah foto profil dibuka untuk publik atau penggunaan bio)
  • Pada beberapa kasus ditemukan penggunaan ulang kunci kriptografi, yang mengindikasikan kemungkinan adanya klien tidak resmi atau penggunaan penipuan
  • Dari 500 juta nomor telepon yang termasuk dalam kebocoran data Facebook 2021, sekitar setengahnya masih terkonfirmasi aktif di WhatsApp
    • Ini berarti nomor yang bocor tersebut tetap berisiko mengalami dampak lanjutan seperti panggilan penipuan

Pemrosesan data dan dampak keamanan

  • Selama proses riset, isi pesan tidak diakses, dan semua data yang dikumpulkan dihapus sebelum publikasi
  • End-to-end encryption WhatsApp melindungi isi pesan, tetapi metadata bukan bagian yang dilindungi
  • Tim peneliti mengonfirmasi bahwa pengumpulan dan analisis metadata dalam skala besar saja dapat menimbulkan risiko pelanggaran privasi

Kolaborasi dengan Meta dan langkah penanganan

  • Riset ini dilakukan mengikuti prinsip responsible disclosure, dan hasilnya segera dilaporkan ke Meta
  • Meta kemudian memperkenalkan langkah penanganan seperti rate-limiting dan penguatan akses ke informasi profil
  • Meta menyampaikan terima kasih atas kerja sama tim peneliti dan mengakui bahwa teknik enumerasi baru tersebut melampaui batas pertahanan yang ada
    • Hasil riset ini juga berkontribusi dalam memverifikasi efektivitas sistem anti-scraping internal mereka
    • Tidak ditemukan kasus penyalahgunaan berbahaya, dan pesan pengguna tetap terlindungi dengan aman

Latar belakang riset dan riset lanjutan

  • Makalah ini merupakan riset keamanan messenger ketiga yang dilakukan oleh Universitas Wina dan SBA Research, yang menganalisis potensi paparan privasi dalam desain dan implementasi WhatsApp dan Signal
  • Riset sebelumnya:
    • “Careless Whisper” (RAID 2025): membuktikan bahwa silent delivery receipts WhatsApp dapat digunakan untuk menginferensikan pola aktivitas pengguna
    • “Prekey Pogo” (USENIX WOOT 2025): menganalisis kelemahan implementasi pada mekanisme distribusi prekey WhatsApp
  • Riset kali ini, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, memperluas alur riset tersebut dengan menunjukkan secara empiris kemungkinan enumerasi pengguna dalam skala global
    • Hasil riset dijadwalkan dipresentasikan pada konferensi NDSS 2026

Makna penting riset

  • Tim peneliti menunjukkan bahwa bahkan sistem yang matang pun dapat memiliki cacat desain, dan menekankan bahwa keamanan dan privasi perlu dievaluasi ulang secara berkelanjutan
  • Mereka menegaskan bahwa kolaborasi yang transparan antara akademia dan industri sangat penting untuk melindungi pengguna dan mencegah penyalahgunaan
  • Riset ini menyediakan landasan untuk memahami evolusi sistem messaging dan titik risiko baru dalam jangka panjang

Bacaan terkait

Belum ada komentar.

Belum ada komentar.