Kerentanan keamanan ditemukan di WhatsApp

 (univie.ac.at)
1 poin oleh GN⁺ 2025-11-22 | 1 komentar | Bagikan ke WhatsApp
  • Tim peneliti dari Universitas Wina, Austria, dan SBA Research menemukan kerentanan privasi berskala besar pada mekanisme pencarian kontak WhatsApp yang memungkinkan enumerasi 3,5 miliar akun
  • Tim peneliti membuktikan bahwa lebih dari 100 juta nomor telepon per jam dapat di-query, dan Meta bekerja sama dengan mereka untuk memperbaiki masalah ini
  • Data yang dapat dikumpulkan mencakup nomor telepon, kunci publik, stempel waktu, dan informasi profil yang disetel publik, yang memungkinkan inferensi tentang sistem operasi, usia akun, dan jumlah perangkat yang terhubung
  • Hasil analisis menunjukkan bahwa bahkan di negara-negara tempat WhatsApp dilarang (Tiongkok, Iran, Myanmar, dll.) masih ada jutaan akun aktif, dan distribusi global Android 81% · iOS 19% telah terkonfirmasi
  • Riset ini menunjukkan bahwa analisis metadata saja sudah dapat menimbulkan risiko paparan privasi, serta menekankan pentingnya riset keamanan yang berkelanjutan dan independen

Kerentanan pada pencarian kontak WhatsApp ditemukan

  • Tim peneliti mengonfirmasi bahwa fitur contact discovery WhatsApp, yang dirancang untuk menemukan pengguna lain berdasarkan buku alamat pengguna, dapat dimanfaatkan untuk mengajukan lebih dari 100 juta nomor telepon per jam
    • Dengan cara ini, mereka mengidentifikasi lebih dari 3,5 miliar akun aktif di 245 negara
    • Kemampuan memproses permintaan sebanyak itu dari satu sumber dinilai mengungkap cacat pada desain sistem
  • Data yang dapat diakses mencakup nomor telepon, kunci publik, stempel waktu, foto profil publik, dan bio, yang memungkinkan inferensi tentang jenis sistem operasi, waktu pembuatan akun, dan jumlah perangkat yang terhubung

Temuan utama riset

  • Bahkan di negara tempat WhatsApp secara resmi dilarang (Tiongkok, Iran, Myanmar), masih terdapat jutaan akun aktif
  • Proporsi perangkat global tercatat Android 81% dan iOS 19%, serta ada perbedaan dalam perilaku pengungkapan privasi per wilayah (misalnya apakah foto profil dibuka untuk publik atau penggunaan bio)
  • Pada beberapa kasus ditemukan penggunaan ulang kunci kriptografi, yang mengindikasikan kemungkinan adanya klien tidak resmi atau penggunaan penipuan
  • Dari 500 juta nomor telepon yang termasuk dalam kebocoran data Facebook 2021, sekitar setengahnya masih terkonfirmasi aktif di WhatsApp
    • Ini berarti nomor yang bocor tersebut tetap berisiko mengalami dampak lanjutan seperti panggilan penipuan
    Iklan

Pemrosesan data dan dampak keamanan

  • Selama proses riset, isi pesan tidak diakses, dan semua data yang dikumpulkan dihapus sebelum publikasi
  • End-to-end encryption WhatsApp melindungi isi pesan, tetapi metadata bukan bagian yang dilindungi
  • Tim peneliti mengonfirmasi bahwa pengumpulan dan analisis metadata dalam skala besar saja dapat menimbulkan risiko pelanggaran privasi

Kolaborasi dengan Meta dan langkah penanganan

  • Riset ini dilakukan mengikuti prinsip responsible disclosure, dan hasilnya segera dilaporkan ke Meta
  • Meta kemudian memperkenalkan langkah penanganan seperti rate-limiting dan penguatan akses ke informasi profil
  • Meta menyampaikan terima kasih atas kerja sama tim peneliti dan mengakui bahwa teknik enumerasi baru tersebut melampaui batas pertahanan yang ada
    • Hasil riset ini juga berkontribusi dalam memverifikasi efektivitas sistem anti-scraping internal mereka
    • Tidak ditemukan kasus penyalahgunaan berbahaya, dan pesan pengguna tetap terlindungi dengan aman
Iklan

Latar belakang riset dan riset lanjutan

  • Makalah ini merupakan riset keamanan messenger ketiga yang dilakukan oleh Universitas Wina dan SBA Research, yang menganalisis potensi paparan privasi dalam desain dan implementasi WhatsApp dan Signal
  • Riset sebelumnya:
    • “Careless Whisper” (RAID 2025): membuktikan bahwa silent delivery receipts WhatsApp dapat digunakan untuk menginferensikan pola aktivitas pengguna
    • “Prekey Pogo” (USENIX WOOT 2025): menganalisis kelemahan implementasi pada mekanisme distribusi prekey WhatsApp
  • Riset kali ini, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, memperluas alur riset tersebut dengan menunjukkan secara empiris kemungkinan enumerasi pengguna dalam skala global
    • Hasil riset dijadwalkan dipresentasikan pada konferensi NDSS 2026

Makna penting riset

  • Tim peneliti menunjukkan bahwa bahkan sistem yang matang pun dapat memiliki cacat desain, dan menekankan bahwa keamanan dan privasi perlu dievaluasi ulang secara berkelanjutan
  • Mereka menegaskan bahwa kolaborasi yang transparan antara akademia dan industri sangat penting untuk melindungi pengguna dan mencegah penyalahgunaan
  • Riset ini menyediakan landasan untuk memahami evolusi sistem messaging dan titik risiko baru dalam jangka panjang

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-22
Komentar Hacker News
  • Timing-nya pas sekali. Kami baru-baru ini merilis RFC tentang metode pencocokan kontak. Metode ini kuat terhadap enumeration attack, tetapi sebagai konsekuensinya kemampuan discovery juga berkurang. Saat ini kami sedang mengumpulkan masukan, jadi silakan lihat — Contact Import RFC
    • Saya juga sempat melihat Private Set Intersection saat menangani masalah serupa (tautan wiki). Ini berkaitan dengan Zero Knowledge Proofs dan bisa mencegah serangan dari akarnya karena nomor telepon tidak dibagikan dalam bentuk plaintext. Namun, pendekatan ini mungkin berlebihan dan dengan teknologi saat ini skalabilitasnya bisa terbatas
    • RFC itu membahas keamanan, tetapi tidak menyinggung privasi. Pada akhirnya, ini tetap struktur yang mengharuskan kita mempercayai server atau instance. Akan bagus jika menggunakan hash alih-alih nomor asli, tetapi kalau begitu verifikasi nomor menjadi tidak mungkin sehingga pencegahan spoofing jadi sulit. Mungkin juga bisa memakai pihak ketiga tepercaya seperti EFF atau Let’s Encrypt untuk memverifikasi nomor, lalu aplikasi hanya mengambil hash-nya
    • Senang topik ini diangkat di saat yang tepat. Aplikasi saya juga akan segera menambahkan sinkronisasi kontak, jadi saya sedang memikirkan keamanan dan privasi. Saya penasaran apakah ada rencana untuk merilis RFC ini sebagai open source
  • Bagian yang dikutip dalam artikel menarik. Disebutkan bahwa dari 500 juta nomor telepon yang terekspos saat kebocoran data Facebook 2021, setengahnya masih aktif di WhatsApp. Ini menunjukkan bahwa nomor yang bocor bisa terpapar panggilan spam atau penipuan selama bertahun-tahun. Sepertinya ini berarti ‘waktu paruh’ nomor telepon sekitar 4–5 tahun
    • Saya heran melihat orang Amerika tetap memakai nomor yang mereka dapat saat kecil sampai dewasa. Saya dulu sering mengganti nomor setiap tahun
  • Kerentanan kali ini disebabkan oleh endpoint yang memungkinkan pengecekan apakah nomor telepon tertentu terhubung ke akun WhatsApp. Memang hampir semua nomor bisa ditanyakan, tetapi ini tidak tampak seperti kerentanan besar
    • Tapi saya tetap bertanya-tanya kenapa keberadaan akun bisa dicek lewat nomor telepon. Untuk alamat email, pengecekan seperti ini dianggap pelanggaran privasi, jadi saya tidak paham kenapa nomor telepon dianggap pengecualian
    • Belakangan ini saya sering menerima SMS phishing dengan nama seperti “WatApp” atau “whtas app”. Kebocoran seperti ini tampaknya meningkatkan efektivitas serangan. Pesannya dikirim tanpa nomor pengirim, jadi sulit diblokir
    • Sebenarnya, bagi orang seperti saya ini adalah fitur yang praktis. Saya memasukkan nomor tukang ledeng yang saya temukan di internet ke WhatsApp; kalau ada profilnya saya langsung kirim pesan, kalau tidak saya hubungi lewat telepon atau SMS
  • Ini bukan kebocoran besar, melainkan hanya kondisi di mana pengguna membuat profil publik dan dapat dicari dengan nomor telepon. Para peneliti hanya mengambil informasi yang dipublikasikan dengan mencari nomor acak; itu bukan data privat. Facebook tidak memasang rate limit sehingga pengumpulan dalam skala besar menjadi mungkin, tetapi informasinya memang sudah publik. Jika pengguna mengunggah informasi sensitif ke profil publik, itu adalah soal pilihan pengguna
  • Ini salah satu hal yang paling disayangkan. Umat manusia sempat punya kesempatan memiliki messenger pribadi paling populer, tetapi pada 2014 angka 19 miliar dolar membutakan Brian Acton. Apa yang dia lakukan sekarang di Signal tidak bisa mengembalikan harga dari kepercayaan miliaran pengguna yang telah dijual
    • Uni Eropa seharusnya memblokir transaksi ini. Perusahaan tanpa model pendapatan tidak masuk akal dinilai 19 miliar dolar, dan yang diincar Facebook adalah data pengguna. Sebagai gantinya, mereka puas dengan hal-hal seperti kewajiban USB-C, dan itu terasa mengecewakan
  • Ini hanya masalah enumerasi nomor telepon. Ini bukan cacat kode, melainkan fungsi yang memang dirancang demikian, jadi agak sulit menyebutnya sebagai ‘kerentanan keamanan’
    • Tetapi endpoint sensitif yang sama sekali tidak memiliki rate limiting bisa dianggap sebagai cacat
    • Bahkan jika hanya satu nomor pun bisa dipakai untuk mengecek keberadaan akun, itu sudah merupakan pelanggaran privasi. Jika layanannya bersifat tidak pantas atau sensitif, mengetahui status pendaftaran hanya dari nomor telepon adalah masalah serius. Bahayanya terletak pada kemungkinan mengotomatiskan informasi ini hingga menjadi profiling
    • Katanya bisa mencapai 100 juta request per detik, itu benar-benar tidak masuk akal
  • Pagi ini saya tiba-tiba mendapati diri saya logout dari WhatsApp. Saya mencoba login lagi, tetapi SMS verifikasi tidak datang. Untungnya saya bisa menerima kode pemulihan lewat opsi “terima melalui telepon”. Namun, karena saya tidak mengatur PIN 2FA, pemulihan tetap terblokir, dan saya juga belum menyiapkan pemulihan email. Sekarang saya harus menunggu 7 hari. Nomornya masih tetap milik saya, jadi aneh rasanya tidak bisa memulihkan akun. Saya sangat menyarankan semua pengguna untuk mengatur 2FA dan email pemulihan
    • Kalau akun bisa dipulihkan hanya dengan nomor telepon, itu justru berisiko dari sisi keamanan. Jika nomor tersebut dialokasikan ulang, pengguna baru bisa mewarisi percakapan dan kontak milik pengguna sebelumnya
  • Ini mirip dengan makalah pencarian kontak WhatsApp, Telegram, dan Signal yang dipublikasikan pada 2020 (tautan). Pada akhirnya, satu-satunya yang mencegah enumerasi seluruh himpunan nomor telepon adalah rate limit di sisi server. Saya penasaran apakah batasan tiap messenger sudah cukup
  • Saya pernah ikut serta dalam riset seperti ini. Daftar awalan nomor ponsel per negara sangat berguna. Tetapi saya tidak bisa menemukan tautan libphonegen yang dirujuk
  • Intinya adalah risiko sentralisasi layanan pesan. Sebenarnya sentralisasi bermasalah di bidang apa pun, tetapi pengguna tetap menginginkan kemudahan dan integrasi. Mewujudkannya dalam sistem terdistribusi memang sangat sulit
    • Saya jadi bertanya-tanya bagaimana jadinya jika sejak awal semuanya dimulai secara terbuka seperti email. Andai di era 90-an orang bertanya “apa public key-mu?” alih-alih “apa alamat email-mu?”, mungkin sekarang kita sudah hidup di utopia digital
    • SimpleX Chat tampak sebagai contoh yang cukup baik dalam menggabungkan keamanan dan desentralisasi
    • Sejujurnya, dari sisi kemampuan teknis saya justru lebih percaya pada Meta daripada pemerintah. Proyek digital pemerintah tingkat kegagalannya tinggi, dan meskipun FAANG banyak dikritik, sulit mengharapkan hasil yang lebih baik dari pihak lain
    • Saya baru saja membaca thread Matrix yang naik ke halaman utama HN, dan diskusinya berada dalam konteks yang sama