Kerentanan WhatsApp ini cukup bodoh, tetapi dapat mengunci Anda dari akun Anda tanpa batas waktu

Peneliti keamanan telah menemukan kerentanan WhatsApp baru yang memungkinkan penyerang dengan mudah mengunci Anda dari akun Anda.

Peneliti keamanan telah menemukan kerentanan baru di WhatsApp yang mungkin mendorong lebih banyak pengguna untuk melakukan hal tersebut keluar dari layanan perpesanan milik Facebook. Pelaku kejahatan dapat dengan mudah mengeksploitasi kerentanan ini untuk mengunci Anda dari akun WhatsApp Anda tanpa batas waktu, menjadikannya lebih dari sekadar ketidaknyamanan kecil bagi lebih dari 2 miliar pengguna messenger tersebut. Tapi itu bukan bagian terburuknya.

Menurut peneliti Luis Márquez Carpintero dan Ernesto Canales Pereña (melalui Forbes), penyerang tidak memerlukan perangkat lunak atau pelatihan khusus untuk mengeksploitasi kerentanan ini. Mereka hanya memerlukan akses ke nomor telepon Anda. Setelah mereka memilikinya, mereka dapat mengunci Anda dari akun WhatsApp Anda tanpa banyak usaha. Dan inilah cara kerjanya.

WhatsApp memerlukan otentikasi dua faktor setiap kali Anda masuk di perangkat baru. Untuk ini, layanan mengirimkan kode enam digit ke nomor telepon Anda untuk verifikasi. Jika Anda memasukkan kode yang salah beberapa kali, WhatsApp akan menangguhkan akun Anda secara otomatis selama 12 jam.

Proses verifikasi nomor telepon (Gambar: Forbes)

Penyerang dapat mengeksploitasi sistem autentikasi dua faktor ini dengan memasang WhatsApp di perangkat baru, memasukkan nomor telepon Anda, dan berulang kali memasukkan kode yang salah. Meskipun hal ini akan mencegah Anda masuk ke perangkat baru selama 12 jam ke depan, hal ini tidak akan memengaruhi pemasangan WhatsApp Anda saat ini. Ini akan terus berfungsi sebagaimana mestinya.

Memasukkan kode yang salah menyebabkan penangguhan 12 jam (Gambar: Forbes)

Untuk mencegah Anda masuk ke perangkat baru tanpa batas waktu, penyerang hanya perlu mengulangi langkah-langkah di atas sebanyak tiga kali. Pada siklus 12 jam ketiga, pengatur waktu penangguhan aplikasi akan berhenti dan mulai menampilkan pengatur waktu "-1 detik". Setelah bug itu muncul, WhatsApp tidak akan mengizinkan Anda masuk ke perangkat baru sama sekali. Namun, instalasi Anda saat ini akan terus berfungsi. Namun eksploitasi ini tidak berhenti sampai disitu saja, karena eksploitasi tersebut dapat diterapkan untuk meningkatkan dampaknya secara drastis.

Bug hitung mundur verifikasi nomor telepon menunjukkan -1 detik (Gambar: Forbes)

Langkah terakhir penyerang juga akan merusak instalasi Anda saat ini, dan akun Anda akan terkunci secara permanen. Untuk melakukan ini, yang perlu dilakukan penyerang hanyalah mengirim email ke WhatsApp yang meminta layanan untuk menonaktifkan nomor telepon Anda. WhatsApp mungkin mengirimkan balasan otomatis yang meminta penyerang untuk mengonfirmasi nomor tersebut, dan setelah mereka mengonfirmasi, WhatsApp akan secara otomatis menonaktifkan akun Anda tanpa sepengetahuan Anda.

Email ke Dukungan WhatsApp untuk menonaktifkan akun (Gambar: Forbes)

Penginstalan WhatsApp Anda saat ini akan berhenti berfungsi secara tiba-tiba, dan Anda akan melihat pemberitahuan berikut: "Nomor telepon Anda tidak lagi terdaftar di WhatsApp di ponsel ini. Ini mungkin karena Anda mendaftarkannya di ponsel lain. Jika Anda tidak melakukan ini, verifikasi nomor telepon Anda untuk masuk kembali ke akun Anda." Sekarang, saat Anda mencoba memverifikasi nomor telepon Anda, Anda akan melihat pengatur waktu penangguhan "-1 detik", dan Anda tidak akan bisa masuk sama sekali.

Respons otomatis WhatsApp terhadap email penonaktifan (Gambar: Forbes)

Karena serangan ini tidak canggih, siapa pun yang memiliki akses ke nomor telepon Anda dapat dengan mudah mengunci Anda dari akun WhatsApp dalam hitungan hari. Oleh karena itu, WhatsApp perlu segera mengatasi masalah mencolok ini.


Utusan tersebut telah diberitahu tentang masalah ini. Menanggapi pengungkapan tersebut, kata juru bicara WhatsApp Forbes itu "memberikan alamat email dengan verifikasi dua langkah membantu tim layanan pelanggan kami membantu orang-orang jika mereka menghadapi masalah yang tidak terduga ini." Fakta bahwa WhatsApp menganggap ini sebagai masalah yang "tidak mungkin" seharusnya menjadi alasan yang cukup bagi banyak pengguna untuk meninggalkan layanan ini. Selain itu, juru bicara tersebut menambahkan bahwa mereka yang mencoba melakukan eksploitasi akan melanggar ketentuan layanan WhatsApp. Seolah-olah hal itu akan menakuti semua peretas dan mencegah orang iseng mencoba mengeksploitasi pengguna yang tidak menaruh curiga.

Kami mendesak pembaca kami untuk tidak mengeksploitasi kerentanan ini, bukan karena melanggar ketentuan layanan WhatsApp akan membuat Anda masuk penjara, namun karena tindakan tersebut agak buruk. Selain itu, jika Anda akhirnya siap beralih ke layanan lain, lihat layanan kami panduan mendalam tentang alternatif WhatsApp yang menyoroti semua pro dan kontra dari peralihan ke platform lain.