Artikel ini dibuat berdasarkan temuan yang dilaporkan oleh peneliti keamanan Tobias Boelter yang katanya menemukan backdoor WhatsApp. WhatsApp disinyalir memiliki backdoor yang memungkinkan bisa dimanfaatkan para attacker. Dan tentu saja perusahaan itu sendiri mencegahnya dengan menggunakan komunikasi terenkripsi.
Apa itu “backdoor”?
Secara harfiah, Backdoor adalah fitur dari sistem yang memungkinkan akses terhadap data secara sembunyi-sembunyi dan dengan cara ilegal. Backdoor juga bisa disebut mekanisme yang dapat digunakan untuk mengakses sistem, aplikasi, atau jaringan. Selain dari mekanisme yang umum digunakan (melalui proses login atau proses autentikasi lainnya).
Cerita yang melibatkan platform pengolah pesan terbesar di dunia yang memiliki lebih dari satu miliar pengguna di seluruh dunia. Dan cerita ini menarik reaksi dari para ahli keamanan, tim WhatsApp. Serta melibatkan Open Whisper Systems, yang bermitra dengan Facebook untuk menerapkan enkripsi end-to-end di WhatsApp.
Lalu, Apa Masalahnya?
Kerentanan bergantung pada cara WhatsApp menanggapi perubahan kunci enkripsi oleh end-user atau pengguna.
Secara default, WhatsApp mengizinkan kunci enkripsi baru yang disiarkan oleh kontak. Dan menggunakannya untuk kembali mengenkripsi pesan tidak terkirim dan mengirimnya tanpa memberitahu perubahan kepada pengirim.
Facebook mengakui masalah WhatsApp yang dilaporkan oleh Boelter ini. Mereka mengatakan bahwa “Kami sebelumnya menyadari masalah ini dan mungkin melakukan perbaikan di masa mendatang. Akan tetapi untuk sekarang, itu bukanlah suatu perubahan yang kita upayakan“.
Para Ahli Berpendapat Mengenai Backdoor WhatsApp
Menurut beberapa pakar keamanan, “Ini bukan backdoor WhatsApp. Melainkan fitur untuk menghindari verifikasi ulang kunci enkripsi yang tidak diperlukan pada regenerasi otomatis“.
Open Whisper System mengatakan, “Tidak ada backdoor WhatsApp. Ini merupakan cara bagaimana kriptografi bekerja. Dan serangan MITM merupakan endemik public key cryptography, bukan hanya WhatsApp saja“.
Seorang juru bicara dari WhatsApp, yang dibeli oleh Facebook pada tahun 2014 sebesar $16 Miliar, mengatakan, “Cerita The Guardian mengenai dugaan backdoor di WhatsApp adalah palsu. WhatsApp tidak memberikan backdoor ke dalam sistem. WhatsApp akan menolak setiap permintaan pemerintah untuk membuat backdoor“.
Faktanya:
Khususnya, tak satu pun dari para ahli keamanan atau perusahaan telah membantah fakta bahwa, jika diperlukan, WhatsApp bisa menyadap Chatting anda jika ada permintaan pemerintah, atau hacker yang disponsori negara.
Semua yang mereka katakan adalah:Â WhatsApp dirancang untuk menjadi sederhana, dan pengguna tidak harus kehilangan akses ke pesan yang dikirim ketika kunci enkripsi telah berubah.
Open Whisper Systems (OWS) mengkritik The Guardian dalam sebuah posting blognya. Mereka mengatakan, “Meskipun kita adalah pencipta dari protokol enkripsi “backdoored“ WhatsApp, kami tidak diminta untuk memberikan komentar“.
Tidak ada yang mengatakan itu adalah “enkripsi backdoor;” bukannya backdoor ini merupakan cara bagaimana enkripsi end-to-end telah dilaksanakan oleh WhatsApp. Yang akhirnya memungkinkan intersepsi pesan tanpa melanggar enkripsi.
Backdoor ini tidak ada hubungannya dengan pengamanan protokol enkripsi Signal Messenger yang dibuat oleh Open Whisper Systems. Ini merupakan satu protokol enkripsi yang paling aman jika diterapkan dengan benar.
Lalu Mengapa Signal Messenger lebih aman dari WhatsApp?
Anda mungkin bertanya-tanya mengapa Signal Private Messenger lebih aman dari Whatsapp, sedangkan keduanya menggunakan Protokol enkripsi end-to-end yang sama. Bahkan direkomendasikan oleh pakar keamanan yang berpendapat bahwa “WhatsApp tidak memiliki backdoor”.
Signal Messenger, secara default, memungkinkan pengirim untuk memverifikasi kunci baru sebelum menggunakannya. Sedangkan, WhatsApp, secara default, otomatis mempercayai kunci baru dari penerima tanpa ada pemberitahuan kepada pengirim.
Dan bahkan jika pengirim telah menyalakan pemberitahuan keamanan, aplikasi memberitahu pengirim perubahan hanya setelah pesan disampaikan.
Jadi, disini WhatsApp memilih kenyamanan dibandingkan keamanan dan privasi.
Ini bukan tentang ‘Apakah Kita percaya WhatsApp / Facebook?’
WhatsApp mengklaim tidak menanamkan sebuah “backdoor” pemerintah (seperti NSA, FBI, CIA, dll) ke dalam sistem nya.
Tidak diragukan lagi, perusahaan pasti akan melawan pemerintah. Pihak WhatsApp melakukan yang terbaik untuk melindungi privasi satu miliar lebih penggunanya.
Tapi bagaimana tentang hacker yang disponsori negara? Karena, secara teknis, hanya perusahaan yang dapat mengakses backdoor tersebut.
Mengapa Fitur ‘Verifying Keys‘ tidak Dapat Melindungi Anda?
WhatsApp juga menawarkan kita untuk menggunakan lapisan keamanan ketiga. Sehingga kita dapat memverifikasi kunci pengguna lain. Baik dengan memindai kode QR atau dengan membandingkan sejumlah 60 digit.
Tapi inilah kenyataannya:
Fitur ini memastikan bahwa tidak ada orang yang menyadap pesan atau panggilan pada saat Anda memverifikasi kunci. Akan tetapi tidak memastikan apakah ada yang menyadap atau tidak. Dan tidak ada yang bisa mengedintifikasi dengan pasti bahwa kita disadap atau tidak.
Pencegahan WhatsApp terhadap serangan MITM Belum Sempurna.
WhatsApp sudah menyediakan fitur “pemberitahuan keamanan” yang memberitahu pengguna setiap kali kode keamanan berubah. Kita perlu mengaktifkan secara manual dari pengaturan aplikasi. Tapi fitur ini tidak cukup untuk melindungi komunikasi Kita tanpa menggunakan tools utama lainnya, yaitu – Common Sense.
Apakah Kita menerima pemberitahuan yang menunjukkan bahwa kode keamanan kontak Kita telah berubah?
Bukannya menawarkan ‘Security by Desain,’ WhatsApp menginginkan pengguna untuk menggunakan common sense. Bukan untuk berkomunikasi dengan kontak yang kunci keamanannya telah berubah, tanpa memverifikasi kunci secara manual.
Fakta bahwa WhatsApp secara otomatis mengubah kunci keamanan kita begitu sering (untuk beberapa alasan). Beberapa pengguna mungkin akan mulai mengabaikan pemberitahuan tersebut. Sehingga tidak mungkin bagi pengguna untuk secara aktif memverifikasi keaslian session key setiap saat.
Apa yang harus dilakukan WhatsApp?
Tanpa menimbulkan kepanikan dari satu miliar lebih pengguna, Setidaknya WhatsApp bisa melakukan:
- Menghentikan regenerasi kunci enkripsi pengguna secara berkala (saya tidak tahu alasan mengapa perusahaan melakukannya).
- Memberikan pilihan dalam pengaturan untuk privacy-conscious setiap pengguna. Jika diaktifkan, tidak akan secara otomatis percaya kunci enkripsi baru dan mengirim pesan sampai diterima atau diverifikasi oleh pengguna secara manual.
Karena sama halnya dengan orang lain, saya juga benci menggunakan dua aplikasi untuk berkomunikasi dengan teman-teman dan keluarga. Yaitu Signal Messenger untuk privasi dan WhatsApp karena semua orang menggunakannya.
