Kejutan baru yang tidak menyenangkan bagi 2 miliar pengguna WhatsApp saat ini, dengan ditemukannya risiko keamanan yang mengkhawatirkan. Hanya dengan menggunakan nomor telepon Anda, penyerang jarak jauh dapat dengan mudah menonaktifkan WhatsApp di telepon Anda dan kemudian menghentikan Anda untuk masuk kembali. Bahkan otentikasi dua faktor tidak akan menghentikan ini. Begini cara serangan itu bekerja.
Saat Anda pertama kali menginstal WhatsApp di ponsel Anda, atau berganti ponsel, WhatsApp akan mengirimi Anda kode SMS untuk memverifikasi akun. Setelah Anda memasukkan kode yang benar, aplikasi akan meminta nomor 2FA Anda untuk memastikan bahwa ini memang Anda, lalu Anda masuk.
Sekarang, mari kita mulai dengan kelemahan pertama. Siapapun dapat menginstal WhatsApp di telepon dan memasukkan nomor Anda di layar verifikasi. Anda kemudian akan menerima teks dan panggilan dari WhatsApp dengan kode enam digit. Anda juga akan melihat notifikasi aplikasi WhatsApp, memberi tahu Anda bahwa kode telah diminta, memperingatkan Anda untuk tidak membagikannya.
Masalahnya, proses verifikasi WhatsApp membatasi jumlah kode yang dapat dikirim. Setelah beberapa kali mencoba, WhatsApp penyerang akan mengatakan: “Kirim ulang SMS / Telepon saya dalam 12 jam”, sehingga tidak ada kode baru yang dapat dibuat. WhatsApp juga memblokir entri kode pada aplikasi setelah beberapa kali mencoba, memberi tahu penyerang “Anda telah menebak terlalu banyak … coba lagi dalam 12 jam”.
Semua ini seharusnya tidak menjadi masalah bagi Anda. Tidak ada masalah kecuali Anda menonaktifkan WhatsApp di ponsel Anda dan perlu memverifikasi ulang. Jadi, selanjutnya kelemahan nomor dua.
Penyerang lalu mendaftarkan alamat email baru dan mengirim email ke support@whatsapp.com. Dia akan menulis Akun hilang/dicuri, tolong nonaktifkan nomor saya.
WhatsApp telah menerima email yang mereferensikan nomor telepon Anda. Mereka tidak tahu apakah ini benar-benar dari Anda. Tidak ada pertanyaan lanjutan untuk mengonfirmasi kepemilikan Anda atas nomor tersebut. Tetapi proses otomatis telah dipicu, tanpa sepengetahuan Anda, dan akun Anda sekarang akan dinonaktifkan.
Sekitar satu jam kemudian, tiba-tiba WhatsApp berhenti bekerja di ponsel Anda dan Anda melihat pemberitahuan yang mengkhawatirkan:
WhatsApp Anda yang dinonaktifkan meminta nomor telepon Anda untuk mengirimkan kode. Anda memasukkan dan mengkonfirmasi nomor Anda. Tapi tidak ada teks yang masuk. Kenapa? Karena ponsel Anda sekarang tunduk pada hitungan mundur yang sama seperti milik penyerang. Anda tidak dapat meminta kode baru selama 12 jam.
Hitung mundur kemungkinan membaca 10 hingga 11 jam pada saat ini. Jika serangan berhenti di sini, Anda akan dapat meminta SMS baru dan memverifikasi akun Anda menggunakan kode enam digit baru setelah timer 12 jam itu berakhir, jika pelaku tidak melakukan ini.
Penyerang tidak perlu mengirim email ke WhatsApp selama hitungan mundur 12 jam pertama tersebut, sebagai gantinya mereka dapat menunggu dan kemudian mengulangi prosesnya. Anda akan menerima lebih banyak teks, tetapi tetap tidak ada yang dapat Anda lakukan dengannya, meskipun Anda akan curiga ada yang tidak beres.
Jika penyerang melakukan ini, maka pada siklus 12 jam ketiga, WhatsApp akan rusak. “Anda telah menebak terlalu banyak,” aplikasi mereka akan berkata, “coba lagi setelah -1 detik.”
Jelas, kombinasi arsitektur verifikasi ini, batasan SMS/kode, dan tindakan otomatis berbasis kata kunci yang dipicu oleh email masuk dapat disalahgunakan. Tidak ada kecanggihan untuk serangan ini — itulah masalah sebenarnya di sini dan WhatsApp harus segera menanganinya.
Selengkapnya: Forbes