JAKARTA – Tim keamanan dari Google Project Zero mendeteksi adanya celah keamanan atau bug pada aplikasi pesan instan WhatsApp (WA).
Celah ini memungkinkan pelaku kejahatan memanfaatkan file media berbahaya yang terunduh secara otomatis ke dalam perangkat target.
Melalui celah tersebut, korban dapat diserang hanya karena dimasukkan ke dalam grup WhatsApp, tanpa harus membuka atau mengunduh file secara manual.
Berdasarkan laporan tersebut, serangan dimulai saat pelaku membentuk grup WhatsApp baru, lalu memasukkan target beserta minimal satu kontak lainnya. Selanjutnya, pelaku mengirimkan file media berbahaya ke dalam grup.
Apabila fitur auto-download dalam keadaan aktif, file tersebut akan otomatis tersimpan di perangkat korban dan menjadi pintu masuk serangan.
Model serangan ini dikategorikan sebagai zero-click attack karena tidak memerlukan tindakan apa pun dari pengguna, seperti membuka tautan atau menyetujui unduhan.
Metode ini dinilai relatif mudah dilakukan secara berulang jika peretas sudah mengintai target potensial, yaitu pengguna WA yang mengaktifkan fitur unduh otomatis.
Meta Telah Melakukan Perbaikan
Melansir Forbes, Meta selaku induk perusahaan WhatsApp mengeklaim sudah mengetahui bug yang ditemukan tim Google Project Zero.
Meta menyatakan telah merilis perbaikan secara menyeluruh. Per tanggal 28 Januari, celah keamanan ini sudah diberi label "telah diperbaiki" pada situs Project Zero.
Meski demikian, pengguna tetap disarankan mengambil langkah keamanan untuk antisipasi.
Salah satu metodenya adalah mematikan fitur auto-download agar file yang berpotensi mengandung malware tidak langsung masuk ke perangkat. Langkah-langkahnya adalah:
1. Buka WhatsApp
2. Masuk ke menu Settings
3. Pilih Storage and data
4. Pada bagian Media auto-download, nonaktifkan seluruh jenis media di semua kondisi jaringan (data seluler, WiFi, dan roaming)
Langkah proteksi lainnya adalah mematikan visibilitas media di galeri agar file yang terunduh tidak langsung masuk ke penyimpanan bersama yang bisa diakses aplikasi lain melalui Settings > Chats > Media visibility.
Selain itu, karena skenario serangan ini mengharuskan korban masuk ke grup, pengguna disarankan membatasi siapa yang dapat menambahkan mereka ke grup melalui Settings > Privacy > Groups, lalu mengubah pengaturan menjadi My Contacts atau My Contacts Except.
Terakhir, pengguna dapat mengaktifkan verifikasi dua langkah melalui Settings > Account > Two-step verification untuk menambah lapisan keamanan.
Pakar keamanan berpendapat bahwa kombinasi pembaruan aplikasi, pembatasan unduh otomatis, serta verifikasi dua langkah dapat mengurangi risiko serangan siber secara signifikan.
Pengguna pun diingatkan untuk selalu memperbarui aplikasi serta sistem operasi demi mendapatkan perlindungan keamanan terbaru.