- REUTERS/Mal Langsdon
VIVA – Pengguna WhatsApp diminta untuk berhati-hati. Sebab, aplikasi pesan instan milik Facebook ini tidak mengenkripsi pesan pribadi user atau pengguna di Google Drive, sehingga peretas atau hacker dengan bebas bisa membaca.
Berawal dari niat WhatsApp yang akan menghapus semua data obrolan, foto, dan video pengguna pada 12 November 2018. Perubahan sistem ini mengikuti kesepakatan antara Facebook, melalui WhatsApp dan Google, dengan Google Drive-nya.
Mengutip situs Metro, Selasa, 28 Agustus 2018, dengan adanya celah ini maka hacker bisa mengetahui isi pembicaraan pengguna secara detail melalui pesan pribadi, yang dianggap sebagai 'harta karun' karena berisi informasi sensitif. Hal tersebut juga diakui oleh WhatsApp melalui situs web-nya.
Parahnya lagi, bak bersilat lidah, WhatsApp juga menjelaskan kepada pelanggan bahwa backup Drive tidak dienkripsi sudah ada di masa lalu, atau jauh sebelum kemitraan Facebook dan Google diumumkan. "Pesan yang Anda cadangkan tidak dilindungi oleh enkripsi end-to-end saat berada di Google Drive," demikian pernyataan resmi WhatsApp.
Pernyataan aplikasi yang dibeli Facebook pada 2014 ini jelas menimbulkan kekhawatiran bahwa peretas, polisi, atau bahkan mata-mata pemerintah, bisa leluasa mengakses data pribadi jika mereka memperoleh akses ke akun Google Drive seseorang.
Kuncinya di user
Di mata Alfons Tanujaya, keamanan data bukan tergantung dari penyimpanan online maupun offline, karena memiliki banyak kelemahan. "Menurut saya itu sesuatu yang salah kaprah dan inevitable. Kalau ada yang bilang menyimpan data di cloud itu lebih enggak aman daripada menyimpan data di lokal, ya, itu ada benarnya secara psikologis," kata dia kepada VIVA.
Alfons melanjutkan bahwa pengguna merasa aman karena melihat datanya disimpan di hard disk. Akan tetapi harus diingat, penyimpanan lokal memiliki banyak kelemahan. Pakar keamanan internet dari Vaksincom ini mengungkapkan, aman tidaknya data yang disimpan, baik di sistem online maupun offline, tergantung dari penggunanya.
"Tujuh puluh persen user-lah yang menentukan. Sisanya berdasarkan penyedia layanan. Poin pentingnya adalah bagaimana cara penyedia online mengamankan data dengan baik. Saya melihat sejauh ini WhatsApp masih berada di tahap aman," jelasnya.
Ia pun memberi logika sederhananya sebagai berikut. Andai WhatsApp tidak aman, mengapa China, Rusia, dan beberapa negara lainnya memblokir? Karena, pemerintahnya ingin menyadap obrolan pengguna. Artinya, lanjut Alfons, mereka tidak bisa membongkar enkripsi end-to-end milik WhatsApp.
Alfons menilai pemerintah yang negaranya memblokir WhatsApp lantaran tidak memiliki teknologi untuk menembusnya. Menurut dia, WhatsApp secara sengaja tidak memiliki server enkripsi, tetapi hanya user yang memegang kunci enkripsi tersebut.
Untuk melindungi data user maka harus melakukan pengamanan yang maksimal. Pengguna, menurut Alfons, harus menyediakan password yang bagus di mana sekiranya tidak mudah ditembus oleh hacker.
"Amankan dengan baik, kasih password yang bagus, dan jangan hanya sekadar 1234. Lalu, kalau mau masuk perangkat baru biasanya ada authentication, minta PIN lewat SMS. Sejauh ini itulah pengamanan terbaik. Belum ada yang bisa bobol," ujar dia.
WhatsApp mendominasi
Alfons kembali menegaskan bahwa dirinya belum pernah mendengar WhatsApp ataupun Telegram kebobolan data pengguna. Kalaupun hal itu terjadi, maka akan menjadi isu besar. Dampaknya, seluruh pengguna akan meninggalkan platform tersebut karena merasa tidak aman lagi.
Sebagai catatan, menurut Statista, pengguna WhatsApp hingga Juli 2018 mencapai 1,5 miliar orang. Disusul kemudian 1,3 miliar orang pengguna Facebook Messenger dan 1,04 miliar orang pengguna WeChat. Ini artinya, WhatsApp masih menjadi aplikasi pesan instan terpopuler di dunia.
Selain itu, mengutip Firenewsfeed, selama tiga bulan terakhir pengguna rela menghabiskan waktu bersama WhatsApp sebanyak 85 miliar jam atau 3,5 miliar jam per hari. Angka ini setara dengan 9,5 juta tahun dan 11.425 jam untuk setiap manusia yang ada di Bumi.
Selanjutnya, pengguna 'hanya' menghabiskan waktunya sebanyak 30 miliar per jam untuk berselancar di media sosial Facebook. Yang menariknya lagi adalah adanya pergeseran kebiasaan pengguna, yang didominasi generasi milenial, di mana sebelumnya doyan berkomunikasi di "media sosial tradisional" seperti Facebook atau Twitter, kini beralih ke WhatsApp.
Pada kesempatan terpisah, Chairman Communication and Information System Security and Research Center (CISSReC), Pratama Persadha mengungkapkan, data yang di-backup di Google Drive tidak akan memiliki perlindungan enkripsi yang sama seperti di platform WhatsApp.
"WhatsApp memang menawarkan enkripsi end-to-end untuk layanan chat dan telepon. Tapi, enkripsi itu tidak akan berlaku ketika sudah tersimpan di Google Drive," jelas Pratama kepada VIVA.
Ia juga menjelaskan kalau WhatsApp sudah mengeluarkan pernyataan resmi bahwa aturan tersebut memang sudah berlaku jauh sebelum adanya kerja sama Facebook dan Google.
"Artinya, apabila pengguna sudah melakukan backup data WhatsApp ke Google Drive, baik secara manual maupun otomatis, maka data yang tersimpan sudah di luar perlindungan enkripsi end-to-end," tutur dia.
Google Driver bisa diretas
Mengenai kekhawatiran adanya ancaman hacker terhadap data yang sudah di-backup, Pratama menegaskan jika hal itu kembali lagi ke pihak Google selaku penyedia layanan server. Sebab, menyangkut kredibilitas dan nama baik raksasa teknologi asal Amerika Serikat tersebut.
Senada dengan Alfon Tanujaya, menurut Pratama, pengguna yang teledor membuat password atau bahkan memberikan password pada orang lain, tentu akan mudah diretas. Namun, ia mengaku jika meretas Google Drive tidaklah sulit, kecuali meretas server Google secara langsung. Karena, Google Drive masih melekat pada Gmail pengguna.
"Agar tidak mudah diretas maka pengguna harus mengaktifkan dua langkah authentication. Ada di bagian setting akun, lalu masuk ke keamanan. Nanti, pengguna akan diminta untuk memasukkan nomor ponsel. Jadi, kalau ada akses asing dari gadget baru maka harus memasukkan beberapa digit angka yang dikirim Google ke nomor ponsel kita," ia menegaskan.
Pratama menambahkan, bagi pengguna yang tidak yakin terhadap perlindungan server Google, ia menyarankan untuk menyimpan data chat, foto, dan gambar secara manual ke penyimpanan pribadi seperti hard disk.
"Kalau masalah keamanan itu relatif. Tergantung orang dan penyedia masing-masing layanan. Sebenarnya dengan reputasi Google selama ini, Google Drive jelas lebih aman dan lebih praktis tentunya," papar dia.
Sebelumnya, isu WhatsApp bisa dibobol mencuat di awal tahun ini, khususnya kerentanan yang terjadi pada WhatsApp group. Di mana pengguna tak sadar kalau WhatsApp group bisa menjadi mata-mata.
Peneliti keamanan dengan mudahnya memanen ‘harta karun’ data di WhatsApp group begitu mudahnya. Mirisnya lagi, untuk bisa memanen data WhatsApp group, bisa menggunakan perangkat mobile lama.
Cukup menjalankan skrip dan aplikasi yang dirancang khusus, seseorang bisa mudah memanen data di WhatsApp group.
Dikutip dari Venturebeat, untuk bisa masuk ke grup WhatsApp, peneliti dari Swiss dan Inggris menelusurinya di internet. Peneliti menggunakan alat otomatisasi browser untuk bisa bergabung dengan sekitar dua ribu grup.
Selanjutnya, setelah bergabung, peneliti pun beraksi. Smartphone mereka mulai bisa memanen data. Memang, data di WhatsApp terenkripsi, tapi kunci sandi disimpan di dalam RAM perangkat mobile. Celah ini memungkinkan peneliti membobol data menggunakan teknik yang dikembangkan peneliti India, LP Gudipaty dan KY Jhala.
Celah di enkripsi
Hasilnya, selama periode enam bulan, peneliti dari kedua negara Eropa itu bisa dengan mudah memperoleh data hampir dari setengah juta pesan yang seliweran di antara 45.794 pengguna di 178 WhatsApp group.
Dalam periode tersebut, peneliti bisa mendapatkan nomor ponsel, gambar, video, tautan web yang dibagikan di WhatsApp group. Peneliti juga bisa memantau topik apa saja yang dipergunjingkan WhatsApp group.
Dengan metode tersebut, peneliti Swiss dan Inggris bisa dengan leluasa mengakses data yang diposting di WhatsApp group. Padahal sebelumnya, peneliti tidak bisa mengakses data di grup.
Bukan cuma itu. Mengutip situs Wired, peneliti dari Ruhr-University Bochum, Jerman, Paul Rosler menemukan serangkaian kelemahan pada aplikasi pengiriman pesan terenkripsi.
Sebab, siapa saja yang bisa mengendalikan server WhatsApp, maka bisa memasukkan orang baru ke grup WhatsApp untuk mengontrol percakapan. Rosler mengatakan, seharusnya dengan enkripsi end-to-end, sampai server diakses orang asing pun, pesannya pengguna masih aman.
"Kerahasiaan grup (WhatsApp) rusak setelah anggota tak diundang bisa memperoleh semua pesan baru dan membacanya," ungkapnya. Rosler menuturkan, dalam hal pesan terenkripsi end-to-end, berarti penambahan anggota baru harus mendapatkan perlindungan.
Sebab jika tidak, menurutnya, nilai enkripsi menjadi tak begitu penting. Tak heran, meski WhatsApp menggembor-gemborkan enkripsi end-to-end, ternyata masih ada celah untuk mata-mata.
Sebagai contoh, aktivis hak asasi manusia Zhang Guanghong ditahan pemerintah China setelah mereka memantau percakapan teman Guanghong di WhatsApp. Di WhatsApp group, pemerintah menemukan bukti sang aktivitas bersama teman-temannya mengkritik Presiden China Xi Jinping.
