Bug Perangkat Lunak Memberikan Spyware Kebebasan Melalui Satu Panggilan WhatsApp

Banyak pengguna perangkat lunak pengiriman pesan WhatsApp milik Facebook berlomba-lomba untuk menambal program tersebut pada hari Selasa, sebagai tanggapan atas berita tentang kelemahan yang memungkinkan spyware dipasang pada telepon seluler yang menjalankan Android dan iOS.
“Jenis serangan baru ini sangat mengkhawatirkan dan menunjukkan betapa rentannya aplikasi dan platform seluler yang paling tepercaya sekalipun,” kata Mike Campin, wakil presiden teknik di Wandera, penyedia keamanan seluler yang berkantor pusat di San Francisco.
“Meskipun serangan ini didasarkan pada eksploitasi yang telah diidentifikasi sebelumnya yang dikenal sebagai Pegasus, fakta bahwa serangan ini telah dikemas ulang ke dalam bentuk yang dapat dikirimkan melalui panggilan WhatsApp sederhana telah mengejutkan banyak orang,” lanjutnya.
WhatsApp, yang digunakan oleh 1,5 miliar orang di seluruh dunia, biasanya tidak digunakan sebagai aplikasi perpesanan resmi perusahaan, kata Campin, tetapi digunakan secara luas secara internasional, baik pada perangkat pribadi karyawan maupun pada perangkat yang dikeluarkan perusahaan.
Hal itu dapat menjadi masalah bagi organisasi, katanya, karena setelah dieksploitasi melalui serangan baru ini, penyerang memiliki kontrol dan visibilitas penuh atas semua data di telepon.
Tindakan Cepat
WhatsApp pada hari Senin menyarankan pengguna untuk menambal perangkat lunak sesegera mungkin untuk menghindari potensi infeksi.
“WhatsApp menghimbau orang untuk memperbarui aplikasi kami ke versi terbaru, serta menjaga sistem operasi seluler mereka tetap mutakhir, guna melindungi dari potensi eksploitasi yang ditujukan untuk membahayakan informasi yang tersimpan di perangkat seluler,” kata perusahaan itu dalam sebuah pernyataan.
Versi program yang terkena dampak adalah sebagai berikut:
- WhatsApp untuk Android sebelum v2.19.134
- WhatsApp Business untuk Android sebelum v2.19.44
- WhatsApp untuk iOS sebelum v2.19.51
- WhatsApp Business untuk iOS sebelum v2.19.51
- WhatsApp untuk Windows Phone sebelum v2.18.348
- WhatsApp untuk Tizen sebelum v2.18.15
Setelah mengetahui adanya kerentanan tersebut, perusahaan tersebut bertindak relatif cepat untuk mengeluarkan patch. Perusahaan tersebut memperbaiki infrastruktur aplikasi tersebut dalam 10 hari, dan merilis versi aman dari perangkat lunak tersebut pada Jumat lalu. Perusahaan tersebut juga memberi tahu pihak penegak hukum di Amerika Serikat dan Inggris.
“Tampaknya mereka bertindak cepat dalam memperbaiki kerentanan dan memberi tahu publik dan pemerintah,” kata Joseph A. Turner, kepala intelijen Proventus Cybersecurity , sebuah perusahaan keamanan komputer dan jaringan di Aliso Viejo, California.
Respons yang cekatan itu mungkin menguntungkan WhatsApp dan induknya, Facebook.
“Dengan cara WhatsApp menangani kerentanan ini, dan karena tampaknya ada penyerang luar yang terlibat, saat ini tidak ada yang menyalahkan Facebook atau WhatsApp,” kata Turner kepada TechNewsWorld.
“Namun, kami melihat pengguna beralih ke aplikasi perpesanan lain karena masalah privasi,” tambahnya.
Perkembangan yang Menakutkan
Dengan mengeksploitasi kelemahan WhatsApp, penyerang dapat memasukkan kode berbahaya ke telepon hanya dengan melakukan panggilan WhatsApp, bahkan jika panggilan tersebut tidak dijawab.
Eksploitasi tersebut seharusnya menjadi perhatian khusus bagi pengguna iPhone, kata Rusty Carter, wakil presiden manajemen produk di Arxan Technologies , sebuah perusahaan perlindungan aplikasi di San Francisco.
“Ekosistem Apple memiliki reputasi keamanan, dan aplikasi sandboxing untuk mencegah satu aplikasi mengganggu aplikasi lain,” katanya kepada TechNewsWorld.
“Peristiwa ini menghancurkan semua itu,” lanjut Carter, “karena di sini kita memiliki kerentanan dalam satu aplikasi yang memungkinkan seseorang memasang perangkat lunak yang memengaruhi seluruh perangkat dan semua perangkat lunak yang berjalan di dalamnya. Ini adalah perkembangan yang menakutkan.”
Pengacara HAM Jadi Sasaran
Jejak digital kode berbahaya tersebut mirip dengan alat mata-mata yang dipasarkan oleh NSO Group, pembuat alat peretasan kelas militer asal Israel, menurut peneliti keamanan yang memeriksanya.
Salah satu target spyware tersebut, menurut laporan New York Times, adalah seorang pengacara London yang terlibat dalam sejumlah tuntutan hukum yang melibatkan NSO. Pengaduan tersebut menuduh NSO Group menyediakan alat untuk meretas telepon Omar Abdulaziz, seorang pembangkang Saudi di Kanada; seorang warga negara Qatar; dan sekelompok jurnalis dan aktivis Meksiko.
“Teknologi NSO dilisensikan kepada badan pemerintah yang berwenang dengan tujuan tunggal untuk memerangi kejahatan dan teror,” kata perusahaan itu dalam sebuah pernyataan.
“Perusahaan tersebut tidak mengoperasikan sistem tersebut, dan setelah melalui proses perizinan dan pemeriksaan yang ketat, intelijen dan penegak hukum menentukan cara menggunakan teknologi tersebut untuk mendukung misi keselamatan publik mereka,” lanjutnya.
“Kami menyelidiki setiap dugaan penyalahgunaan yang kredibel dan jika perlu, kami mengambil tindakan, termasuk mematikan sistem,” tegas perusahaan itu. “Dalam situasi apa pun NSO tidak akan terlibat dalam pengoperasian atau identifikasi target teknologinya, yang semata-mata dioperasikan oleh badan intelijen dan penegak hukum.”
“NSO tidak akan atau tidak bisa menggunakan teknologinya untuk menargetkan organisasi perorangan mana pun, termasuk individu ini,” imbuhnya.
Pengelolaan Senjata Berbahaya yang Lebih Baik
Peretasan WhatsApp adalah contoh senjata siber militer yang beredar “di alam liar” dan digunakan oleh para penjahat, mirip dengan serangan WannaCry terhadap Sistem Kesehatan Nasional Inggris dua tahun lalu, kata Mark Skilton, seorang profesor dengan keahlian komunikasi digital di Sekolah Bisnis Warwick di Coventry, Inggris.
“Ini adalah pengingat betapa besar kepercayaan yang kita berikan pada platform media sosial ini untuk melindungi privasi kita,” katanya. “Dalam kasus ini, kita mungkin tidak mendeteksi serangan ini untuk memasang spyware pada pesan kita, seperti email phishing, hingga semuanya terlambat.”
Ia mengakui bahwa sistem tidak akan pernah mungkin 100 persen aman, tetapi pada akhirnya, platform publik besar seperti Facebook, Google, dan Twitter seharusnya lebih bertanggung jawab dalam mengelola platform mereka.
“Kita perlu menguji sistem yang mereka gunakan secara terus-menerus, tetapi masalah yang lebih besar di sini adalah tentang pengelolaan yang tepat terhadap jenis senjata ini,” kata Skilton.
“Perusahaan seperti NSO, yang dilaporkan mengembangkan perangkat lunak mata-mata yang digunakan pada WhatsApp, memiliki tanggung jawab untuk mencegahnya jatuh ke tangan yang salah, dan digunakan pada target seperti Amnesty International dan NHS, yang dapat menimbulkan konsekuensi yang mengerikan bagi orang-orang yang rentan,” lanjutnya.
“Senjata siber baru ini harus diklasifikasikan sebagai sangat berbahaya jika berada di tangan yang salah dan harus dikelola sebagaimana mestinya,” imbuh Skilton.
Pindah ke Lisensi Ekspor Blok
Sementara itu, Amnesty International pada hari Senin bergerak untuk memblokir ekspor senjata siber kelas militer di sumbernya, melalui gugatan yang diajukan di Pengadilan Distrik Tel Aviv, yang bertujuan untuk mencabut lisensi ekspor NSO.
Dalam pengaduannya, Amnesty menuduh salah satu karyawannya diserang oleh perangkat lunak NSO.
“NSO Group menjual produknya ke pemerintah yang dikenal melakukan pelanggaran hak asasi manusia yang keterlaluan, memberi mereka alat untuk melacak aktivis dan kritikus,” kata Danna Ingleton, wakil direktur Amnesty Tech.
“Serangan terhadap Amnesty International merupakan titik puncaknya,” ungkapnya.
Kementerian Pertahanan Israel telah mengabaikan banyaknya bukti yang menghubungkan NSO dengan serangan terhadap pembela hak asasi manusia, Ingleton menegaskan.
“Selama produk seperti Pegasus dipasarkan tanpa kontrol dan pengawasan yang tepat, hak dan keselamatan staf Amnesty International serta aktivis, jurnalis, dan pembangkang lainnya di seluruh dunia akan terancam,” tambahnya.
Tindakan hukum ini didukung oleh Amnesty International sebagai bagian dari proyek bersama dengan Institut Bernstein untuk Hak Asasi Manusia dan Klinik Keadilan Global di Sekolah Hukum Universitas New York.
“Penargetan pembela hak asasi manusia untuk pekerjaan mereka, dengan menggunakan alat pengawasan digital yang invasif, tidak diizinkan berdasarkan hukum hak asasi manusia,” kata Margaret Satterthwaite, direktur fakultas lembaga tersebut.
“Tanpa pemeriksaan hukum yang lebih kuat, industri spyware memungkinkan pemerintah untuk menginjak-injak hak privasi, kebebasan berpendapat dan berekspresi,” tambahnya. “Pemerintah Israel perlu mencabut izin ekspor NSO Group dan menghentikannya mengambil untung dari penindasan yang disponsori negara.”