WhatsApp merupakan layanan pesan multiplatform melalui media ponsel yang paling terkenal dan digunakan oleh banyak orang di seluruh dunia[1]. Perkembangan layanan pesan ini sangat pesat sehingga dari waktu ke waktu, baik dari sisi tampilan maupun fungsionalitas banyak mengalami perubahan yang signifikan.
Gambar 1. Statistik pengguna aktif perbulan
Baru-baru ini WhatsApp telah menambahkan fitur baru untuk memanjakan pengguna yaitu WhatsApp Web. Melalui fitur ini pengguna dapat lebih leluasa dalam mengobrol dengan relasi mereka tanpa dibatasi oleh keyboard virtual yang kecil (keyboard pada ponsel). Fitur ini memungkinkan pengguna menggunakan komputer/laptop sebagai media untuk mengakses WhatsApp mereka. Tidak ada perbedaan signifikan antara tampilan WhatsApp Web dengan tampilan yang ada di ponsel. Perbedaan yang mendasar hanyalah ukuran layar serta penggunaan keyboard yang lebih nyaman.
WhatsApp memang memperhitungkan kenyamanan pengguna dalam menggunakan aplikasi mereka. Namun, dibalik fitur yang nyaman ini, secara tidak langsung pihak WhatsApp telah menyediakan ‘jalan tol’ bagi penyerang untuk mendapatkan data pengguna korban.
Mengapa saya sebut ‘jalan tol’? Karena cara ini sangat mudah digunakan oleh penyerang dalam melakukan penyadapan serta pencurian data korban.
Contoh Kasus
Apabila Anda ingin mengobrol (chatting) dengan relasi Anda via WhatsApp Web (dengan alasan karena lebih nyaman), maka Anda diharuskan untuk melakukan ‘login’ dengan men-scan QR Code pada portal Whatsapp Web[2].
Gambar 2. Portal ‘Login’ QR-Code WhatsApp
Setelah itu Anda akan disuguhkan tampilan WhatsApp yang sama persis dengan tampilan pada ponsel Anda. Kemudian mulailah chatting dengan relasi Anda 🙂
Namun, bagaimana apabila hal tersebut juga dilakukan oleh penyerang? Banyak cara yang dilakukan penyerang untuk mendapatkan akses ke ponsel Anda. Misalnya berpura-pura meminjam ponsel Anda, atau Anda meninggalkan ponsel ketika keluar (ke toilet, makan, dan lain sebagainya). Kemudian ia juga akan melakukan ‘login’ ke whatsapp web menggunakan QR-Code dari ponsel Anda, dan… blah!
Gambar 3. Antarmuka Chatting
Gambar 4. Antarmuka Kontak
Semua data chatting termasuk semua history nya akan didapatkan. Tidak hanya itu, semua kontak, display picture juga akan didapatkan. Untuk tetap dapat ‘menggunakan’ WhatsApp Anda, penyerang akan mengaktifkan (mencentang) opsi stay sign yang terdapat pada portal Login. Dengan opsi ini, maka Anda akan selalu dipantau oleh penyerang. Bahaya bukan? Tidak hanya itu, calon korban WhatsApp ini ternyata beragam dan multi platform (terlihat pada gambar 2: Android, Windows Phone, Blackberry, Nokia).
Tidak sedikit pengguna yang tidak mengaktifkan fitur lock screen pada ponsel mereka, atau meminjamkan ponsel secara ‘cuma-cuma’ kepada orang lain. Akibat kelalaian ini, penyerang akan dengan mudah mendapatkan apa yang mereka inginkan.
Sebuah survey melaporkan bahwa dari 28 pengguna smartphone, terdapat 8 pengguna yang tidak mengunci ponsel mereka (29%), 18 pengguna yang mengunci dengan PIN (64%) dan sisanya menggunakan android’s pattern lock (4%)[3]. Ini berarti peluang terjadinya pencurian serta penyadapan data masih besar. Sebuah statistik yang diterbitkan oleh lifehacker dot com[4] menyebutkan bahwa PIN yang paling sering digunakan oleh pengguna adalah 1234. Faktor ini juga akan menambah daftar panjang korban serangan yang terjadi pada aplikasi mobile karena kemudahan akses ponsel serta PIN yang mudah ditebak.
Gambar 5. Statistik Penggunaan PIN
Well, WhatsApp memang memperhatikan kenyamanan terhadap penggunanya, namun hukum keamanan berkata lain, keamanan akan berbanding terbalik dengan kenyamanan, semakin nyaman suatu lingkungan (sistem) maka akan semakin tidak aman lingkungan (sistem) tersebut, dan sebaliknya. Kurangnya kesadaran keamanan informasi juga menambah tingkat kejadian kriminal di dunia siber. Oleh karena itu, edukasi keamanan informasi harus dilakukan sehingga akan menambah tingkat kewaspadaan pengguna.
Referensi [1]http://www.statista.com/statistics/258749/most-popular-global-mobile-messenger-apps/ [2]https://web.whatsapp.com/ [3]http://lifehacker.com/5811383/these-are-the-most-common-lockscreen-pins-and-you-should-avoid-using-them [4]http://www.icsi.berkeley.edu/pubs/networking/readytolock14.pdf
Dislcaimer!
Tulisan ini ditujukan untuk edukasi. Penulis tidak bertanggungjawab atas penyalahgunaan pada artikel ini!