JAKARTA - Ada sebuah cara baru yang mengeksploitasi celah keamanan di WhatsApp, yaitu memanipulasi fitur reply sebuah pesan. Begini penjelasannya.

Celah ini ditemukan oleh tim dari perusahaan keamanan cyber Checkpoint, yang menunjukkan contoh penggunaannya di Black Hat, sebuah konferensi keamanan siber bergengsi di Las Vegas, Amerika Serikat.

Dalam demonstrasinya, terlihat kalau cara tersebut memang bisa dipakai mengubah teks dari pesan balasan yang dikirimkan oleh seseorang, sehingga pesan yang sudah diganti itu terlihat seolah-olah benar dikirimkan oleh si pengirimnya yang asli.

Skenario misalnya, seorang pegawai meminta kenaikan gaji ke bos melalui WhatsApp. Bos membalas akan menaikkan Rp 1 juta. Tapi dengan cara ini, sang pegawai bisa mengubah teks, misalnya menjadikan nominal kenaikan Rp 5 juta dengan tampilan yang persis sama.

Maka, ia misalnya bisa pamer gajinya dinaikkan Rp 5 juta dengan pesan yang seolah berasal dari bosnya, tidak bisa dibedakan dengan yang asli.

Video demonstrasi sudah dipublikasikan beberapa waktu lalu, tapi baru saat ini Checkpoint mendemonstrasikan dan membicarakannya secara serius di event besar.

Peneliti dari Checkpoint bernama Oded Vanunu menyatakan kalau cara tersebut bisa disalahgunakan oleh pihak tak bertanggung jawab untuk memanipulasi percakapan di platform milik Facebook tersebut.
"Ini adalah celah keamanan yang membuat pengguna nakal bisa menciptakan berita bohong dan penipuan," tambah Vanunu, seperti dikutip detikINET dari BBC, Kamis (8/8/2019).

Vanunu pun menyatakan kalau celah ini bisa mengubah semua perkataan yang ada dalam pesan yang sudah di-reply. "Semua karakternya bisa dimanipulasi," tambahnya.

Lebih parahnya lagi, tak cuma isi pesannya yang bisa diganti, melainkan identifikasi pengirimnya pun bisa diubah. Hal ini, lagi-lagi, sangat berbahaya karena bisa menyebarkan hoax di jejaring pengiriman pesan tersebut.

Checkpoint juga membeberkan celah ketiga, namun masalah ini sudah diperbaiki oleh Facebook. Celah yang dimaksud adalah bagaimana menipu pengguna untuk mempercayai kalau mereka sedang mengirimkan pesan privat ke satu orang, padahal sebenarnya ia mengirimkan pesan tersebut ke grup publik.

Celah ini sudah ditemukan sejak Agustus 2018 lalu, dan Checkpoint pun sudah melaporkannya ke Facebook. Namun sampai saat ini baru satu celah yang ditambal oleh Facebook, sementara dua celah lainnya belum diperbaiki karena menurut Facebook perbaikannya mempunyai masalah pada keterbatasan infrastruktur.

Teknologi