Kelemahan keamanan, dijuluki Media File Jacking, memengaruhi WhatsApp Android secara default, juga Telegram untuk Android jika fitur tertentu diaktifkan, jelas Yair Amit, Wakil Presiden dan CTO Keamanan OS Modern di Symantec.
Kerentanan keamanan itu terjadi pada selang waktu antara ketika berkas (file) media yang diterima pengguna melalui aplikasi dibaca dan tersimpan di ruang penyimpanan, dan saat file dimuat di antarmuka obrolan pengguna (user interface).
Selang waktu kritis tersebut memberikan peluang bagi pelaku kejahatan untuk melakukan intervensi dan memanipulasi file media tanpa sepengetahuan pengguna. Jika kelemahan keamanan dieksploitasi, penyerang dapat menyalahgunakan dan memanipulasi informasi sensitif seperti foto pribadi dan video, dokumen perusahaan, faktur, bahkan memo suara.
Penyerang bisa memanfaatkan hubungan kepercayaan antara pengirim dan penerima saat menggunakan aplikasi pesan instan (instant messaging/IM) untuk keuntungan pribadi atau untuk mendatangkan malapetaka, terang Amit dan insinyur software Symantec Alon Gat, di blog resmi perusahaan ini, dikutip Selasa.
Ancaman Media File Jacking ini merupakan kerentanan nyata di tengah persepsi umum bahwa generasi baru aplikasi pesan singkat kebal terhadap manipulasi konten dan risiko privasi, berkat pemanfaatan mekanisme keamanan seperti enkripsi ujung-ke-ujung (end-to-end).
"Namun, seperti yang telah kami sebutkan sebelumnya, tidak ada kode yang kebal terhadap kerentanan keamanan," kata Amit.
Pengguna umumnya mempercayai aplikasi pesan singkat seperti WhatsApp dan Telegram untuk melindungi integritas identitas pengirim dan konten pesan itu sendiri. Ini kontras dengan aplikasi atau protokol lama seperti SMS, yang sangat mudah digunakan untuk menipu.
Meskipun enkripsi ujung-ke-ujung adalah mekanisme yang efektif untuk memastikan integritas komunikasi, itu tidak cukup jika kerentanan tingkat aplikasi ada di dalam kode aplikasi.
Penelitian Symantec tersebut menunjukkan bahwa penyerang mungkin memanipulasi file media dengan memanfaatkan kelemahan logis dalam aplikasi, yang terjadi sebelum dan atau setelah konten yang dienkripsi dalam perjalanan.
Manipulasi gambar
Dalam skenario ini, aplikasi yang tampaknya tidak bersalah, tetapi sebenarnya berbahaya, yang diunduh oleh pengguna dapat memanipulasi foto pribadi dalam waktu yang hampir bersamaan dan tanpa diketahui korban.
Aplikasi itu berjalan di latar belakang dan melakukan serangan Jacking Media File ketika korban menggunakan WhatsApp, dengan memantau foto yang diterima melalui aplikasi, mengidentifikasi wajah dalam foto, dan menggantinya dengan sesuatu yang lain, seperti wajah atau benda lain.
Pengguna WhatsApp dapat mengirim foto keluarga ke salah satu kontak mereka, tetapi yang dilihat penerima sebenarnya adalah foto yang dimodifikasi. Meskipun serangan mungkin tampak sepele dan hanya gangguan, itu menunjukkan bahwa penyerang bisa memanipulasi gambar dengan cepat.
Dalam skenario yang sama dengan konsekuensi yang lebih luas, file media dari politisi yang mencalonkan diri untuk jabatan atau eksekutif perusahaan dapat dimanipulasi, memungkinkan penyerang memeras atau membingkai target.
Manipulasi pembayaran
Dalam salah satu serangan File Media Jacking yang paling merusak, aktor jahat dapat memanipulasi faktur yang dikirim oleh vendor ke pelanggan, untuk mengelabui pelanggan agar melakukan pembayaran ke akun tidak sah.
Seperti dalam skenario sebelumnya, aplikasi yang tampaknya sah tetapi sebenarnya berbahaya, mengawasi file faktur PDF yang diterima melalui WhatsApp, kemudian secara program menukar informasi rekening bank yang ditampilkan dalam faktur dengan milik penyerang.
Pelanggan menerima faktur, yang mereka harapkan untuk dibayar, tetapi tidak tahu bahwa itu telah diubah. Pada saat trik terungkap, uang mungkin sudah terlanjur hilang.
Untuk membuat keadaan menjadi lebih buruk, retasan faktur dapat didistribusikan secara luas dengan cara yang tidak ditargetkan, mencari faktur untuk dimanipulasi, memengaruhi banyak korban yang menggunakan aplikasi pesan seperti WhatsApp untuk menjalankan bisnis.
Tidak hanya pada foto maupun dokumen, manipulasi ini juga bisa terjadi pada dokumen suara dan file yang disebarkan secara luas (broadcast) oleh pengguna.
Baca juga: WhatsApp akan punya fitur edit foto
Baca juga: Telegram tuduh China dalang serangan DDoS
Pewarta: Suryanto
Editor: Heppy Ratna Sari
Copyright © ANTARA 2019