Ancaman Baru WhatsApp, Serangan Bisa Terjadi Tanpa Klik Apa Pun

Sebuah celah keamanan di WhatsApp sempat membuat pengguna berisiko mengalami serangan siber hanya karena dimasukkan ke dalam grup. Temuan ini diungkap oleh tim keamanan Google Project Zero yang menemukan adanya bug yang memungkinkan file media berbahaya otomatis terunduh ke perangkat korban.

Berdasarkan laporan yang dirangkum dari Malwarebytes, serangan dapat terjadi ketika pelaku membuat grup WhatsApp baru, lalu menambahkan target bersama setidaknya satu kontak lain. Setelah itu, pelaku mengirimkan file media berbahaya ke dalam grup tersebut.

Jika fitur auto download aktif, file tersebut akan otomatis masuk ke perangkat korban tanpa perlu tindakan apa pun. Inilah yang membuat model serangan ini disebut sebagai zero click attack, karena korban tidak perlu membuka file, mengklik tautan, atau menyetujui unduhan.

Metode ini dinilai relatif mudah dilakukan berulang kali, terutama jika peretas sudah mengincar target tertentu yang diketahui mengaktifkan fitur unduh otomatis.

Meta Klaim Bug Sudah Diperbaiki

Menurut laporan Forbes, Meta sebagai induk WhatsApp menyatakan telah mengetahui celah keamanan yang ditemukan Google Project Zero. Meta juga mengklaim telah merilis perbaikan menyeluruh.

Pada 28 Januari, bug tersebut sudah dilabeli sebagai “telah diperbaiki” di situs resmi Project Zero. Meski begitu, pakar keamanan tetap menyarankan pengguna untuk mengambil langkah pencegahan tambahan.

Salah satu langkah utama adalah menonaktifkan fitur auto download agar file yang berpotensi mengandung malware tidak langsung tersimpan di perangkat.

Caranya cukup sederhana. Pengguna dapat membuka WhatsApp, masuk ke menu Settings, pilih Storage and data, lalu masuk ke Media auto download. Setelah itu, nonaktifkan semua jenis media di semua kondisi jaringan, baik saat menggunakan mobile data, WiFi, maupun roaming.

Langkah keamanan lain yang dianjurkan adalah mematikan visibilitas media di galeri. Fitur ini bisa diakses melalui Settings lalu Chats dan pilih Media visibility, kemudian nonaktifkan.

Selain itu, pengguna juga disarankan membatasi siapa saja yang dapat menambahkan mereka ke grup WhatsApp. Karena skenario serangan ini membutuhkan korban dimasukkan ke grup, pengaturan privasi grup menjadi krusial.

Pengaturan tersebut dapat diubah melalui Settings, kemudian Privacy, pilih Groups, lalu ubah dari Everyone menjadi My Contacts atau My Contacts Except.

Untuk perlindungan tambahan, aktifkan two step verification. Fitur ini mewajibkan PIN enam digit saat mendaftarkan nomor WhatsApp di perangkat baru, sehingga akun tetap aman meski kode SMS berhasil disadap. Pengguna dapat mengaktifkannya melalui Settings, lalu Account, pilih Two step verification dan tekan Enable.

Pakar keamanan menilai kombinasi pembaruan aplikasi, pembatasan auto download, serta penggunaan verifikasi dua langkah dapat mengurangi risiko serangan siber secara signifikan. Pengguna juga diingatkan untuk selalu memperbarui aplikasi WhatsApp dan sistem operasi Android agar mendapatkan patch keamanan terbaru.

Referensi:
Kompas.com