WhatsApp, aplikasi pengiriman pesan terenkripsi ujung ke ujung yang paling populer di dunia dengan lebih dari dua miliar pengguna, memungkinkan pengguna untuk bertukar gambar dan video yang hilang segera setelah dibuka.
Namun, ada bug pada cara WhatsApp menerapkan fitur yang disebut “Lihat Sekali” di aplikasi web berbasis browser yang memungkinkan penerima yang berniat jahat untuk menampilkan dan menyimpan gambar dan video, yang seharusnya langsung hilang setelah dilihat.
Fitur “Lihat Sekali” dirancang agar hanya berfungsi pada aplikasi seluler WhatsApp di Android dan iOS. WhatsApp meluncurkan fitur ini pada tahun 2021.
Dalam situasi umum, saat pengguna menerima gambar atau video “Lihat Sekali” saat menggunakan WhatsApp di aplikasi desktop atau aplikasi web, pengguna akan melihat peringatan bahwa gambar atau video tersebut hanya dapat dibuka menggunakan WhatsApp di ponsel mereka.
Sebagai perlindungan privasi tambahan, WhatsApp mencegah pengguna mengambil tangkapan layar atau rekaman layar gambar dan video “Lihat Sekali” di aplikasi Android dan iOS-nya.
Tal Be'ery, seorang peneliti keamanan yang telah meneliti masalah privasi WhatsApp selama beberapa bulan, baru-baru ini menemukan bug tersebut. Pada hari Senin, Be'ery menerbitkan sebuah posting blog yang merinci temuannya.
Be'ery memberikan TechCrunch demo langsung bug tersebut minggu lalu, di mana ia menunjukkan ia mampu mengambil dan menyimpan salinan gambar yang dikirim TechCrunch sebagai “View Once,” saat ia menggunakan WhatsApp di web.
“Satu-satunya hal yang lebih buruk daripada tidak adanya privasi adalah rasa privasi yang salah di mana pengguna diyakinkan bahwa beberapa bentuk komunikasi bersifat pribadi padahal sebenarnya tidak,” kata Be'ery, yang merupakan CTO dan salah satu pendiri dompet kripto Zengo, dalam posting blognya. “Saat ini, 'View Once' WhatsApp merupakan bentuk privasi palsu yang jelas dan harus diperbaiki sepenuhnya atau ditinggalkan,” tulis Be'ery.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang bug di WhatsApp atau aplikasi perpesanan lainnya? Dari perangkat yang bukan untuk kantor, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Be'ery melaporkan bug tersebut kepada perusahaan induk WhatsApp, Meta, melalui platform bug bounty resminya pada tanggal 26 Agustus.
Menanggapi permintaan komentar dari TechCrunch minggu lalu, dan beberapa hari setelah Be'ery mengajukan laporan bug-nya, juru bicara WhatsApp Zade Alsawah mengirim pernyataan: “Kami sudah dalam proses meluncurkan pembaruan untuk melihat sekali di web. Kami terus menghimbau pengguna untuk hanya mengirim pesan lihat sekali kepada orang yang mereka kenal dan percaya.”
Be'ery bukanlah orang pertama yang mengetahui bug ini. Be'ery dan TechCrunch melihat postingan yang mempromosikan beberapa ekstensi browser yang memudahkan untuk melewati fitur “Lihat Sekali” saat menggunakan aplikasi web WhatsApp. TechCrunch juga melihat diskusi aktif tentang cara melewati fitur tersebut di media sosial. TechCrunch tidak menautkan ke postingan tersebut karena tidak membantu pelaku jahat dalam mengeksploitasi bug tersebut.
WhatsApp tidak memberikan batas waktu kapan mereka berencana untuk menyelesaikan pembaruan pada View Once.