Cuma Masuk Grup WhatsApp, Akun Pengguna Bisa Jadi Target Hacker Tanpa Klik Apa Pun

Tim peneliti keamanan siber dari Google Project Zero mengungkap celah kritis di WhatsApp yang bisa membuat pengguna menjadi target serangan tanpa sadar. Ancaman ini memanfaatkan fitur unduhan otomatis media, sehingga pesan berbahaya dapat masuk dan diproses di perangkat tanpa perlu klik dari korban.

Serangan semacam ini masuk kategori zero-click attack, yaitu serangan yang tidak membutuhkan interaksi apa pun dari pengguna. Dalam skenario yang dijelaskan peneliti, pelaku dapat memulai dari sebuah grup WhatsApp lalu memasukkan target ke dalam grup bersama anggota lain agar terlihat normal.

Fitur yang Seharusnya Memudahkan, Justru Bisa Disalahgunakan

Fitur autodownload dibuat untuk memudahkan pengguna menerima foto, video, audio, atau dokumen. Namun, dalam temuan Google Project Zero, mekanisme itu justru bisa menjadi pintu masuk bagi file yang telah disisipi kode berbahaya.

Jika pengaturan unduhan otomatis masih aktif, file yang dikirim pelaku dapat tersimpan sendiri ke perangkat target. Setelah itu, malware berpotensi menjalankan perintah berbahaya di latar belakang tanpa memunculkan tanda yang mudah dikenali.

Ancaman ini dinilai serius karena korban tidak perlu membuka pesan, menekan tautan, atau memberi izin apa pun. Proses serangan bisa berjalan diam-diam, sementara pengguna tetap merasa perangkatnya aman.

Bagaimana Skema Serangan Bekerja

Google Project Zero menjelaskan bahwa pelaku lebih dulu membuat grup WhatsApp baru. Setelah itu, target dimasukkan ke grup bersama setidaknya satu anggota lain agar percakapan tampak wajar dan tidak memicu kecurigaan.

Berikut alur serangan yang diuraikan para peneliti:

  1. Pelaku membuat grup WhatsApp.
  2. Target dimasukkan ke grup bersama anggota lain.
  3. File media yang sudah dimodifikasi dikirim ke grup.
  4. File otomatis terunduh jika autodownload aktif.
  5. Malware dapat mulai berjalan di perangkat korban.
  6. Data sensitif berisiko diakses tanpa sepengetahuan pengguna.

Karena serangan berlangsung otomatis, banyak pengguna bisa saja tidak menyadari bahwa perangkat mereka sudah menjadi sasaran. Kondisi ini membuat serangan zero-click lebih sulit dideteksi dibanding teknik peretasan biasa.

Mengapa Serangan Zero-Click Dinilai Berbahaya

Berbeda dari phishing yang umumnya mengandalkan tautan palsu atau bujukan agar korban mengklik sesuatu, zero-click attack tidak memberi kesempatan bagi pengguna untuk waspada lewat kebiasaan umum. Serangan ini memanfaatkan proses yang sudah berjalan di dalam aplikasi.

Para peneliti menilai metode seperti ini sulit diantisipasi hanya dengan kehati-hatian saat membaca pesan. Selama pelaku memiliki target dan dapat memanfaatkan jalur yang berkaitan dengan kontak korban, skema serupa bisa diulang kembali.

Dalam analisis keamanan tersebut, file yang masuk melalui skenario ini dapat langsung tersimpan tanpa konfirmasi tambahan. Jika malware berhasil aktif, risikonya bisa meluas ke pencurian data pribadi, penyadapan aktivitas, hingga akses tidak sah ke dokumen penting.

Risiko yang Mengintai Perangkat Korban

Dampak dari malware yang berhasil masuk tidak berhenti pada satu jenis gangguan. Artikel referensi menyebut sejumlah risiko yang mungkin muncul, termasuk pencurian informasi finansial, pemasangan spyware, pemantauan komunikasi, dan potensi akses ke aplikasi perbankan yang tersimpan di perangkat.

Risiko lain yang juga disebutkan mencakup pengambilalihan akun digital dan akses ke file sensitif tanpa izin. Semakin banyak data penting tersimpan di ponsel, semakin besar pula kerugian yang bisa timbul jika perangkat berhasil disusupi.

Karena itu, keamanan WhatsApp tidak cukup hanya mengandalkan pembaruan aplikasi. Pengguna juga perlu mengatur privasi dan membatasi fitur yang bisa dimanfaatkan pihak tak bertanggung jawab.

Langkah Pengamanan yang Disarankan

Salah satu langkah paling penting adalah menonaktifkan unduhan otomatis media. Caranya, buka aplikasi WhatsApp lalu masuk ke menu pengaturan, pilih storage and data, kemudian cari bagian media autodownload dan nonaktifkan semua jenis media pada jaringan seluler, WiFi, serta roaming.

Pengguna juga disarankan mematikan media visibility agar foto dan video dari WhatsApp tidak otomatis muncul di galeri ponsel. Pengaturan ini bisa dibuka melalui menu settings, lalu chats, kemudian matikan opsi media visibility.

Selain itu, pengguna perlu membatasi siapa yang bisa menambahkan akun ke grup WhatsApp. Caranya masuk ke settings, pilih privacy, lalu buka groups dan ubah pengaturan ke my contacts atau my contacts except. Dengan cara ini, hanya orang tertentu yang bisa memasukkan akun ke grup.

Perlindungan Tambahan untuk Akun WhatsApp

Verifikasi dua langkah atau two-step verification juga penting untuk mengurangi risiko pengambilalihan akun. Fitur ini meminta PIN enam digit saat nomor WhatsApp didaftarkan kembali di perangkat lain, sehingga perlindungan akun menjadi lebih kuat.

Untuk mengaktifkannya, pengguna dapat membuka settings, pilih account, lalu masuk ke menu two-step verification dan tekan enable. Setelah itu, buat PIN enam digit dan tambahkan alamat email untuk pemulihan akun.

Langkah lain yang juga dianjurkan mencakup memperbarui WhatsApp ke versi terbaru, memakai sistem operasi yang rutin mendapat pembaruan keamanan, dan menghindari aplikasi WhatsApp tidak resmi. Pengguna juga perlu memeriksa linked devices secara berkala dan menghapus perangkat yang tidak dikenal.

Kebiasaan sederhana seperti tidak membagikan kode OTP, mengaktifkan kunci biometrik, serta mengecek izin aplikasi secara rutin dapat membantu menekan risiko penyalahgunaan akun. Dalam situasi ketika ancaman siber terus berkembang, fitur kenyamanan seperti grup dan unduhan otomatis perlu dipakai dengan pengaturan yang lebih ketat agar tidak berubah menjadi jalur masuk bagi peretas.

Source: www.beritasatu.com

Terkait