Pembaruan: WhatsApp telah memberikan respons berikut:
“The Guardian memposting cerita paginya mengklaim bahwa keputusan desain yang disengaja di WhatsApp yang mencegah orang kehilangan jutaan pesan adalah "pintu belakang" yang memungkinkan pemerintah memaksa WhatsApp untuk mendekripsi pesan sungai. Klaim ini salah.
WhatsApp tidak memberi pemerintah "pintu belakang" ke dalam sistemnya dan akan melawan setiap permintaan pemerintah untuk membuat pintu belakang. Keputusan desain yang dirujuk dalam cerita Guardian mencegah jutaan pesan hilang, dan WhatsApp menawarkan notifikasi keamanan kepada orang-orang untuk mengingatkan mereka akan potensi risiko keamanan. WhatsApp menerbitkan a kertas putih teknis pada desain enkripsinya, dan telah transparan tentang permintaan pemerintah yang diterimanya, menerbitkan data tentang permintaan tersebut di Laporan Permintaan Pemerintah Facebook.“
Kisah asli berlanjut di bawah ini.
–
WhatsApp memiliki pintu belakang yang memungkinkan Facebook mencegat dan membaca pesan terenkripsi.
Itu menurut laporan di Penjaga, yang mengklaim cara WhatsApp menerapkan protokol enkripsi end-to-end memungkinkan perusahaan untuk mengakses pesan pribadi, setidaknya secara teori.
Seperti yang dijelaskan dalam laporan tersebut, enkripsi WhatsApp “bergantung pada pembuatan kunci keamanan unik”, yang dibuat menggunakan protokol Signal Open Whisper Systems. Kunci unik ini diperdagangkan dan diverifikasi antar pengguna, untuk memastikan jalur komunikasi aman dari perantara.
Sejauh ini bagus. Namun ternyata WhatsApp juga memiliki kemampuan untuk mengirim ulang pesan yang tidak terkirim secara otomatis, memaksa pembuatan kunci enkripsi baru tanpa sepengetahuan penerima (pengirim hanya diberi tahu, setelah pesan dikirim ulang, jika pengguna telah ikut serta dalam peringatan enkripsi di pengaturan). Yang terpenting, enkripsi ulang ini memungkinkan WhatsApp atau pihak lain menghasilkan kunci yang diketahui, yang memungkinkan mereka mencegat dan membaca pesan.
Penyiapan ini bukan asli dari protokol Signal, yang akan gagal mengirimkan pesan jika kunci keamanan telah diubah saat offline. Sebaliknya, kerentanannya adalah implementasi protokol WhatsApp, yang secara otomatis mengirim ulang pesan yang tidak terkirim dengan kunci baru.
Tobias Boelter, seorang peneliti keamanan dari University of California, Berkeley, menemukan kerentanan tersebut, dan melaporkannya ke Facebook pemilik WhatsApp pada tahun 2016. Dia kemudian diberitahu bahwa itu adalah "perilaku yang diharapkan", dan Penjaga telah dapat memverifikasi bahwa pintu belakang masih ada.
“Jika WhatsApp diminta oleh lembaga pemerintah untuk mengungkapkan catatan perpesanannya, itu dapat secara efektif memberikan akses karena perubahan kunci,” kata Boelter. Penjaga.
Lihat terkait
Pintu belakang juga diverifikasi oleh Steffen Tor Jensen, kepala keamanan informasi dan pengawasan kontra digital di Organisasi Hak Asasi Manusia Eropa-Bahraini. “WhatsApp dapat secara efektif terus membalik kunci keamanan saat perangkat offline dan mengirim ulang pesan, tanpa memberi tahu pengguna tentang perubahan tersebut sampai setelah dilakukan, menyediakan platform yang sangat tidak aman, ”katanya kepada surat kabar itu.
Perhatian WhatsApp terhadap keamanan informasi telah menjadikannya platform pilihan bagi para pembangkang, jurnalis, dan diplomat. Pendukung privasi mengutuk pengungkapan dugaan pintu belakang ini, termasuk Profesor Kirstie Ball, salah satu direktur dan pendiri Pusat Penelitian Informasi, Pengawasan, dan Privasi, yang mengatakan kerentanan adalah “ancaman besar terhadap kebebasan pidato".
“Jika Anda menggunakan WhatsApp untuk menghindari pengawasan pemerintah, hentikan sekarang,” cuitnya Penjaga'S Samuel Gibbs.
“Memiliki pintu belakang keamanan yang memaksa pembuatan kunci enkripsi baru sudah cukup buruk. Tapi tidak membuat penerima menyadari perubahan ini sangat tidak etis,kata Jacob Ginsberg, sdirektur senior di perusahaan perangkat lunak enkripsi Echoworx. "SAYAt mempertanyakan keamanan, privasi, dan kredibilitas seluruh layanan dan bisnis. Fakta bahwa Facebook telah mengetahui tentang kerentanan ini sejak April sangat merusak. Hal ini tidak hanya dapat dilihat oleh banyak orang sebagai pendukung intervensi pengumpulan data pemerintah yang sedang berlangsung, tetapi juga berarti bahwa pembicaraan mereka tentang enkripsi dan privasi tidak lebih dari basa-basi. Perusahaan perlu secara aktif menangani langkah-langkah keamanannya.”
