Bug WhatsApp Ini Bikin Pengguna Bisa Diserang Cuma Karena Masuk Grup WA

- Sekelompok tim keamanan Google Project Zero menemukan sebuah bug di aplikasi pesan instan WhatsApp (WA). Bug ini membuat pelaku bisa memanfaatkan file media berbahaya yang otomatis terunduh ke perangkat korban.

Melalui celah ini, korban bisa diserang hanya karena dimasukkan ke grup WhatsApp, tanpa perlu membuka atau mengunduh file secara manual.

Menurut laporan tersebut, serangan bisa terjadi ketika pelaku membuat grup WhatsApp baru, lalu menambahkan target dan setidaknya satu kontak lain.

Setelah itu, pelaku mengirim file media berbahaya ke grup. Jika fitur auto-download aktif, file akan otomatis masuk ke perangkat korban dan bisa menjadi pintu masuk serangan, sebagaimana dirangkum dari Malwarbytes.

Model serangan ini disebut zero-click attack karena tidak membutuhkan tindakan apa pun dari pengguna. Artinya, korban tidak perlu membuka file, menekan link, atau menyetujui unduhan.

Metode ini disebut relatif mudah dilakukan berulang, apabila hacker sudah mengintai target yang dinilai potensial, yakni pengguna WA yang mengaktifkan fitur auto-download.

Meta telah perbaiki

Melansir Forbes, Meta selaku induk WhatsApp mengeklaim telah mengetahui bug yang ditemukan tim Google Project Zero.

Meta mengatakan telah merilis perbaikan menyeluruh. Pada 28 Januari, bug ini telah dilabeli sebagai "telah diperbaiki" di situs Project Zero.

Kendati demikian, tidak ada salahnya pengguna mengambil langkah keamanan untuk antisipasi. Salah satu caranya adalah dengan menonaktifkan fitur auto-download atau unduh otomatis.

Tujuannya adalah agar file yang berpotensi memuat malware berbahaya, tidak terunduh langsung ke perangkat. Caranya sebagai berikut:

Buka WhatsApp
Buka menu Settings
Pilih Storage and data
Pilih Media auto-download

Lalu nonaktifkan semua jenis media di semua kondisi jaringan (ketika menggunakan mobile data, ketika terkoneksi WiFi, dan ketika roaming).

Langkah keamanan lainnya adalah dengan mematikan visibilitas media di galeri agar file yang mungkin tetap terunduh tidak langsung tersimpan di penyimpanan bersama yang bisa diakses aplikasi lain. Caranya, buka Settings > Chats > Media visibility, lalu pilih nonaktifkan.

Anda juga perlu membatasi siapa yang bisa memasukkan ke grup. Sebab, skenario serangan lewat bug ini membutuhkan korban dimasukkan ke grup, pengguna juga disarankan membatasi siapa yang bisa menambahkan mereka ke grup WhatsApp.

Pengguna bisa membuka Settings > Privacy > Groups, lalu mengubah pengaturan dari Everyone menjadi My Contacts atau My Contacts Except.

Terakhir, Anda bisa mengaktifkan verifikasi dua langkah (two-step verification) untuk menambah lapisan keamanan akun.

Fitur ini mewajibkan PIN enam digit saat mendaftarkan nomor WhatsApp di perangkat baru, sehingga akun tetap aman meski kode SMS berhasil disadap.

Pengguna dapat mengaktifkannya melalui Settings > Account > Two-step verification > Enable.

Pakar keamanan menilai kombinasi pembaruan aplikasi, pembatasan auto-download, serta penggunaan verifikasi dua langkah bisa mengurangi risiko serangan siber secara signifikan.

Pengguna juga diingatkan untuk selalu memperbarui aplikasi WhatsApp dan sistem operasi Android agar mendapatkan patch keamanan terbaru.

Tag: #whatsapp #bikin #pengguna #bisa #diserang #cuma #karena #masuk #grup