Whatsapp Menemukan 6 Celah Keamanan di Platformnya

Sesuai dengan komitmen transparasi, WhatsApp mengumumkan enam celah keamanan (bug) yang ditemukan di aplikasi pesan mereka.

Salah satu bug yang cukup berbahaya adalah kode CVE-2020-1890, yaitu masalah validasi URL di WhatsApp versi Android dan WhatsApp Business yang memungkinkan pesan stiker berisi data dengan format yang salah dapat memuat gambar dari URL yang dikontrol seseorang tanpa adanya interaksi pengguna.

Pihak Whatsapp sendiri telah melakukan perbaikan terhadap 5 masalah keamanan tersebut pada hari yang sama, sedangkan satu bug membutuhkan waktu beberapa hari namun telah diperbaiki.

Berikut 6 bug yang ditemukan dan telah diperbaiki (patched) oleh tim keamanan Whatsapp:

1. CVE-2020-1894
Memungkinkan eksekusi kode arbitrer ketika memainkan pesan push to talk yang dibuat khusus. Ditemukan pada: WhatsApp Android sebelum versi 2.20.35, WhatsApp Business for Android sebelum versi 2.20.20, WhatsApp untuk iPhone sebelum versi 2.20.30, and WhatsApp Business for iPhone sebelum versi 2.20.30

2. CVE-2020-1891
Masalah parameter yang dikontrol pengguna pada panggilan video. Ditemukan pada: WhatsApp untuk Android sebelum v2.20.17, WhatsApp Business untuk Android sebelum v2.20.7, WhatsApp untuk iPhone sebelum v2.20.20, dan WhatsApp Business untuk iPhone sebelum v2.20.20.

3. CVE-2020-1890
Masalah validasi URL. Ditemukan pada: WhatsApp untuk Android sebelum v2.20.11 dan WhatsApp Business untuk Android sebelum v2.20.2

4. CVE-2020-1889
Masalah bypass fitur keamanan Ditemukan pada: WhatsApp Desktop sebelum v0.3.4932

5. CVE-2020-1886
Masalah Buffer overflow memungkinkan penulisan out-of-bounds melalui koneksi video yang dibuat khusus setelah menerima dan menjawab video call berbahaya. Ditemukan pada: WhatsApp untuk Android sebelum v2.20.11 dan WhatsApp Business untuk Android sebelum v2.20.2 dapat

6. CVE-2019-11928
Masalah validasi input memungkinkan pembuatan skrip lintas situs setelah mengklik tautan dari pesan tertentu. Ditemukan pada: WhatsApp Desktop sebelum v0.3.4932.

Beberapa bug di atas ditemukan melalui program Facebook Bug Bounty, dan sisanya ditemukan oleh staf keamanan Whatsapp sendiri.

Pihak WhatsApp mengatakan akan terus mengumumkan secara terbuka dan memperbaiki semua masalah keamanan dengan cepat melalui laman “Advisory Page”.

Halaman ini akan memberikan update lengkap terkait masalah keamanan WhatsApp dan Kerentanan Umum dan Eksposur (CVE), lengkap dengan deskripsi masing-masing bug yang bertujuan membantu peneliti untuk memahami dampak dari bug tersebut.

Featured image by @antonbe from Pixabay