Israel Cyber Security Authority mengirimkan peringatan keamanan kepada seluruh masyarakat Israel terkait lubang keamanan di aplikasi populer WhatsApp. Peringatan tersebut dikirim setelah pihak berwajib menerima banyak laporan terkait pembajakan akun WhatsApp.
Lubang keamanan ini sendiri memanfaatkan fitur verifikasi suara yang dilakukan WhatsApp serta kelemahan fasilitas voicemail.
Modusnya kurang lebih seperti ini. Seperti Anda ketahui, WhatsApp memiliki fasilitas untuk mengganti nomor telepon sebuah akun WhatsApp ke nomor baru. Untuk melakukan verifikasi nomor baru ini, WhatsApp akan mengirimkan SMS berisi angka verifikasi ke nomor lama. Pengguna cukup memasukkan kode tersebut, dan WhatsApp pun akan mengubah akun WhatsApp pengguna tersebut ke nomor baru.
Namun ternyata ada lubang keamanan di sistem verifikasi WhatsApp ini. Ketika SMS berisi kode tidak ditanggapi pengguna, WhatsApp akan mengirimkan SMS lagi. Jika tidak ditanggapi berkali-kali, WhatsApp akan mengganti metode verifikasi dengan mengirimkan pesan suara. Pesan suara tersebut berisi kode verifikasi yang dibacakan.
Di sinilah lubang keamanan terjadi. Seorang hacker yang ingin membajak akun seseorang bisa mengatur supaya verifikasi berbasis SMS tidak direspon oleh pengguna (contohnya di tengah malam atau ketika pengguna jauh dari smartphone-nya).
Jika SMS tidak digubris pengguna, proses verifikasi otomatis akan berubah menjadi pesan suara. Namun ketika pesan suara tersebut tidak diangkat pengguna (lagi-lagi, bisa terjadi ketika pengguna sedang sibuk atau tertidur), pesan suara akan masuk ke voice mail.
Voice mail yang tersimpan di operator sebenarnya dilindungi PIN khusus. Masalahnya, banyak pengguna yang menggunakan PIN standar, seperti 0000 atau 1234. Kelemahan inilah yang dimanfaatkan hacker. Mereka dengan mudah masuk ke voice mail pengguna dan mendapatkan kode verifikasi WhatsApp tersebut.
Ketika itu terjadi, akun WhatsApp korban pun berhasil dibajak hacker.
Yang membuat metode pembajakan ini berbahaya adalah tidak dibutuhkan perangkat khusus untuk melakukannya. Yang dibutuhkan hanyalah kelihaian untuk mengetahui kapan waktu untuk menyerang korban dan kelemahan sistem voice mail dari operator.
Untuk terhindar dari serangan ini, pihak berwajib Israel menyarankan pengguna untuk mengganti kode PIN dari setelan standar. Cara lain adalah mengaktifkan two-factor authentication yang disediakan WhatsApp.