.webp)
WhatsApp dan Signal merupakan dua aplikasi messenger yang menjagokan keamanannya. Tapi peneliti keamanan menemukan metode untuk mengekspos data lokasi pengguna WhatsApp dan Signal.
Metode ini ditemukan oleh peneliti dari kelompok advokasi privasi digital RestorePrivacy. Mereka menemukan celah keamanan yang bisa dieksploitasi oleh hacker untuk melacak lokasi pengguna WhatsApp, Signal, dan Threema dengan akurasi hingga 80%.
Hacker atau orang dengan niat jahat bisa mengandalkan 'timing attack' untuk menentukan lokasi pengguna dengan menghitung waktu yang dibutuhkan sampai pesan itu diterima oleh target. Timing ini akan mengindikasikan jarak yang ditempuh oleh pesan tersebut.
SCROLL TO CONTINUE WITH CONTENT
"Karena jaringan internet mobile dan infrastruktur server aplikasi IM memiliki karakteristik fisik tertentu yang menghasilkan jalur sinyal standar, notifikasi ini memiliki delay yang dapat diprediksi berdasarkan posisi pengguna," tulis RestorePrivacy dalam laporannya, seperti dikutip dari 9to5Mac, Senin (24/10/2022).
Hacker bisa menghitung delay untuk menentukan negara, kota, hingga distrik tempat penerima pesan. Bahkan hacker juga bisa mengetahui apakah targetnya menggunakan WiFi atau internet mobile.
Serangan ini memiliki penerapan yang sangat terbatas, jadi hanya bisa digunakan oleh target yang sudah dikenali dan sudah bercakap-cakap lewat WhatsApp, Signal, atau Threema sebelumnya.
Tapi hacker bisa mengulangi serangan ini berkali-kali untuk mendapatkan lokasi yang lebih akurat. Bahkan hacker bisa mengumpulkan dataset untuk menentukan berbagai lokasi yang sering dikunjungi pengguna, termasuk rumah, kantor, hingga gym.
Berdasarkan eksperimen RestorePrivacy, tingkat akurasi deteksi untuk masing-masing aplikasi messenger adalah 82% untuk Signal, 80% untuk Threema, dan 74% untuk WhatsApp. Laporan ini mengindikasikan baik pengguna Android maupun iOS sama-sama rentan terhadap serangan ini.
Untuk mengatasi serangan ini, RestorePrivacy menyarankan penyedia aplikasi messenger untuk menggunakan waktu konfirmasi pengiriman pesan yang acak. RestorePrivacy mengatakan dua dari tiga aplikasi ini sudah menyelidiki masalah tersebut, tapi namanya tidak disebut secara spesifik.
"Apapun dari 1 hingga 20 detik akan cukup untuk membuat timing attack ini tidak bisa dilakukan tanpa merusak fungsi notifikasi status pengiriman," kata RestorePrivacy.
Selain itu, pengguna juga disarankan mengaktifkan VPN untuk meningkatkan latensi atau delay. Pengguna yang khawatir juga bisa menonaktifkan fitur notifikasi pengiriman pesan jika didukung oleh aplikasi messenger yang digunakan.
(vmp/vmp)
