Berkat sistem enkripsi end-to-end terbaru, aplikasi messenger terfavorit didunia saat ini menjanjikan privasi absolut untuk penggunanya. Namun, sistem ini punya celah yang membahayakan keamanan. Sebanyak lebih dari semilyar orang kini menggunakan WhatsApp untuk berkomunikasi dengan teman, keluarga, rekan kerja, dan sebagainya. Ini masalahnya, sebelumnya 42 milyar pesan melalui server WhatsApp setiap harinya bisa dibaca oleh siapapun yang memiliki sumber daya dan pengetahuan yang tepat, misalnya agensi intelijen dan hacker. Tetapi WhatsApp telah menjalankan sistem enkripsi en-to-end diseluruh strukturnya untuk menyulitkan pengintip pesan tersebut.
Kendati demikian, masih ada pengguna yang skeptis mengenai apakah layanan yang messenger yang dimiliki oleh facebook ini menepati janjinya,?. Janji untuk memberikan sistem keamanan yang bisa digunakan semua orang. CHIP mengintip situasi saat ini melihat seberapa amankah WhatsApp digunakan?
WhatsApp menggunakan protokol sinyal open source (yang sebelumnya disebut protokol Axolotl) untuk mengamankan komunikasinya. Protokol ini dikembangkan oleh peneliti keamanan data moxie Marlinspike. Marlinspike memilki reputasi yang sangat terpandang di lingkaran komunitas keamanan IT. Ia juga adalah pendiri dari organisasi software ‘Open Whisper System’ yang telah berhasil menghasilkan ‘signal’ aplikasi crypto-messenger.
Bila dilihat dari sudut pandang teknikal, protokol sinyal melibatkan prosedur enkripsi asymmetrical dengan infrastruktur kunci publik. Pasangan kunci yang diperlukan untuk enkripsi dan deskripsi dibuat ketika client WhatsApp dipasang di Smartphone. Ketika pengguna masuk kedalam sistem WhatsApp, kunci publik akan disimpan di server WhatsApp. Sesuai dengan dokumen teknis, server WhatsApp tidak dapat mengakses kunci pribadi, yang tersimpan didalam smartphone. Ini artinya pengguna tidak perlu mengingat lagi kunci pribadi smartphone yang menjadi kuncinya.
WhatsApp mengiskripsi semua data termasuk teks hingga pesan suara. Hal ini juga termasuk panggilan telepon yang dilakukan melalui layanannya. Sebelum pesan pertama disampaikan, smartphone client yang menjadi partner chat akan memberikan kunci publik dan menjadi kunci root bersama serta serial key. Serial key kemudian digunakan untuk menghasilkan kunci sementara yang terpisah untuk setiap pesan. Untuk memastikan prosedur rahasia yang sempurna, kunci tersebut akan diubah secara permanen. Itu sebabnya penyerang yang mengetahui kunci individu tidak akan dapat menterjemahkan pesan yang telah lalu atau yang akan disampaikan.
Sistem enkripsi ini dapat dikatakan aman, karena tidak ada orang yang melaborkan adanya lubang keamanan di protokol sinyal (usaha hack ke WhatsApp yang dikatakan dilakukan oleh developer antivirus John McAfee ternyata hanyalah guraun sebuah PR). Namun, ia akan aman selama komunikasinya terjadi antara dua smartphone saja. Client web dan desktop tidak demikian.
Semenjak tahun lalu, pengguna dapat menjalankan WhatsApp dengan bantuan browser PC. Client untuk windows dan OS X dirilis pada bulan mei 2016 yang lalu. Secara prinsip, aplikasi ini adalah semacam remote control untuk aplikasi di smartphone, yang mencerminkan account, dan semua data yang ada didalamnya ke dalam komputer. Kita hanya perlu menggunakan aplikasi smartphone untuk menggunakan aplikasi smartphone untuk melakukan scan QR Code di Client web atau PC. Komputer kemudian melakukan koneksi aman melalui HTTPS dari samrtphone. Bukannya melakukan via lokal (misalnya melaui WLAN), ia melakukannya melalui internet.
Metode ini adalah masalah besar untuk sistem enkripsi end-to-end. Bila seperti klaim WhatsApp pada panduan teknikalnya, server tidak dapat mengakses kunci pribadi pengguna, maka seharusnya client web dan deskto juga tidak mengaksesnya, yang menggunakan server WhatsApp untuk melakukan sinkronisasi dengan Smartphone. Artinya, enkripsi pesan end-to-end yang digunakan sebelumnya telah dihilangkan dan digantikan dengan sistem enkripsi pembawa yang lebih lema, yang tentunya lebih rentan terhadap serangan pihak ketiga.
Skenario lain yang masuk akal, meskipun komunikasi antara aplikasi smartphone dan client dilindungi oleh enkripsi end-to-end, kunci pribadi pengguna sebelumnya harus di kirimkan via internet. Namun, kunci tersebut dapat dihadang di tengah jalan prosedur ini, maka situasinya bisa menjadi lebih buruk lagi dan cukup berbahaya.
WhatsApp sendiri masih belum siap untuk menjawab apapun mengenai masalah ini. Panduan teknisnya tidak sama sekali menyebutkan client web dan desktop, serta WhatsApp tidak menjawab permintaan penjelasan dari CHIP. Apapun skenario yang ada pada client eksternal tersebut, pengguna yang menghargai pentingnya enkripsi end-to-end sebaiknya menjauhkan diri dari client tersebut.
WhatsApp ternyata menepati janjinya akan sistem enkripsi yang mudah untuk digunakan oleh seluruh pengguna WhatsApp. Untuk mendapatkannya luar biasa mudah. Guna mengaktifkan enkripsi end-to-end, kedua smartphone atau semua yang terlibat (dalam hal ini pada group chat) hanya perlu meng-update aplikasinya. Berkat paksaan WhatsApp untuk meng-update aplikasi penggunanya, hanya tinggal menunggu waktu saja sampai semua pengguna WhatsApp menggunakan enkripsi tersebut.
