WhatsApp milik Facebook telah mengungkapkan enam kerentanan yang sebelumnya tidak terungkap, yang kini telah diperbaiki oleh perusahaan.
Celah keamanan terlihat pada laporan situs web penasihat keamanan khusus. Yang akan berfungsi sebagai sumber daya baru yang menyediakan daftar lengkap pembaruan keamanan WhatsApp. Dan Kerentanan Umum dan Eksposur (CVE) terkait.
WhatsApp mengatakan lima dari enam celah keamanan telah teratasi pada hari yang sama. Sementara bug yang tersisa membutuhkan waktu beberapa hari untuk diperbaiki.
Meskipun beberapa bug dapat terlihat dari jarak jauh, perusahaan mengatakan tidak menemukan bukti peretas yang secara aktif mengeksploitasi celah keamanan.
Sekitar sepertiga dari celah keamanan baru terekspose melalui Program Bug Bounty perusahaan. Sementara yang lain terlihat dalam tinjauan kode rutin dan dengan menggunakan sistem otomatis.
WhatsApp adalah salah satu aplikasi paling populer, dengan lebih dari dua miliar pengguna seluruh dunia. Tetapi itu juga merupakan target tetap bagi peretas, yang mencoba menemukan dan mengeksploitasi celah keamanan platform.
Enam kerentanan yang tidak diungkapkan situs keamanan
Situs web baru itu rilis sebagai bagian dari upaya perusahaan untuk lebih transparan tentang bug yang menargetkan aplikasi perpesanan. Dan sebagai tanggapan atas umpan balik pengguna.
Perusahaan mengatakan komunitas WhatsApp telah meminta lokasi terpusat untuk melacak celah keamanan. Karena WhatsApp tidak selalu dapat merinci nasihat keamanannya dalam catatan rilis aplikasi karena kebijakan toko aplikasi.
Dasbor baru selalu update setiap bulan, atau lebih cepat jika harus memperingatkan pengguna tentang serangan aktif. Ini juga akan menawarkan arsip CVE masa lalu yang berasal dari tahun 2018.
Meskipun fokus utama situs web akan berada pada CVE dalam kode WhatsApp. Jika perusahaan mengajukan CVE dengan database publik MITRE untuk celah keamanan yang ada dalam kode pihak ketiga. Itu akan menunjukkannya pada halaman Penasihat Keamanan WhatsApp juga.
Tahun lalu, WhatsApp go public setelah memperbaiki celah keamanan yang diduga digunakan oleh pembuat spyware Israel NSO Group.
WhatsApp menggugat pembuat spyware tersebut. Dan menuduh perusahaan tersebut menggunakan kerentanan tersebut untuk mengirimkan spyware Pegasus ke sekitar 1.400 perangkat. Termasuk lebih dari 100 pembela hak asasi manusia dan jurnalis.
NSO membantah tuduhan tersebut.
John Scott-Railton, peneliti senior Citizen Lab, yang pekerjaannya termasuk menyelidiki NSO Group, menyambut baik berita tersebut.
“Ini bagus, dan kami tahu bahwa aktor jahat menggunakan sumber daya yang luas untuk memperoleh dan mempersenjatai kerentanan”
“WhatsApp mengirimkan sinyal bahwa itu akan bergerak secara teratur. Untuk mengidentifikasi dan menambal dengan cara ini sepertinya cara lain untuk menaikkan biaya bagi pelaku kejahatan.”
Kami sangat berkomitmen terhadap transparansi dan sumber daya ini dengan tujuan untuk membantu komunitas teknologi. Yang lebih luas mendapatkan keuntungan dari kemajuan terbaru dalam upaya keamanan kami.
Kami sangat menganjurkan semua pengguna untuk memastikan bahwa mereka selalu memperbarui WhatsApp mereka dari toko aplikasi masing-masing. Dan memperbarui sistem operasi seluler mereka setiap kali pembaruan tersedia.
Blog WhatsApp
Facebook juga mengatakan Kamis bahwa mereka telah mengkodifikasi kebijakan pengungkapan kerentanannya. Memungkinkan perusahaan untuk memperingatkan pengembang tentang kerentanan keamanan dalam kode pihak ketiga yang ada pada Facebook dan WhatsApp.