Platform milik Facebook mempopulerkan gagasan bahwa pengiriman pesan yang aman bisa sederhana dan universal. Namun, sebaik apa pun keamanannya, itu tidak cukup dan telah ada berita minggu ini yang seharusnya menjadi peringatan serius bahwa masih banyak yang harus Anda lakukan untuk menjaga keamanan akun WhatsApp Anda.
Siapa pun yang membaca artikel ini mungkin tahu bahwa Anda perlu menggunakan pesan terenkripsi end to end secara default. Jika tidak, maka konten Anda, semua pesan, foto, video, data keuangan dan medis yang dibagikan rentan terhadap intersepsi. Tetapi enkripsi end to end hanya separuh cerita. Ini mengamankan data Anda saat bepergian ke dan dari perangkat Anda. Ini mencegah "over the air", jaringan atau intersepsi server. Tapi begitu data itu diterima di perangkat, perlindungan itu berakhir.
Minggu ini, ada tiga pengingat yang jelas tentang ini. Pertama, berita utama yang menunjukkan bahwa WhatsApp’s uber-secure rival Signal, yang protokolnya digunakan oleh WhatsApp sendiri, telah diretas. Berita utama tersebut dipicu oleh perusahaan keamanan Israel yang mengumumkan "solusi baru untuk mendekripsi aplikasi Signal." Seperti yang dilaporkan satu surat kabar, perusahaan tersebut mengklaim "teknologinya sekarang dapat memecahkan Signal, yang dianggap sebagai aplikasi yang paling terenkripsi dan biasa digunakan oleh jurnalis untuk berkomunikasi dengan sumber."
Kedua, tuntutan hukum antimonopoli yang sekarang menghujani Facebook. Yang ini, di Texas, menuduh bahwa Facebook dan Google telah membuat " backroom deal " untuk mengizinkan Google mengakses cadangan WhatsApp di Google Cloud. Kami menunggu detailnya, untuk melihat apakah klaim ini sama mengkhawatirkan seperti yang terlihat. Apapun hasilnya, bagaimanapun, itu menyoroti masalah yang benar-benar serius, dan alasan lain pengguna WhatsApp perlu mengubah pengaturan mereka.
Ok this claim from the case by Texas (and nine other states) against Google is kind of baffling. Claims Facebook handed WhatsApp messages to Google, even though they were E2E encrypted. pic.twitter.com/hzFpQKUUXE
— Matthew Green (@matthew_d_green) December 17, 2020
Dan ketiga, Peretasan SolarWinds terhadap situs pemerintah dan komersial AS, kisah keamanan siber terbesar dalam beberapa tahun terakhir , mengungkapkan alasannyan mengapa enkripsi end to end sangat dibutuhkan. Tidak ada pengguna yang sadar keamanan dari platform semacam itu yang perlu khawatir bahwa data pesan mereka disusupi di server siapa pun, setidaknya tidak saat sedang dalam perjalanan dari pengirim ke penerima.
Apa yang terjadi pada informasi itu setelah mencapai titik akhirnya, itu cerita yang berbeda. Itulah masalahnya di sini. Kompromi titik akhir.
Tapi mari kita mulai dengan klaim bahwa Signal's — dan, implikasinya, WhatsApp — enkripsi marquee telah "diretas". Apakah benar hal itu merupakan masalahnya? Sebenarnya tidak. Seperti yang ditunjukkan oleh penggemar Signal Edward Snowden , ini tidak ada hubungannya dengan enkripsi end to end. Ini adalah solusi untuk meretas basis data Signal pada ponsel yang tidak terkunci atau yang disusupi, yang membutuhkan kontrol fisik perangkat. “Itu dia,” katanya. Tidak ada keajaiban.
I have been waiting for this for a very long time: https://t.co/qxbuAxNEwB
— Edward Snowden (@Snowden) December 15, 2020
Signal dan WhatsApp mendekripsi pesan terenkripsi end to end dan kemudian menyimpannya di folder di perangkat pengguna. Folder itu dienkripsi. Klaim yang dibuat adalah bahwa dengan akses fisik ke perangkat, lembaga penegak hukum atau pelaku kejahatan dapat mengunduh folder itu dan mendekripsi isinya. Tanpa akses fisik ke perangkat untuk secara diam-diam mengekstrak file-file itu melalui udara, itu tidak dapat dilakukan.
Seperti yang dijelaskan Jake Moore dari ESET, mantan petugas polisi dan ahli forensik digital, “enkripsi end to end berarti pesan tidak dapat disadap oleh penegak hukum dalam transisi antar perangkat. Namun, cara mereka menyiasatinya adalah dengan mendapatkan akses ke perangkat itu sendiri dan menggunakan alat khusus seringkali hanya disediakan untuk penegak hukum. ”
Sulit untuk menyarankan pengguna WhatsApp untuk mematikan opsi cadangan ini. Jika Anda kehilangan perangkat, itu satu-satunya cara untuk memulihkan pesan Anda. Tidak seperti Signal atau iMessage atau Messenger atau Telegram, tidak ada penawaran multi-perangkat asli dengan WhatsApp, hanya ada satu basis data pesan, yang ada di ponsel Anda. Tapi begitu Anda mencadangkan data ke cloud, Anda melepaskan kendali fisik atas data itu, seperti menyerahkan telepon Anda. Jelas, setiap pengguna perlu memutuskan sendiri keseimbangan yang tepat antara cadangan data jika perangkat hilang versus integritas dan keamanan data tersebut.
Kenyataan sebenarnya adalah bahwa cadangan cloud dari pesan terenkripsi end to end membuat enkripsi ujung ke ujung itu tidak valid. Kecuali jika Anda sangat khawatir kehilangan ponsel Anda, sebaiknya matikan. iCloud tetap menjadi cara yang direkomendasikan WhatsApp untuk mentransfer pesan saat Anda memperbarui ke iPhone baru, tetapi sekarang transfer langsung Apple bekerja dengan sangat baik, menduplikasi perangkat lama Anda ke yang baru, Anda tidak memerlukan iCloud dengan cara yang sama.
Ada juga pengaturan lain yang sekarang harus Anda ubah di WhatsApp. Jika datanya tidak ada, maka tidak berisiko. Meskipun Anda tidak dapat mengontrol apa yang terjadi pada pesan yang Anda kirim ke orang lain — mereka dapat menyalin atau mengambil tangkapan layar, jika pesan tersebut hilang setelah waktu yang ditentukan, kemungkinan besar pesan tersebut hilang untuk selamanya. WhatsApp telah menambahkan versi dasar yang mengecewakan dari fungsi tersebut tujuh hari adalah satu-satunya pilihan dan tidak ada pengalihan yang mudah untuk pesan individual dalam obrolan. Mudah-mudahan mereka akan mengubahnya dan lebih mendekati opsi yang sekarang ditawarkan oleh rival.
Untuk data yang sangat sensitif, sarannya adalah mengatur pesan agar menghilang. Ini termasuk informasi keuangan atau medis, segala sesuatu yang bersifat pribadi atau membahayakan. Jika tidak perlu disimpan di ponsel orang lain, berpotensi di backup cloud mereka, maka setel untuk menghilang. Jendela waktu singkat. Tetapi opsi tujuh hari lebih baik daripada membiarkan data tersebut disimpan dalam riwayat pesan selamanya.
Jika Anda menjaga keamanan perangkat, tidak mengizinkannya disusupi, dan tidak mencadangkan data aman ke cloud, maka satu-satunya cara untuk mengakses data Anda adalah dengan backdoor.