Seorang karyawan Amazon sebelumnya hari ini tweeted rincian tentang sebuah insiden yang banyak menyarankan bisa menjadi tanda bug privasi besar dalam aplikasi pesan Whatsapp terenkripsi ujung-ke-ujung paling populer yang dapat mengekspos beberapa pesan rahasia Anda dalam keadaan tertentu.
Menurut Abby Fuller, ia menemukan beberapa pesan misterius di WhatsApp, terutama yang tidak terkait dengan kontaknya, segera setelah ia membuat akun baru dengan aplikasi perpesanan di telepon barunya menggunakan nomor baru untuk pertama kalinya.
Fuller percaya bahwa konten yang muncul secara misterius di akun barunya adalah riwayat pesan yang terkait dengan akun WhatsApp dari pemilik sebelumnya dari nomor SIM / ponsel yang sama, yang didorong oleh WhatsApp ke teleponnya.
Karena untuk WhatsApp, nomor telepon Anda adalah nama pengguna Anda dan kata sandi adalah OTP yang dikirimkannya ke nomor itu, itu bukan kerentanan. Ini adalah bagaimana layanan ini bekerja.
Dalam sebuah posting blog, WhatsApp telah secara eksplisit menyebutkan bahwa itu adalah "praktik umum bagi penyedia ponsel untuk mendaur ulang angka, Anda harus berharap bahwa nomor lama Anda akan dipindahkan."
Dalam tweetnya, Fuller mengatakan bahwa riwayat obrolan yang muncul adalah "bukan LENGKAP, tapi percakapan utas / DM yang sebenarnya," ia belum mengkonfirmasi apakah pesan-pesan itu juga termasuk pesan yang dikirim oleh pemilik SIM sebelumnya.
Namun, setahu saya, mengatur WhatsApp pada perangkat baru menggunakan nomor telepon baru tidak dapat mengembalikan arsip pesan penuh dari pemilik sebelumnya karena perusahaan tidak pernah mencadangkan percakapan terenkripsi Anda di servernya.
Namun, ia terus menunggu pesan di servernya sampai dikirim ke penerima ketika mereka kembali online.
Ini menunjukkan bahwa pesan Fuller yang ditemukan di akun Whatsapp yang baru dibuatnya mungkin hanya pesan yang tidak terkirim yang dikirim oleh kontak pemilik sebelumnya setelah dia berhenti menggunakan nomor SIM itu.
Selain itu, untuk mencegah pesan Anda sebelumnya masuk ke perangkat lain, WhatsApp merekomendasikan pengguna untuk menghapus akun mereka sebelum berhenti menggunakan SIM atau mengurangi akun WhatsApp dengan fitur "Ubah nomor" yang tersedia di pengaturan aplikasi.
Selain itu, jika Anda lupa untuk menghapus akun lama Anda, WhatsApp secara otomatis menghapus pesan yang tidak terkirim dari servernya 45 hari setelah Anda tetap offline, mencegah pemilik baru dari nomor lama Anda menerima pesan tersebut.
Namun, Fuller mengklaim bahwa ia memiliki nomor telepon barunya selama berbulan-bulan, yaitu lebih dari 45 hari, dan mungkin disebabkan oleh beberapa bug karena WhatsApp gagal menghapus pesan-pesan itu dari servernya yang dikaitkan dengan pemilik SIM sebelumnya.
Inilah Yang Bisa Terjadi
Beberapa situs teknologi dan pengguna di Twitter, Reddit saat ini menyarankan agar WhatsApp "mekanisme penghapusan pesan 45 hari" berisi bug yang pada akhirnya menjaga pesan yang tidak terkirim disimpan di server perusahaan untuk jangka waktu yang lebih lama setelah penerima berhenti menggunakan akun mereka.
Namun, mereka semua melewatkan fakta penting di sini - Anda tidak perlu SIM untuk tetap menggunakan akun WhatsApp Anda, setelah dikonfigurasi di telepon.
Itu berarti, ada kemungkinan bahwa pemilik lama SIM itu masih menggunakan akun WhatsApp-nya setelah membuang nomor SIM hingga Fuller baru-baru ini mengkonfigurasi nomor yang sama dan memverifikasi akun menggunakan OPT yang diterima di teleponnya.
Jadi, dengan keyakinan tinggi, kita dapat mengatakan bahwa pesan yang muncul di ponsel Fuller hanya beberapa pesan yang belum terkirim yang seharusnya diterima oleh pengguna lama saat online pagi ini.
Bagaimana dengan Kunci Enkripsi WhatsApp?
Terakhir, jika Anda berpikir bagaimana pengguna baru dengan kunci pribadi WhatsApp baru di teleponnya dapat menerima / membaca pesan yang sebenarnya dienkripsi ujung-ke-ujung menggunakan kunci pribadi pemilik sebelumnya, Anda harus membaca artikel kami sebelumnya sini.
Kisah ini juga menyoroti ancaman privasi yang dilontarkan reporter Guardian dua tahun lalu dalam cara WhatsApp mengimplementasikan protokol, di mana perusahaan, secara default, mempercayai kunci enkripsi baru yang disiarkan oleh kontak dan menggunakannya untuk secara otomatis mengenkripsi ulang pesan yang tidak terkirim dan mengirimkannya. kepada penerima tanpa memberi tahu atau meninggalkan peluang bagi pengirim untuk memverifikasi penerima.
Kami telah menghubungi tim WhatsApp dan menunggu komentar mereka. Kami akan memperbarui cerita segera setelah kami mendengar kabar dari mereka.