Kerentanan JavaScript di WhatsApp Desktop, Ini Cara Kerjanya
Ilustrasi : Faisal Hafis/Cyberthreat.id
Cyberthreat.id - Pekan ini seorang peneliti cybersecurity dari PerimeterX melaporkan kerentanan WhatsApp versi desktop yang cukup menghebohkan. WhatsApp, memiliki 1,5 miliar pengguna aktif bulanan, ditemukan memiliki kerentanan JavaScript di platform desktop yang memungkinkan penjahat cyber menyusup ke dalam sistem dengan muatan Malware.
Peneliti Gal Weizman yang disebut sebagai bug-hunter menyatakan, hacker dapat masuk melalui pesan pemberitahuan yang tampak sangat normal bagi pengguna WhatsApp sehingga tidak menaruh curiga sedikitpun.
Kerentanan yang ditemukan dijuluki sebagai CVE-2019-18426, lubang di cross site scripting (XSS) ini berpotensi memungkinkan penyerang untuk mencapai sistem file lokal pengguna hanya dengan mengirim pesan yang dibuat secara khusus.
Cacat ini mempengaruhi versi desktop WhatsApp sebelum 0.3.9309 yang dipasangkan dengan WhatsApp versi iPhone sebelum 2.20.10.
Bagaimana cara kerjanya?
Platform WhatsApp desktop memiliki lebih dari 1,5 miliar pengguna aktif bulanan. Artinya, banyak orang yang berpotensi menghadapi serangan akibat kerentanan ini.
1. Kerentanan muncul di versi aplikasi Windows dan Mac, di mana ia (kerentanan) mengelola banner atau pratinjau (preview) tautan web dalam pesan.
2. Kode JavaScript yang dilampirkan pada banner berbahaya dapat memintas (bypass) mekanisme perlindungan dan mengakses sistem file lokal korban.
3. Menurut peneliti, inti dari cacat terletak pada mesin browser Chromium dalam kerangka aplikasi Electron.
4. WhatsApp, kata peneliti, mengandalkannya guna menyediakan antarmuka (interface) pengguna untuk klien desktopnya.
5. Meskipun bug cross-site scripting (XSS) telah ditambal sebelumnya di Chromium, WhatsApp menggunakan versi Electron yang lebih lama untuk Chromium.
Weizman mengatakan, "Electron adalah platform keren yang memungkinkan Anda membuat aplikasi asli (native) menggunakan fitur web standar. Ini membuat segalanya sangat mudah bagi banyak perusahaan besar karena memungkinkan mereka untuk memiliki satu kode sumber untuk kedua aplikasi web dan aplikasi desktop native. Electron terus-menerus meng-update bersama dengan platform yang didasarkan pada Chromium".
