Kalau kalian sering nongkrong di forum underground atau ngulik Bug Bounty, kalian pasti tahu kalau “Zero-Click Exploit” itu adalah holy grail-nya para threat actor. Bayangkan skenarionya: kalian nggak perlu kirim link phishing, nggak perlu rayu korban buat install APK undangan nikah palsu, dan korban nggak perlu melakukan interaksi apa pun. HP mereka ada di saku, tiba-tiba layarnya mati, dan shell akses root sudah pindah tangan ke penyerang.
Kedengarannya seperti adegan film Mr. Robot? Sayangnya, ini realita yang baru saja dikonfirmasi terjadi di WhatsApp.
Tim elite Google Project Zero baru saja membuka “kotak pandora” mengenai kerentanan kritis di WhatsApp Android dan iOS. Celah ini memungkinkan penyerang mengirim file media berbahaya ke grup, yang kemudian dieksekusi secara otomatis oleh sistem tanpa sepengetahuan kalian. Meta memang sudah merilis perbaikan, tapi kalau kalian masih pakai default settings, kalian sebetulnya masih main api.
Secara teknis, celah ini sebenarnya sangat “cantik” tapi mengerikan, dan menjadi alasan kenapa Pavel Durov sampai bilang pengguna WhatsApp itu “braindead” kalau masih percaya platform ini aman.
Peringatan Mendesak
Jika Anda belum melakukan update WhatsApp ke versi terbaru (akhir Januari 2026) dan belum mematikan fitur “Media Auto-Download”, perangkat Anda masih berada dalam zona bahaya eksploitasi remote code execution.
Anatomi Serangan: MediaStore sebagai Pintu Belakang
Mari kita bedah teknisnya. Masalah utamanya bukan pada enkripsi end-to-end (E2EE) WhatsApp, melainkan bagaimana aplikasi menangani file media yang masuk. Dalam ekosistem Android, ada komponen yang namanya MediaStore. Ini adalah database terpusat yang mengindeks semua foto, video, dan audio di perangkat kalian supaya bisa dibaca oleh galeri atau aplikasi lain.
Rincian Kerentanan (Vulnerability Details)
Vulnerability ID | Project Zero Issue 442425914 (Android) / CVE-2025-55177 (iOS/macOS) |
Tipe Serangan | Zero-Click RCE (Remote Code Execution) |
Vektor | Media Auto-Download via Group Chat |
Platform | Android, iOS, macOS (Desktop) |
Dampak | Critical (Pengambilalihan Sistem) |
Normalnya, ketika ada file masuk ke MediaStore, sistem akan mencoba membaca metadata atau membuat thumbnail. Di sinilah celahnya. Penyerang bisa menyisipkan payload berbahaya ke dalam file gambar atau video yang diformat secara khusus (malformed file).
Ketika fitur Media Auto-Download aktif—setting bawaan WhatsApp—file jahat itu langsung masuk ke penyimpanan lokal begitu dikirim ke grup. Kalian bahkan nggak perlu buka chat-nya. Proses background WhatsApp akan mengunduhnya, menyerahkannya ke parser sistem operasi, dan boom: buffer overflow terjadi, memicu eksekusi kode arbitrer.
Ini yang disebut targeted attack. Penyerang hanya perlu tahu nomor HP kalian, memasukkan kalian ke grup baru (atau menggunakan grup yang sudah ada), dan mengirim paketnya. Karena file tersebut otomatis terunduh, serangan terjadi secara instan.
Kenapa Ini Sangat Berbahaya di Indonesia?
Kultur pengguna WhatsApp di Indonesia itu unik. Kita punya grup untuk segalanya: grup keluarga besar, grup RT/RW, grup kantor, grup alumni SD sampai kuliah. Attack surface-nya jadi sangat luas.
Bayangkan satu orang threat actor menyusup ke grup publik “Info Loker Jabodetabek” yang isinya 200 orang. Dia kirim satu gambar GIF yang sudah disusupi exploit. Detik itu juga, 200 perangkat yang fitur auto-download-nya aktif berpotensi terinfeksi spyware tanpa ada satu pun yang sadar.
Timeline Pengungkapan: 90 Hari yang Menegangkan
Di dunia ethical hacking, ada aturan main yang disebut Responsible Disclosure. Penemu bug (dalam hal ini Google Project Zero) melapor ke vendor (Meta), dan vendor punya waktu (biasanya 90 hari) untuk menambal sebelum bug itu diungkap ke publik.
Berikut kronologi “drama” di balik layar antara Google dan Meta:
Perjalanan CVE-2025-55177
Laporan Awal
Google Project Zero kirim temuan privat ke Meta. Argumen: Critical Zero-Click.
Deadline 90 Hari
Batas waktu disclosure habis. Meta rilis server-side mitigation (tambalan sementara di server).
Public Disclosure
Detail teknis mulai bocor ke publik via Forbes dan pakar keamanan.
Patch Menyeluruh
Meta konfirmasi update aplikasi client-side (di HP pengguna) sudah disebar global.
Yang menarik di sini adalah jeda waktu antara November 2025 dan Januari 2026. Meskipun Meta mengklaim sudah ada server-side fix (kemungkinan filter di server WhatsApp yang menolak file malformed), sejarah membuktikan bahwa filter server seringkali bisa di-bypass. Keamanan sejati baru terjadi saat aplikasi di sisi client (HP kita) benar-benar di-update kode parser-nya.
Telegram Mengambil Panggung (Lagi)
Bukan Pavel Durov namanya kalau nggak memanfaatkan momen blunder pesaingnya. CEO Telegram ini langsung melontarkan kritik pedas—dan jujur saja, agak kasar—mengenai insiden ini.
“You’d have to be braindead to believe WhatsApp is secure in 2026.” — Pavel Durov.
Jujur saja, pernyataan ini ada benarnya meski terasa berat sebelah. Di satu sisi, Durov benar bahwa arsitektur WhatsApp yang sangat bergantung pada komponen OS dan fitur “kenyamanan” (seperti auto-download dan backup cloud) membuka banyak celah.
Tapi di sisi lain, perlu diingat: Telegram secara default TIDAK menggunakan enkripsi end-to-end (E2EE) untuk chat personal, sementara WhatsApp menggunakannya secara default. Jadi, ini ibarat memilih racun: mau risiko dieksploitasi lewat bug aplikasi (WhatsApp), atau risiko data chat tersimpan di server orang lain tanpa enkripsi kunci pribadi (Telegram reguler)? Pilihan ada di tangan kalian, tapi jangan telan mentah-mentah marketing dari kedua belah pihak.
Langkah Mitigasi: Jangan Cuma Andalkan Patch
Oke, Meta bilang ini sudah “diperbaiki”. Zak Doffman dari Forbes juga mengonfirmasi bahwa Meta telah menutup celah ini. Tapi bagi yang paranoid (atau sekadar waspada), jangan pernah percaya 100% pada patch perangkat lunak. Selalu ada varian exploit baru yang dikembangkan.
Satu-satunya cara mematikan vektor serangan ini secara permanen adalah dengan mengubah behavior aplikasi. Berikut SOP yang wajib kalian terapkan sekarang juga:
1. Matikan Media Auto-Download (Wajib!)
Ini langkah paling krusial. Dengan mematikan ini, serangan Zero-Click berubah menjadi One-Click. Kalian harus secara sadar menekan tombol unduh untuk melihat gambar. Ini memberi jeda bagi otak (dan mungkin antivirus) untuk bekerja.
- Caranya: Settings > Storage and Data > Media Auto-Download.
- Ubah semua opsi (Mobile Data, Wi-Fi, Roaming) menjadi “No Media”. Ya, semuanya. Jangan malas klik gambar.
2. Aktifkan Advanced Privacy Mode
WhatsApp punya fitur tersembunyi yang jarang dibahas orang awam: Protect IP Address in Calls. Meski fokusnya untuk panggilan, fitur ini seringkali mengaktifkan relay privacy yang lebih ketat pada koneksi data.
- Caranya: Settings > Privacy > Advanced > Aktifkan “Protect IP address in calls”.
3. Update Rutin (Jelas)
Pastikan WhatsApp kalian ada di versi terbaru (pasca 30 Januari 2026). Cek Play Store atau App Store sekarang. Jangan tunda notifikasi update.
Tips untuk Pengguna Desktop
Celah ini juga berdampak pada WhatsApp Desktop (macOS/Windows) karena sinkronisasi file. Pastikan aplikasi desktop Anda juga diperbarui ke versi terbaru, jangan cuma update yang di HP.
Kesimpulan: Kenyamanan vs Keamanan
Kasus Zero-Click dari Project Zero ini adalah tamparan keras buat kita semua. Kita sering lupa bahwa aplikasi chatting bukan cuma alat kirim teks, tapi mesin pemroses data yang sangat kompleks. Setiap fitur yang memudahkan hidup kita—seperti gambar yang langsung muncul tanpa diklik—adalah potensi lubang yang bisa dimasuki hacker.
Bagi pengguna di Indonesia, ini peringatan serius. Jangan biarkan HP kalian jadi pintu masuk terbuka hanya karena malas tap layar untuk download gambar.
Keamanan siber itu bukan produk yang kalian beli atau aplikasi yang kalian install. Keamanan siber adalah mindset dan kebiasaan. Matikan auto-download, dan kalian sudah selangkah lebih maju dari 90% target potensial di luar sana.
Tetap waspada, rajin update, dan jangan pernah percaya seratus persen pada pengaturan bawaan.