REPUBLIKA.CO.ID, JAKARTA -- Aplikasi perpesanan WhatsApp telah menerbitkan rincian-rincian kerentanan keamanan berperingkat kritis yang memengaruhi aplikasi Androidnya. Hal ini dapat memungkinkan para penyerang menanam malware dari jarak jauh di ponsel cerdas korban selama panggilan video.
Dilansir dari Tech Crunch, Rabu (28/9/2022), detail cacat, dilacak sebagai CVE-2022-36934 dengan peringkat keparahan yang ditetapkan 9,8 dari 10, dijelaskan oleh WhatsApp sebagai bug integer overflow. Ini terjadi saat aplikasi mencoba melakukan proses komputasi tetapi tidak memiliki ruang di memori yang dialokasikan, menyebabkan data tumpah dan menimpa bagian-bagian lain dari memori sistem dengan kode yang berpotensi berbahaya.
WhatsApp tidak membagikan detail lebih lanjut tentang bug tersebut. Tetapi firma riset keamanan Malwarebytes mengatakan dalam analisis teknisnya sendiri bahwa bug tersebut ditemukan dalam komponen aplikasi WhatsApp yang disebut “Video Call Handler,” yang jika dipicu akan memungkinkan penyerang mengambil kendali penuh atas aplikasi korban.
Ketika dihubungi untuk dimintai komentar, WhatsApp tidak segera mengatakan apakah mereka memiliki bukti eksploitasi aktif atau jika kerentanan ditemukan di dalam perusahaan.
Kerentanan memori yang dinilai kritis mirip dengan bug 2019, yang akhirnya disalahkan WhatsApp pada pembuat spyware Israel NSO Group pada 2019 karena digunakan untuk menargetkan 1.400 ponsel korban, termasuk jurnalis, pembela hak asasi manusia, dan warga sipil lainnya. Serangan itu memanfaatkan bug di fitur panggilan audio WhatsApp yang memungkinkan penelepon memasang spyware di perangkat korban, terlepas dari apakah panggilan itu dijawab atau tidak.
WhatsApp juga mengungkapkan rincian kerentanan lain minggu ini, CVE-2022-27492, dengan tingkat keparahan tinggi pada 7,8 dari 10, yang dapat memungkinkan peretas menjalankan kode berbahaya pada perangkat iOS korban setelah mengirim file video berbahaya.
“Manipulasi dengan input yang tidak diketahui menyebabkan kerentanan korupsi memori,” kata Pieter Arntz, seorang peneliti intelijen di Malwarebytes.
Untuk mengeksploitasi kerentanan ini, penyerang harus menjatuhkan file video yang dibuat pada messenger WhatsApp pengguna dan meyakinkan pengguna untuk memainkannya. Kedua kekurangan tersebut ditambal di WhatsApp versi terbaru.