- WeChat menggunakan protokol MMTLS yang memiliki kelemahan keamanan signifikan.
- Enkripsi "business-layer" tidak melindungi metadata pengguna dengan baik.
- Peneliti merekomendasikan adopsi standar TLS untuk meningkatkan keamanan.
pibitek.biz -WeChat, aplikasi pesan instan yang populer di seluruh dunia, telah menjadi sasaran kritik dari para peneliti keamanan siber karena penggunaan protokol jaringan yang dimodifikasi. Tim peneliti dari Citizen Lab, sebuah organisasi penelitian keamanan siber di University of Toronto, telah menemukan bahwa WeChat menggunakan protokol kriptografi yang disebut MMTLS, sebuah modifikasi dari protokol TLS 1.3 yang umum digunakan. Modifikasi ini, menurut Citizen Lab, justru memperkenalkan kelemahan keamanan yang signifikan dalam aplikasi WeChat.
2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan 2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan
3 – AI Apple: Kekecewaan dan Keterlambatan 3 – AI Apple: Kekecewaan dan Keterlambatan
MMTLS, yang merupakan protokol keamanan yang dirancang untuk melindungi komunikasi data antara pengguna dan server WeChat, sebenarnya terdiri dari dua lapisan enkripsi, bukan satu seperti yang awalnya diperkirakan. Lapisan pertama adalah enkripsi "business-layer" yang digunakan untuk mengenkripsi konten teks, sedangkan lapisan kedua adalah enkripsi MMTLS yang diterapkan di atasnya untuk melindungi ciphertext dari business-layer encryption. Penelitian Citizen Lab mengumumkan bahwa sebagian besar masalah keamanan kriptografi terletak pada lapisan enkripsi "business-layer" yang menggunakan AES-CBC.
Lapisan enkripsi ini, yang digunakan secara eksklusif sebelum pengenalan MMTLS pada tahun 2016, terbukti rentan terhadap berbagai serangan seperti padding oracle attack. Sayangnya, meskipun MMTLS sekarang digunakan sebagai lapisan enkripsi tambahan, lapisan business-layer masih merupakan titik lemah dalam keamanan WeChat. Salah satu masalah keamanan yang paling serius yang ditemukan oleh Citizen Lab adalah bahwa lapisan enkripsi "business-layer" tidak mengenkripsi metadata seperti ID pengguna dan URI permintaan.
Metadata ini dibiarkan dalam bentuk teks biasa, sehingga dapat diakses oleh penyerang yang berpotensi mengganggu privasi pengguna. Citizen Lab menyoroti potensi risiko keamanan yang dapat ditimbulkan oleh kurangnya enkripsi metadata. Meskipun MMTLS telah berhasil melindungi data yang dienkripsi dari business-layer, server WeChat yang terletak di intranet mereka tetap berisiko terpapar serangan jika lapisan enkripsi business-layer tidak diterapkan dengan benar. Penelitian Citizen Lab menunjukkan bahwa meskipun WeChat menggunakan protokol kriptografi yang lebih kuat, seperti MMTLS, mereka tidak dapat sepenuhnya mengatasi kelemahan keamanan yang ada dalam lapisan enkripsi "business-layer".
Kegagalan untuk mengenkripsi metadata seperti ID pengguna dan URI permintaan yang tidak dienkripsi dapat membahayakan privasi pengguna. Meskipun tidak ada serangan yang diketahui yang dapat mengeksploitasi kelemahan ini saat ini, potensi risiko keamanan ini patut mendapat perhatian serius. Meskipun WeChat memiliki lapisan keamanan tambahan yang disediakan oleh MMTLS, protokol ini tidak serta merta membuat aplikasi ini sepenuhnya aman. Karena MMTLS tidak memberikan enkripsi end-to-end, semua pesan yang dikirim melalui WeChat dapat didekripsi dan dibaca oleh server WeChat.
Ini berarti bahwa meskipun komunikasi pengguna terlindungi dari mata-mata, server WeChat memiliki akses penuh ke konten pesan mereka. Perlu juga dipertimbangkan bahwa WeChat beroperasi di bawah yurisdiksi hukum China. Pemerintah China memiliki hak untuk meminta data pengguna dari perusahaan teknologi, termasuk WeChat, sesuai dengan peraturan hukum setempat. Ini berarti bahwa meskipun WeChat menjanjikan keamanan komunikasi, data pengguna dapat diakses oleh pemerintah China berdasarkan permintaan resmi.
Sisi lain dari cerita ini adalah bahwa peneliti dari Citizen Lab menghadapi kesulitan dalam mengumpulkan data untuk penelitian mereka. Karena mereka tidak memiliki akses ke nomor telepon China, mereka harus menggunakan nomor telepon dari negara lain. Ini mengakibatkan aplikasi WeChat berperilaku berbeda, sehingga penelitian mereka tidak sepenuhnya mencerminkan bagaimana aplikasi tersebut berfungsi di China. Namun, kesulitan peneliti dalam mengakses data dari China tidak mengurangi pentingnya temuan mereka.
Temuan tersebut memberikan bukti yang kuat bahwa WeChat memiliki kelemahan keamanan yang signifikan, yang dapat dieksploitasi oleh penyerang. Bahkan meskipun WeChat tidak memiliki kelemahan keamanan yang diketahui, mereka masih berisiko menghadapi berbagai ancaman keamanan yang dapat membahayakan privasi pengguna. Citizen Lab menyoroti fakta bahwa pendekatan WeChat terhadap keamanan tidak konsisten dengan standar keamanan terbaik di industri. Mereka mengkritik praktik umum di antara pengembang China untuk membuat protokol kriptografi mereka sendiri, daripada menggunakan standar industri seperti TLS 1.3.
Mereka berpendapat bahwa pendekatan yang tidak konvensional ini justru menciptakan risiko keamanan yang tidak perlu dan dapat membahayakan privasi pengguna. Salah satu contoh dari pendekatan yang tidak konvensional ini adalah penggunaan sistem pencarian domain khusus yang disebut NewDNS, yang merupakan bagian dari komponen infrastruktur open-source Tencent Mars. NewDNS dirancang untuk menghindari tindakan pencurian domain oleh ISP yang tidak bertanggung jawab. Namun, Citizen Lab mengkritik desain NewDNS, yang tidak menyediakan enkripsi transportasi, yang membuatnya sangat rentan terhadap serangan.
Citizen Lab juga mengkritik kurangnya dokumentasi resmi tentang implementasi Mars, yang membuat sulit bagi pengembang untuk memahami dan menerapkan fitur-fitur keamanan dengan benar. Hal ini meningkatkan risiko kesalahan dan dapat menyebabkan kelemahan keamanan dalam aplikasi yang menggunakan komponen Mars. Penelitian Citizen Lab telah menunjukkan bahwa WeChat memiliki kelemahan keamanan yang signifikan, yang tidak sesuai dengan reputasinya sebagai aplikasi pesan instan yang aman. Meskipun aplikasi ini telah meningkatkan keamanan dengan menggunakan MMTLS, lapisan enkripsi "business-layer" yang masih digunakan dan kurangnya enkripsi metadata menimbulkan risiko keamanan yang signifikan.
Peneliti telah mengusulkan agar WeChat mempertimbangkan untuk mengadopsi standar TLS atau kombinasi QUIC dan TLS untuk meningkatkan keamanan aplikasi mereka. Hal ini akan memberikan tingkat keamanan yang lebih tinggi dan lebih sejalan dengan praktik terbaik di industri. Namun, apakah WeChat akan mengadopsi rekomendasi ini masih menjadi pertanyaan.
