Privasi jadi janji besar di komunikasi digital. Biasanya ditopang enkripsi ujung ke ujung (E2EE).
Idenya bahwa hanya penerima yang bisa membaca pesan. Pihak ketiga tak bisa mengintip.
Itu yang bikin miliaran orang merasa aman berbicara soal hal pribadi atau strategi kerja.
Masalahnya, rasa aman yang serba mutlak itu ilusi. Enkripsi memang benteng paling penting. Tapi tetap cuma satu lapisan dari rangkaian panjang keamanan.
Keamanan bukan hanya soal data saat dikirim. Kita juga harus melihat tempat data mendarat, yaitu perangkat pengguna. Begitu pesan muncul di layar, tugas enkripsi selesai.
Di sinilah kerentanan end-point sering terjadi. Ancaman justru datang dari celah di ponsel.
Saat perangkat terinfeksi malware atau spyware, enkripsi tidak lagi membantu.
Bayangkan pintu rumah dengan gembok baja. Percuma kalau jendelanya terbuka. Pesan sudah tiba, lalu dicomot begitu saja.
Kasus-kasus terbaru banyak menguatkan hal ini. Sejak awal 2025, The Hacker News menulis soal zero-click exploit yang menyasar pengguna WhatsApp, termasuk jurnalis dan aktivis.
Zero-click artinya korban tak perlu melakukan apa pun. Cukup menerima satu pesan, ponsel langsung disusupi.
Spyware kelas berat seperti Graphite dari Paragon Solutions bisa terpasang. Peretasan terjadi di level sistem operasi perangkat, bukan di protokol enkripsinya (The Hacker News, 2025).
Bukan cuma perangkat aktif yang bermasalah. Cadangan data juga sering jadi pintu masuk.
Banyak aplikasi pesan menawarkan backup ke cloud seperti Google Drive atau iCloud. Opsi backup terenkripsi ada, tapi sering diabaikan.
Banyak orang tetap memilih cadangan standar. Akibatnya, riwayat percakapan lama jadi mudah dijangkau pihak ketiga.
Dari sini, injection attack bisa muncul karena proses backup yang lemah (ResearchGate).
Ada pula isu metadata. Enkripsi E2EE tidak melindungi metadata. Padahal nilainya besar bagi penyerang.
Dari pola komunikasi, mereka bisa memetakan jaringan sosial, menebak hubungan, bahkan membaca perilaku. Konteks percakapan sering kali bisa diterka (arXiv).
Lebih dalam lagi, peneliti menemukan celah di level protokol. Tim dari University of Vienna menyoroti Prekey Depletion Attack, yaitu serangan yang menguras prekey milik korban.
Ketika kunci sementara habis, forward secrecy bisa terganggu dan pesan lama ikut berisiko (USENIX). Ada juga penyalahgunaan mekanisme silent delivery receipts.
Notifikasi penerimaan pesan dapat dibungkam, tapi tetap dimanfaatkan untuk memantau status online dan melacak perpindahan perangkat korban (SBA Research, 2025).
Faktor manusia sering jadi celah terbesar. Peretas tak perlu teknik rumit kalau kelengahan pengguna bisa dieksploitasi.
Phishing dan SIM swap masih populer untuk membajak akun WhatsApp. Korban digiring menyerahkan kode verifikasi yang dikirim via SMS (Keepnet Labs).
Dalam hitungan menit, akun berpindah tangan. Social engineering terjadi di mana-mana, terutama pada pengguna yang belum paham.
Di titik ini, kelengahan manusia menjadi benteng terakhir yang paling rapuh.
Sudut pandang kita perlu disesuaikan. Enkripsi ujung ke ujung itu hebat, dan ya, ia menghalangi penyadapan massal.
Hanya saja, enkripsi bukan perisai mutlak. Keamanan digital adalah tanggung jawab bersama.
Teknologi yang kuat diperlukan, begitu juga kebiasaan pengguna yang benar. Jaga perangkat tetap mutakhir, aktifkan verifikasi dua langkah, dan waspada terhadap segala bentuk penipuan.
Kesadaran pengguna sama pentingnya dengan algoritma enkripsi yang melindungi pesan.
***
Referensi:
- Keepnet Labs. (t.t.). WhatsApp Hacking Methods 2025 & How to Protect Your Account. Diakses dari https://keepnetlabs.com/blog/whats-app-hack-threats-and-protection-strategies
- ResearchGate. (t.t.). Security Analysis of the WhatsApp End-to-End Encrypted Backup Protocol. Diakses dari https://www.researchgate.net/publication/373000639_Security_Analysis_of_the_WhatsApp_End-to-End_Encrypted_Backup_Protocol
- SBA Research. (2025). Gabriel Gegenhuber @ DEF CON 33. Diakses dari https://www.sba-research.org/2025/08/13/gabriel-gegenhuber-def-con-33/
- The Hacker News. (2025). Meta Confirms Zero-Click WhatsApp Spyware Attack Targeting 90 Journalists, Activists. Diakses dari https://thehackernews.com/2025/02/meta-confirms-zero-click-whatsapp.html
- USENIX. (t.t.). Prekey Pogo: Investigating Security and Privacy Issues in WhatsApp's Handshake Mechanism. Diakses dari https://www.usenix.org/system/files/woot25-gegenhuber.pdf
- arXiv. (t.t.). Session: End-To-End Encrypted Conversations With Minimal Metadata Leakage. Diakses dari https://arxiv.org/html/2002.04609v3
Follow Instagram @kompasianacom juga Tiktok @kompasiana biar nggak ketinggalan event seru komunitas dan tips dapat cuan dari Kompasiana. Baca juga cerita inspiratif langsung dari smartphone kamu dengan bergabung di WhatsApp Channel Kompasiana di SINI
