Extension baru kerjasama dari WhatsApp dan Cloudflare yang dinamakan Code Verify akan memberikan lapisan ekstra bagi keamanan WhatsApp Web

WhatsApp baru-baru ini telah meluncurkan browser extension baru mereka yang bersifat open source untuk melindungi pemakai layanan online messaging tersebut. Code Verify didesain untuk memverifikasi keabsahan (authentication) dari kode WhatsApp Web yang dijalankan di browser. Hal ini akan memberikan keamanan ekstra bagi para pengguna yang mengedepankan keamanan dan sangat peduli dengan privacy. Hal ini sangat penting dilakukan bagi pengguna karena tambahan ini akan memastikan bahwa versi web dari aplikasi chat ini tidak disusupi oleh kode yang tidak aman, atau adanya campur tangan pihak lain.

Dalam sebuah post di laman Facebook, perusahaan ini menyatakan bahwa WhatsApp menyadari setelah mereka meluncurkan fitur yang memungkinkan satu akun WhatsApp melakukan login multi-device pada tahun lalu, termasuk dalam versi web, mereka melihat kenaikan dalam jumlah besar dalam pengguna yang mengakses langsung melalui web browser mereka. Apalagi ditambah dengan update fitur yang memungkinkan sistem multi-device ini mencakup empat buah device terpisah secara bersamaan tanpa harus melakukan tether pada ponsel seperti sistem sebelumnya, meski link untuk koneksi harus diinisiasi oleh aplikasi dari ponsel.

Dengan adanya perubahan ini, WhatsApp menambah tingkatan dan langkah keamanan untuk menjamin bahwa versi web dari chat app ini sama amannya dengan versi aplikasi ponsel mereka. Karena tidak seperti versi mobile app yang tiap instalasi dan update akan diverifikasi serta diawasi oleh app store resmi, versi web tidak memiliki tahapan ini. Oleh karena itu, dengan adanya alasan utama ini, ditambah beberapa alasan lainnya, multi-device login dalam satu akun dianggap bisa melemahkan keamanan web browser, terutama web browser yang tidak memiliki versi mobile app, misalnya versi browser extension.

Perusahaan ini kemudian bekerja sama dengan perusahaan infrastruktur web terkemuka, Cloudflare, untuk meluncurkan Code Verify, yang diklaim oleh WhatsApp merupakan sistem yang memberikan verifikasi transparan, independen dan berasal dari pihak ketiga dalam WhatsApp Web. Hal ini memastikan kode WhatsApp Web kita tidak akan tersadap atau terganti oleh pihak lain. Ketika WhatsApp melindungi pesan personal yang dikirimkan dengan menggunakan enkripsi end-to-end saat mereka transit dari pengirim ke penerima pesan, masih tetap ada banyak faktor yang dapat melemahkan perlindungan ini, terutama jika menggunakan versi web browser dimana hal ini tidak terjadi dalam aplikasi ponsel.

Dalam waktu yang bersamaan, saat sistem operasi mobile seperti iOS dan Android dibangun berasal dari versi web, jaminan keamanan pada app mobile lebih kuat, terutama saat bagaimana app store mereview, menyetujui aplikasi baru dan juga saat update software.

Sebagai tambahan, ketika meluncurkan Code Verify untuk WhatsApp Web, WhatsApp juga menawarkan kode tersebut sebagai software open source di GitHub agar dapat digunakan oleh layanan lainnya.

Code Verify, apakah sebenarnya fitur ini?

Subresource integrity adalah sebuah fitur keamanan yang memberikan jalan bagi web browser untuk melakukan verifikasi atas sumber yang mereka dapatkan, apakah telah dimanipulasi atau tidak, dan meskipun hal ini sebelumnya hanya dapat diaplikasikan pada file individual, namun Code Verify menemukan cara untuk memperluas konsep ini agar dapat melakukan pengecekan sumber ke dalam keseluruhan laman web.

Untuk dapat melakukan hal ini, WhatsApp berpartner dengan Cloudflare yang berperan sebagai pihak ketiga yang terpercaya, dan dalam hal ini, perusahaan tersebut telah memberikan Cloudflare source of truth dari cryptographic hash untuk kode program JavaScript dari WhatsApp Web, jadi ketika seseorang menggunakan Code Verify, ekstensi ini akan otomatis membandingkan kode yang berjalan dalam WhatsApp Web dengan versi kode yang telah terverifikasi dan dipublikasikan dalam Cloudflare. Juga apabila nantinya terdapat ketidaksesuaian antara kode yang dibandingkan oleh Code Verify, pengguna akan diberikan notifikasi.

Jadi, Cloudflare akan mengambil peran aktif sebagai pihak ketiga yang melakukan audit dalam cryptographic hash dalam kode JavaScript yang terdapat dalam WhatsApp Web yang telah dishare oleh Meta, kemudian membandingkannya dengan code lokal dari computed hash yang bekerja di masing-masing pengguna web extension ini ketika membuka WhatsApp Web melalui browsernya.

Ketika terdapat kode yang di-update dalam WhatsApp Web, kode yang sama tentu saja akan diberikan kepada Code Verify untuk memastikan kesinambungan antara aplikasi chat dan ekstensi browsernya.

Ekstensi Code Verify ini ditawarkan oleh Meta Open Source dan akan tersedia dalam extension store resmi untuk web browser seperti Microsoft Edge, Mozilla Firefox dan Google Chrome.

Dalam posting blog mereka WhatsApp memberikan sorotan pada fakta dimana app tambahan ini tidak akan melakukan log pada data, metadata atau data user apapun, dan bahkan tidak memberikan informasi ke dalam layanan itu sendiri. Semua pesan yang dikirimkan oleh pengguna kirim dan terima tak dibaca ataupun diakses oleh perusahaan atau induk perusahaan, Meta, dan mereka tak akan mengetahui apakah seseorang telah mendownload tambahan tersebut atau tidak.

Ketika pertama kali di-install, tambahan ini akan berjalan secara otomatis kapanpun pengguna membuka WhatsApp Web dan akan berfungsi sebagai alert system real-time untuk kode yang diberikan. Pengguna Chrome juga bisa mem-pin ekstensi ini ke toolbar yang berada dalam browser untuk melihat apa yang ekstensi ini temukan tanpa tambahan langkah yang harus dilakukan pengguna. Sementara untuk pengguna WhatsApp Web melalui peramban Microsoft Edge ataupun Mozilla FireFox, extension akan secara otomatis ter-pin di peramban setelah pertama kali diinstall, dan akan bekerja secara otomatis kapanpun pengguna membuka WhatsApp Web melalui browsernya.

Bagaimana Code Verify bekerja di peramban?

WhatsApp menjelaskan cara kerja ekstension ini secara singkat dengan kode warna seperti lampu lalu lintas. Setelah pengguna meng-install ekstensi ini ke dalam peramban yang ia gunakan kemudian membuka WhatsApp Web, cara kerja Code Verify sebagai ΓÇ£real-time alert systemΓÇ¥ akan berlangsung seperti berikut:

1. Jika kode WhatsApp yang ia gunakan tervalidasi secara keseluruhan, maka icon Code Verify di browser akan tampil berwarna hijau,
2. Jika tampilan icon Code Verify berwarna orange, berarti pengguna diminta untuk me-refresh browser atau dalam komputer pengguna terdapat browser extension lain yang mengganggu kerja Code Verify. Jika hal ini terjadi, Code Verify akan merekomendasikan pengguna untuk menghentikan atau mem-pause kerja ekstension lain tersebut, kemudian menjalankan kembali Code Verify dengan cara membuka WhatsApp Web dengan browser yang telah di-install Code Verify.
3. Jika tampilan Code Verify berwarna merah, hal ini merupakan indikasi bahwa terdapat masalah keamanan dengan kode WhatsApp Web yang digunakan oleh pengguna. Ditemukan perbedaan kode antara kode di Open Source Meta dan WhatsApp Web browser pengguna, jadi ada kemungkinan bahwa WhatsApp Web pengguna telah di-hack.

Update keamanan yang dilakukan WhatsApp untuk versi web browser merupakan sebuah kemajuan dalam servis messaging app ini, setelah selama beberapa tahun terakhir WhatsApp mengalami banyak setback atau penurunan kepercayaan pengguna dalam hal security setelah banyak pengguna berpindah ke messaging app lain karena perubahan aturan main penggunaan yang meminta pengguna bersedia diambil datanya untuk kepentingan pihak ketiga termasuk iklan terklasifikasi.