Tenggat waktu 90 hari yang diberikan tim Google Project Zero akhirnya terlewati tanpa solusi tuntas dari Meta. Akibatnya, sebuah lubang keamanan krusial pada WhatsApp versi Android kini terungkap ke publik yang meninggalkan jutaan pengguna dalam posisi rentan terhadap serangan siber yang nyaris mustahil dideteksi secara kasat mata.
Temuan ini berawal dari laporan Brendon Tiszka, peneliti keamanan dari unit elit Google. Ia menemukan sebuah metode infiltrasi yang dikenal sebagai serangan interactionless atau tanpa interaksi. Berbeda dengan skema penipuan konvensional yang mengharuskan korban mengeklik tautan mencurigakan, celah ini memungkinkan kode jahat menyusup hanya melalui fungsi unduh otomatis media.
Skema serangannya tergolong licik namun sistematis. Peretas cukup menciptakan sebuah grup WhatsApp, lalu menarik nomor target beserta salah satu kontaknya ke dalam grup tersebut. Dengan memberikan otoritas admin kepada kontak korban secara sepihak, pelaku dapat mengirimkan file media berisi exploit yang akan terunduh secara otomatis ke basis data smartphone. Begitu file tersebut bersarang di MediaStore, file tersebut juga berpotensi untuk mengeksekusi perintah berbahaya tanpa memerlukan persetujuan pemilik perangkat sedikitpun.
Ironisnya, Meta sebenarnya sudah mendapatkan peringatan rahasia sejak 1 September 2025. Namun, hingga jendela waktu pengamanan ditutup pada akhir November, perusahaan raksasa ini belum juga merilis tambalan permanen. Meski Tiszka mengkonfirmasi adanya upaya perbaikan di sisi server pada awal Desember lalu, status kerentanan ini masih dianggap terbuka karena belum ada pembaruan menyeluruh yang menutup celah tersebut secara total.
Bagi para pengguna Android, situasi ini memaksa mereka untuk melakukan mitigasi mandiri di tengah lambatnya respons pengembang. Mengaktifkan fitur ‘Advanced chat privacy’ memang bisa menjadi lapisan perlindungan awal, namun benteng pertahanan paling efektif saat ini adalah langkah radikal: mematikan seluruh fungsi unduh otomatis media di menu pengaturan penyimpanan.
Keterlambatan Meta dalam menangani isu ini mengulang memori kelam tahun lalu, di mana kerentanan serupa terkait lampiran pesan juga sempat mengguncang platform ini.
