WhatsApp selama ini dikenal sebagai aplikasi pesan instan yang mengandalkan teknologi end-to-end encryption (E2EE) untuk menjaga privasi penggunanya. Dengan sistem ini, pesan yang dikirim hanya bisa dibaca oleh pengirim dan penerima. Namun, baru-baru ini muncul temuan baru yang cukup mengejutkan terkait keamanan penyimpanan chat WhatsApp di perangkat Apple.
Baca Juga : 11 Aplikasi Kuis Online Alternatif Ujian Jadi Lebih Seru
Peneliti keamanan iOS dari Mysk mengungkap bahwa riwayat chat WhatsApp di macOS dan iPhone ternyata dapat tersimpan tanpa enkripsi setelah pesan berhasil dibuka di perangkat pengguna. Temuan ini langsung memunculkan kekhawatiran baru soal perlindungan data lokal serta potensi akses lintas aplikasi dalam ekosistem Apple.
Chat WhatsApp Disebut Disimpan Tanpa Enkripsi
On iOS and macOS, WhatsApp stores chat databases unencrypted in an app group container accessible to apps from the same developer. So all Meta apps on the same iPhone (e.g., Facebook) can read WA chats in plaintext without permission, and users wouldn’t be notified. Demo👇 https://t.co/X4rWekWte3 pic.twitter.com/K4qtYRaQ6L
— Mysk 🇨🇦🇩🇪 (@mysk_co) May 24, 2026
Berdasarkan laporan para peneliti, WhatsApp menyimpan data percakapan ke dalam file database SQLite yang umumnya bernama “Axolotl.sqlite.” File tersebut disimpan di sebuah shared app group container dengan label:
group.net.whatsapp.WhatsApp.shared
Container ini memungkinkan aplikasi lain yang berada dalam grup pengembang yang sama untuk mengakses data tertentu. Dalam konteks ini, aplikasi milik Meta lainnya seperti Facebook dan Instagram secara teori bisa memiliki akses ke database tersebut tanpa memerlukan izin tambahan dari pengguna.
Meski begitu, mekanisme ini sebenarnya tidak melanggar sistem sandboxing milik Apple. Sebab, shared container memang dirancang agar aplikasi dari developer yang sama dapat saling bertukar data dengan lebih mudah.
Masalah utamanya justru terletak pada database chat tersebut yang disebut tersimpan dalam format plaintext atau tanpa enkripsi tambahan saat berada di perangkat.
End-to-End Encryption Tidak Melindungi Data Lokal
Temuan ini juga menyoroti perbedaan penting antara enkripsi saat pengiriman pesan dan keamanan penyimpanan lokal di perangkat.
Selama proses pengiriman, end-to-end encryption tetap bekerja normal untuk melindungi pesan dari penyadapan pihak luar. Namun setelah pesan berhasil dibuka oleh pengguna, data tersebut bisa disimpan dalam format yang dapat dibaca oleh sistem atau aplikasi tertentu.
Artinya, keamanan penyimpanan lokal sepenuhnya bergantung pada implementasi aplikasi, bukan hanya pada teknologi E2EE.
Dengan kondisi ini, penyerang memang tidak bisa dengan mudah menyadap pesan saat dikirim. Tetapi jika perangkat berhasil diretas, di-jailbreak, atau diakses oleh aplikasi yang memiliki izin dalam container yang sama, riwayat chat berpotensi terekspos.
Risiko Keamanan dan Privasi yang Muncul
Penyimpanan database chat tanpa enkripsi ini dinilai dapat membuka sejumlah risiko keamanan dan privasi, di antaranya:
- Potensi akses data lintas aplikasi dalam ekosistem developer yang sama.
- Risiko aplikasi berbahaya memanfaatkan shared container permissions.
- Forensic extraction atau pengambilan data chat dari perangkat yang telah diretas.
- Penyalahgunaan hak akses aplikasi yang sebenarnya sah.
Sampai saat ini belum ada bukti publik yang menunjukkan bahwa Meta secara aktif memanfaatkan akses tersebut. Meski begitu, desain arsitektur penyimpanan data ini tetap memunculkan pertanyaan soal isolasi dan perlindungan privasi pengguna.
Pengguna macOS Disebut Lebih Rentan
Temuan ini memengaruhi perangkat iPhone maupun macOS yang menjalankan WhatsApp, terutama pada sistem yang menggunakan shared app container.
Pada macOS, risikonya bahkan disebut bisa lebih besar karena akses file system yang lebih fleksibel dibandingkan iPhone. Jika kontrol keamanan perangkat lemah, database chat dapat lebih mudah diakses.
Apple sendiri sebenarnya memiliki fitur Data Protection Framework yang dapat mengenkripsi file berdasarkan kondisi perangkat, misalnya saat perangkat terkunci. Namun, fitur ini tidak selalu menjamin database aplikasi terenkripsi penuh agar tidak bisa diakses aplikasi lain yang memiliki otorisasi.
Cara Mengurangi Risiko Keamanan
Bagi pengguna yang khawatir dengan masalah ini, ada beberapa langkah yang bisa dilakukan untuk meningkatkan keamanan perangkat:
- Gunakan passcode dan biometrik yang kuat.
- Hindari menginstal aplikasi yang tidak diperlukan, terutama dari ekosistem developer yang sama.
- Selalu update iOS, macOS, dan WhatsApp ke versi terbaru.
- Gunakan solusi Mobile Device Management (MDM) untuk kebutuhan perusahaan.
- Pertimbangkan aplikasi pesan alternatif dengan sistem enkripsi lokal yang lebih ketat jika diperlukan.
Temuan ini sekaligus menjadi pengingat bahwa keamanan digital tidak hanya soal melindungi data saat dikirim, tetapi juga bagaimana data tersebut disimpan di perangkat pengguna.
Baca Juga : Apple Rilis Patch Keamanan untuk iPhone dan iPad Lama dari Serangan DarkSword
Seiring semakin banyak platform pesan instan mengedepankan fitur enkripsi, perhatian industri kini mulai bergeser ke keamanan endpoint, yaitu tempat di mana data yang sudah didekripsi akhirnya disimpan.
