WhatsApp pada Jumat lalu mengumumkan bahwa mereka sudah memperbaiki celah keamanan di aplikasi iOS dan Mac yang sebelumnya dimanfaatkan untuk menyusup secara diam-diam ke perangkat Apple milik “pengguna tertentu yang menjadi target.”
Baca Juga : Meta Resmi Bekerja Sama dengan Midjourney, Teknologi AI Akan Masuk ke Era Baru
Aplikasi pesan instan milik Meta ini menjelaskan dalam security advisory-nya bahwa bug tersebut, yang secara resmi tercatat sebagai CVE-2025-55177, telah diperbaiki. Celah ini ternyata digunakan bersamaan dengan kerentanan lain di iOS dan Mac yang sudah lebih dulu ditangani Apple pekan lalu (dikenal sebagai CVE-2025-43300).
Apple sendiri sempat menyebut bahwa celah itu dipakai dalam serangan “sangat canggih terhadap individu yang benar-benar spesifik.” Kini, sudah dipastikan bahwa puluhan pengguna WhatsApp memang menjadi target lewat kombinasi dua bug tersebut.
Serangan “Zero-Click” ala Spyware
Donncha Ó Cearbhaill, Kepala Amnesty International’s Security Lab, dalam unggahannya di X menyebut serangan ini sebagai kampanye spyware tingkat lanjut yang berlangsung selama 90 hari terakhir, sejak akhir Mei lalu.
Yang bikin ngeri, kedua bug ini dipakai dalam bentuk “zero-click attack” — artinya, korban nggak perlu klik link atau melakukan tindakan apa pun. Perangkat bisa langsung dikompromikan begitu saja.
Dengan teknik ini, penyerang bisa mengirimkan exploit berbahaya lewat WhatsApp yang mampu mencuri data dari perangkat Apple korban.
Ó Cearbhaill bahkan membagikan salinan notifikasi ancaman yang dikirim WhatsApp ke pengguna yang terdampak. Dalam peringatan itu disebutkan, serangan tersebut bisa “mengambil alih perangkat serta data yang ada di dalamnya, termasuk pesan pribadi.”
Siapa Dalangnya?
Hingga sekarang, belum jelas siapa atau vendor spyware mana yang berada di balik serangan ini.
Kepada TechCrunch, juru bicara Meta, Margarita Franklin, mengonfirmasi bahwa perusahaan sudah mendeteksi dan menambal celah ini “beberapa minggu lalu.” Ia menambahkan, ada “kurang dari 200” pengguna WhatsApp yang menerima notifikasi peringatan terkait insiden tersebut.
Namun, Franklin tidak memberikan detail apakah WhatsApp memiliki bukti yang bisa mengaitkan serangan ini dengan pelaku atau vendor tertentu.
Bukan Pertama Kalinya WhatsApp Jadi Target Spyware
Kasus ini bukanlah yang pertama. WhatsApp memang sudah beberapa kali jadi sasaran spyware buatan pemerintah atau pihak ketiga. Spyware jenis ini terkenal berbahaya karena mampu menembus perangkat yang sudah fully patched (ter-update) lewat kerentanan yang belum diketahui vendor, alias zero-day flaws.
Contohnya, pada Mei lalu, pengadilan AS memerintahkan NSO Group—pembuat spyware Pegasus—membayar ganti rugi sebesar 167 juta dolar AS kepada WhatsApp. Kasus ini berkaitan dengan kampanye peretasan tahun 2019 yang menarget lebih dari 1.400 pengguna WhatsApp lewat exploit yang bisa menanamkan spyware Pegasus.
WhatsApp sendiri yang menggugat NSO, dengan alasan pelanggaran hukum peretasan federal dan negara bagian, sekaligus pelanggaran terhadap terms of service-nya.
Awal tahun ini, WhatsApp juga berhasil menggagalkan kampanye spyware lain yang menarget sekitar 90 pengguna, termasuk jurnalis dan anggota masyarakat sipil di Italia. Meski pemerintah Italia membantah terlibat, vendor spyware Paragon akhirnya memutus akses Italia dari alat peretasnya karena gagal menyelidiki penyalahgunaan tersebut.
Baca Juga : Bug Berbahaya di WinRAR Dimanfaatkan Hacker, Update Sekarang Juga!
Buat kamu pengguna iPhone atau Mac, kabar ini jadi pengingat penting betapa seriusnya ancaman keamanan digital saat ini. Jangan abaikan update aplikasi, karena seringkali perbaikan bug seperti ini jadi benteng utama melawan serangan yang bahkan tidak butuh klik apa pun untuk masuk ke perangkat.
Kalau kamu menerima notifikasi dari WhatsApp soal perangkat yang dikompromikan, jangan ragu untuk segera lakukan langkah pengamanan tambahan.
