Sebuah ancaman keamanan baru terdeteksi pada ekstensi browser bernama “Privacy Extension for WhatsApp Privacy”, yang ternyata mengandung malware berbahaya. Temuan ini penting karena ekstensi browser—terutama yang berfungsi di platform komunikasi seperti WhatsApp Web—memiliki akses langsung ke data yang dibuka oleh pengguna. Dengan klasifikasi ancaman High Severity, kasus ini perlu mendapat perhatian serius agar tidak terjadi kebocoran data atau pengambilalihan akun.
Secara umum, malware pada ekstensi bekerja dengan memanfaatkan izin akses yang diberikan pengguna saat instalasi. Banyak ekstensi berbahaya meminta izin untuk “read and change data on websites visited”, yang artinya mereka bebas membaca, merekam, hingga memodifikasi aktivitas pengguna di situs tertentu. Dalam kasus ini, ekstensi dapat memantau isi pesan, metadata, hingga aktivitas pengguna di WhatsApp Web. Kondisi tersebut membuka peluang pencurian informasi, penyalahgunaan akun, hingga manipulasi data tanpa disadari oleh korban.
Dari sisi dampak, malware ini berpotensi menyebabkan konsekuensi serius. Selain memungkinkan akses terhadap pesan dan akun WhatsApp, ekstensi tersebut dapat melakukan penyisipan skrip berbahaya dan memanipulasi lalu lintas data pengguna. Jika tidak segera ditangani, malware bisa menjadi “pintu belakang” (backdoor) untuk serangan lanjutan, seperti penyebaran malware lainnya atau pencurian data yang lebih luas. Beberapa kasus juga menunjukkan bahwa ekstensi berbahaya dapat melakukan session hijacking, yaitu mengambil alih sesi login pengguna tanpa memerlukan kata sandi.
Secara teknis, indikasi keberadaan malware biasanya dapat diketahui dari peringatan browser seperti “This extension contains malware”. Peringatan ini muncul ketika browser mendeteksi aktivitas yang mencurigakan, misalnya koneksi tersembunyi ke server eksternal, pengiriman data tanpa izin, atau percobaan mengakses elemen sensitif seperti clipboard dan keyboard. Teknik seperti keylogging (merekam ketikan pengguna), pengambilan clipboard, atau pengiriman data ke server anonim merupakan pola umum yang digunakan oleh ekstensi berbahaya untuk mencuri informasi.
Untuk melindungi akun dan perangkat, pengguna disarankan segera menghapus ekstensi tersebut dari seluruh browser. Selain itu, penting untuk melakukan verifikasi ketat sebelum menginstal ekstensi apa pun—pastikan berasal dari sumber tepercaya, memiliki ulasan yang valid, serta tidak meminta izin yang tidak relevan dengan fungsinya. Pengguna juga perlu berhati-hati menghindari instalasi ekstensi dari situs yang tidak resmi, karena banyak malware menyamar sebagai alat privasi atau fitur tambahan yang terlihat meyakinkan.
Bagaimana malware pada ekstensi bekerja?
- Mekanisme Penyalahgunaan Permissions
Ekstensi browser pada umumnya berjalan dengan model izin (permissions). Malware memanfaatkan izin seperti:- tabs: membaca tab yang sedang dibuka.
- webRequest dan webRequestBlocking: memantau serta memodifikasi traffic HTTP/HTTPS.
- activeTab: mengakses konten situs yang sedang aktif (termasuk WhatsApp Web)
Dengan izin “read and change data on websites visited”, ekstensi dapat melakukan content script injection, yaitu menyuntikkan skrip langsung ke halaman WhatsApp Web untuk mengakses DOM, mengambil pesan, ataupun memodifikasi tampilan tanpa terlihat oleh pengguna.
- Teknik Pengumpulan dan Pengiriman Data
Ekstensi berbahaya biasanya memakai beberapa metode berikut:- XHR/Fetch Exfiltration: Mengirim data curian (pesan, metadata, cookie) ke server eksternal lewat permintaan HTTP tersembunyi.
- WebSocket Covert Channel: Membuka koneksi WebSocket yang terus aktif untuk mengirim data secara real-time.
- Obfuscation & Packing: Kode JavaScript diacak (obfuscated) agar sulit dianalisis, sering menggunakan eval() atau bundle terenkripsi.
- Malware sering kali memakai domain sementara atau server yang sering berganti (fast-flux) agar sulit diblokir.
- Session Hijacking pada WhatsApp Web
WhatsApp Web mengandalkan QR-based authentication yang kemudian disimpan dalam bentuk session token.
Ekstensi berbahaya bisa:- Membaca token/identitas sesi dari LocalStorage atau IndexedDB,
- Menyuntikkan skrip untuk menangkap proses login, lalu mengirim token tersebut ke server attacker.
Dengan token itu, penyerang dapat meniru sesi pengguna tanpa harus mengetahui kata sandi atau PIN.
- Keyboard & Clipboard Capture
Beberapa ekstensi malware menyisipkan event listener ke dalam halaman untuk:- Merekam ketikan (keylogging), termasuk pencarian atau teks pesan,
- Membaca isi clipboard (misalnya OTP atau data sensitif lain).
Karena proses ini terjadi di level halaman, pengguna tidak menyadarinya karena tidak mengganggu fungsi utama WhatsApp Web.
- Indikator Perilaku Berbahaya (IOCs)
Browser dapat memberi peringatan “This extension contains malware” jika mendeteksi:- Pemanggilan domain yang masuk daftar hitam,
- Perubahan file manifest yang mencurigakan,
- Permintaan izin yang tidak relevan dengan deskripsi ekstensi,
- Pola perilaku seperti akses konten berulang, injeksi skrip, dan exfiltrasi data.
Administrator TI dapat melakukan analisis lebih dalam dengan memperhatikan file manifest.json, folder content_scripts, serta traffic yang muncul saat ekstensi aktif.
Kasus malware pada ekstensi “Privacy Extension for WhatsApp Privacy” menjadi pengingat penting bahwa ancaman siber kini semakin memanfaatkan celah yang dekat dengan aktivitas harian pengguna, termasuk ekstensi browser yang terlihat aman atau berguna. Dengan memahami cara kerja ekstensi berbahaya serta risiko teknis yang ditimbulkannya, pengguna dan organisasi dapat meningkatkan kewaspadaan dalam mengelola aplikasi tambahan pada peramban. Langkah mitigasi sederhana—seperti memverifikasi sumber ekstensi dan rutin mengecek izin akses—dapat mencegah dampak yang jauh lebih serius. Keamanan digital bukan hanya tanggung jawab tim TI, tetapi juga setiap individu yang menggunakan perangkat dan layanan daring dalam aktivitas sehari-hari. Jika ancaman ini ditangani dengan cepat dan tepat, risiko kebocoran data maupun pengambilalihan akun dapat diminimalkan secara signifikan.
Leave a comment