Gambar: Burdun Iliya (Shutterstock)
Aplikasi obrolan terenkripsi ujung ke ujung yang hampir tidak mengumpulkan data dan tidak memerlukan informasi pribadi untuk mendaftar? Kedengarannya seperti mimpi yang menjadi kenyataan bagi penggemar privasi. Satu-satunya masalah adalah bahwa Threema, perusahaan privasi Swiss di belakang messenger tersebut, telah menggunakan protokol kriptografi yang tidak dapat diandalkan, yang bugnya akan memungkinkan peretas yang cerdas untuk mengakses metadata yang terkait dengan konvoi pengguna yang seharusnya aman dan rahasia. Astaga memang.
Masalah keamanan Threema yang tidak menguntungkan ditemukan akhir tahun lalu oleh seorang mahasiswa ilmu komputer Zurich dan dua pengawas akademiknya. Setelah berhasil mengalahkan pertahanan aplikasi, ketiganya mengungkapkan temuan mereka, memungkinkan perusahaan untuk secara diam-diam memperbarui protokolnya dan menambal celah keamanan yang memungkinkan serangan hipotetis. Minggu ini, para peneliti menerbitkan temuan tersebut, mengungkapkan bagaimana protokol kriptografi aplikasi sebelumnya benar-benar meninggalkan sesuatu yang diinginkan.
“Dalam pekerjaan kami, kami menghadirkan tujuh serangan terhadap protokol kriptografi yang digunakan oleh Threema, dalam tiga model ancaman yang berbeda,” tulis para peneliti. “Semua serangan disertai dengan implementasi proof-of-concept yang menunjukkan kelayakannya dalam praktik.”
Serangan teoretis itu, yang dapat Anda baca lebih luas di makalah para peneliti, menunjukkan sejumlah metode berbeda untuk meluncur di bawah dinding enkripsi Threema yang seharusnya kokoh. Anda dapat mengatakan bahwa ini adalah berita yang sangat buruk bagi perusahaan yang menyebut dirinya sebagai aplikasi “keamanan maksimum” dan, hingga saat ini, mengklaim bahwa messenger-nya lebih aman daripada yang lain — termasuk Signal staple E2EE yang populer.
Ini juga berpotensi menjadi berita buruk bagi pelanggan Threema. Seperti yang dicatat oleh para peneliti, aplikasi yang sangat dihormati ini memiliki lebih dari 10 juta pengguna reguler — termasuk ribuan pelanggan korporat dan sejumlah “pengguna terkemuka”, seperti “Pemerintah Swiss dan Angkatan Darat Swiss, serta Kanselir Jerman saat ini, Olaf Scholz.”
G/O Media dapat memperoleh komisi
Kredit hingga $100
Cadangan Samsung
Pesan perangkat Samsung generasi berikutnya
Yang perlu Anda lakukan hanyalah mendaftar dengan email dan boom: kredit untuk preorder Anda di perangkat Samsung baru.
Konon, Threema sebagian membantah kelayakan serangan itu. Menanggapi temuan tersebut, perusahaan menerbitkan pernyataan minggu ini yang menjelaskan bahwa mereka tidak serta merta melihat kerentanan yang baru ditemukan sebagai hal yang dapat diterapkan secara realistis. “Tidak satupun dari mereka [the security flaws] pernah memiliki dampak dunia nyata yang cukup besar, ”klaim perusahaan itu.
Ketika dimintai komentar oleh Gizmodo, juru bicara Threema Julia Weiss mengklarifikasi bahwa platform obrolan sekarang meningkatkan keamanannya, termasuk audit eksternal baru dan program hadiah bug yang menawarkan hadiah hingga 10.000 franc Swiss untuk “peretas yang ramah”. Weiss juga mengatakan bahwa protokol baru Threema, “Ibex”, yang menggantikan yang lama, adalah “canggih”, dan telah “dikembangkan bekerja sama dengan kriptografer eksternal”.
“Adalah kenyataan dalam industri perangkat lunak bahwa bug tidak pernah dapat dikesampingkan sepenuhnya dan lolos bahkan dari QA yang paling ketat sekalipun. [quality assurances] proses, ”kata Weiss dalam email. “Ini mempengaruhi semua aplikasi dan sistem operasi. Itulah mengapa kami tidak hanya bertindak secara proaktif, tetapi juga bangga dengan kemampuan kami untuk merespons situasi seperti itu dengan cepat.”
Tidak ada bukti bahwa ada orang yang pernah menggunakan metode serangan ini untuk mendekripsi data atau menyusup ke percakapan di Threema. Yang mengatakan, itu masih merupakan pengingat yang baik bahwa hanya karena platform menawarkan enkripsi end-to-end tidak berarti bahwa komunikasi Anda aman. Meskipun messenger mungkin menawarkan enkripsi, selalu ada jalan keluar untuk perlindungan semacam itu. Insiden lain baru-baru ini, yang melibatkan matriks protokol komunikasi E2EE yang populer, menunjukkan bahwa platform tersebut memiliki bug perangkat lunak serius yang memungkinkan percakapan dikompromikan.
Signal, sepengetahuan kami, tidak pernah mengalami masalah seperti ini—tetapi bukan berarti hal itu tidak mungkin terjadi. Seperti apa pun yang melibatkan internet, peretasan mungkin tidak mungkin terjadi, tetapi selalu memungkinkan.