Signal Aman, Sebagaimana Dibuktikan Oleh Peretas

Mark Teknologi
Mark Teknologi
November 30, 2023

Signal Private Messenger

Apakah Signal Aman - Pada 15 Agustus, tim Signal melaporkan bahwa peretas tak dikenal telah menyerang pengguna messenger. Kami menjelaskan mengapa insiden ini membuktikan keunggulan Signal atas messenger lainnya.


Apa yang Terjadi?


Menurut pernyataan yang dikeluarkan oleh Signal, serangan tersebut mempengaruhi sekitar 1900 pengguna aplikasi. Mengingat Signal memiliki lebih dari 40 juta pengguna aktif per bulan, insiden tersebut hanya memengaruhi sebagian kecil dari mereka. Karena itu, Signal terutama digunakan oleh mereka yang benar-benar peduli dengan privasi korespondensi mereka. Meskipun serangan itu hanya mempengaruhi sebagian kecil penonton, serangan itu masih bergema ke seluruh dunia keamanan informasi.


Peretas dapat masuk ke akun korban dari perangkat lain sebagai akibat dari serangan tersebut, atau hanya mengetahui bahwa pemilik nomor telepon ini dan itu menggunakan Signal. Para penyerang secara khusus tertarik pada tiga dari 1900 nomor ini, dan Signal diberitahu oleh salah satu dari tiga pengguna ini bahwa akun mereka telah diaktifkan di perangkat lain tanpa sepengetahuan mereka.


Apa yang Menyebabkan Hal itu Terjadi?


Di artikel sebelumnya, kami telah membahas fakta bahwa Signal adalah messenger aman yang telah berhasil diserang. Apakah ini untuk mengatakan bahwa keamanan dan privasinya yang terkenal adalah mitos? Mari kita lihat lebih dekat serangan dan peran yang dimainkan Signal di dalamnya.


Untuk memulai, akun Signal, seperti WhatsApp dan Telegram, ditautkan ke nomor telepon. Ini adalah praktik umum, tetapi tidak universal. Threema, misalnya, dengan bangga menyatakan bahwa salah satu nilai jualnya adalah tidak mengikat akun ke nomor telepon. Nomor telepon diperlukan untuk otentikasi di Signal: pengguna memasukkan nomor telepon mereka, yang kodenya dikirim melalui pesan teks. Kode harus dimasukkan; jika benar, pengguna memiliki kepemilikan nomor tersebut.


Perusahaan khusus yang menyediakan metode otentikasi yang sama untuk beberapa layanan menangani pengiriman pesan teks tersebut dengan kode satu kali. Dalam kasus Signal, penyedia ini adalah Twilio, dan perusahaan inilah yang menjadi sasaran para peretas.


Langkah selanjutnya adalah phishing. Beberapa karyawan Twilio menerima pemberitahuan bahwa password mereka diduga kedaluwarsa dan perlu diperbarui. Untuk melakukannya, mereka diperintahkan untuk mengeklik tautan phishing. Seorang karyawan menelan umpan tersebut, pergi ke situs palsu, dan memasukkan kredensial mereka, yang jatuh tepat ke tangan para peretas.


Baca Juga : Cara Terbaik Mengalahkan Serangan Social Engineering


Kredensial ini memberi mereka akses ke sistem internal Twilio, yang memungkinkan mereka mengirim dan membaca pesan teks kepada pengguna. Para peretas kemudian menggunakan layanan tersebut untuk menginstal Signal pada perangkat baru: mereka memasukkan nomor telepon korban, menyadap pesan teks yang berisi kode aktivasi, dan voila, mereka berada di dalam akun Signal mereka.


Bagaimana Insiden ini Menunjukkan Ketangguhan Signal


Ternyata, Signal tidak kebal terhadap insiden semacam itu. Jadi mengapa kita terus membicarakan keamanan dan privasinya?


Untuk memulainya, para cybercriminal tidak mendapatkan akses ke korespondensi. Signal menggunakan enkripsi end-to-end Protokol Signal yang aman. Enkripsi end-to-end memastikan bahwa pesan pengguna hanya disimpan di perangkat mereka, bukan di server Signal atau di mana pun. Oleh karena itu, tidak ada cara untuk membacanya hanya dengan meretas infrastruktur Signal.


Server Signal menyimpan nomor telepon pengguna serta nomor telepon kontak mereka. Ini memungkinkan pengirim pesan untuk memberi tahu Anda saat kontak Anda bergabung dengan Signal. Namun, data pertama disimpan di secure enclave, yang bahkan tidak dapat diakses oleh developer Signal. Kedua, angka-angka itu sendiri tidak disimpan dalam teks biasa, melainkan sebagai kode hash. Mekanisme ini memungkinkan aplikasi Signal di ponsel Anda untuk mengirim informasi kontak terenkripsi dan menerima respons terenkripsi yang menunjukkan kontak mana yang menggunakan Signal. Dengan kata lain, penyerang tidak dapat memperoleh akses ke daftar kontak pengguna.


Terakhir, kami harus menekankan bahwa Signal diserang dalam supply chain, melalui penyedia layanan yang kurang aman yang digunakan oleh perusahaan. Akibatnya, ini adalah mata rantai yang lemah. Signal, di sisi lain, memiliki perlindungan terhadap hal ini juga.


Aplikasi ini berisi fitur yang disebut Registration Lock (untuk mengaktifkan, buka Setting → Account →  Registration Lock), yang memerlukan PIN yang ditentukan pengguna untuk dimasukkan saat mengaktifkan Signal pada perangkat baru. Agar jelas, PIN di Signal tidak ada hubungannya dengan membuka kunci aplikasi; ini dilakukan dengan menggunakan metode yang sama yang Anda gunakan untuk membuka kunci smartphone Anda.


Registration Lock
Registration Lock Pada Setting Signal

Registration Lock dinonaktifkan secara default, seperti yang terjadi pada setidaknya satu akun yang diretas. Alhasil, para cybercriminal mampu melakukan penyerangan dengan menyamar sebagai korban selama kurang lebih 13 jam. Mereka tidak dapat masuk ke aplikasi hanya dengan nomor telepon dan kode verifikasi jika Registration Lock telah diaktifkan.


Apa yang Dapat Dilakukan untuk Meningkatkan Keamanan Pesan?


Singkatnya, penyerang tidak meretas Signal secara langsung, melainkan mitranya Twilio, mendapatkan akses ke 1900 akun dan menggunakan tiga dari mereka untuk masuk. Selain itu, mereka tidak memiliki akses ke korespondensi atau daftar kontak apa pun dan hanya dapat mencoba meniru identitas pengguna akun yang telah mereka retas. Peretas tidak dapat melakukan apa pun jika pengguna ini mengaktifkan Registration Lock.


Dan, meskipun serangan itu secara teknis berhasil, tidak ada alasan untuk khawatir dan berhenti menggunakan Signal. Terbukti dengan insiden peretasan ini, aplikasi ini tetap menjadi aplikasi yang cukup aman yang menyediakan privasi yang memadai untuk pesan Anda. Namun, Anda dapat membuatnya lebih aman :


  • Aktifkan Registration Lock di pengaturan Signal untuk mencegah cybercriminal masuk ke akun Anda tanpa PIN pribadi Anda, meskipun mereka memiliki kode satu kali untuk mengaktifkan Signal di perangkat baru.
  • Baca posting blog Kaspersky (https://www.kaspersky.com/blog/signal-privacy-security/40377/), tentang mengonfigurasi Signal untuk privasi dan keamanan, lalu konfigurasikan aplikasi Anda. Signal mencakup pengaturan dasar serta opsi untuk paranoid yang benar-benar paranoid, yang memberikan keamanan tambahan dengan mengorbankan kegunaan.
  • Instal aplikasi keamanan di smartphone Anda. Jika malware menginfeksi perangkat Anda, pengamanan Signal tidak akan melindungi pesan atau daftar kontak Anda. Namun, tidak ada ancaman terhadap data Anda jika malware tidak diizinkan masuk atau terdeteksi tepat waktu.