Signaling System No. 7 (SS7) adalah seperangkat protokol pensinyalan telepon yang menyediakan tulang punggung bagi semua komunikasi telepon seluler di mana pun di dunia. Ini memungkinkan jaringan telepon untuk berkomunikasi di antara mereka sendiri untuk menghubungkan pengguna dan menyampaikan pesan antar jaringan, memastikan penagihan yang benar, dan memungkinkan pengguna untuk menjelajah di jaringan lain.


SS7 mudah diretas

Sejak 2008 telah diketahui secara luas bahwa kerentanan pada SS7 memungkinkan pengguna ponsel diretas secara diam-diam. Namun, industri tidak melakukan apa-apa tentang ini, karena risikonya dianggap murni teoretis.

Ini berubah pada tahun 2014 ketika kerentanan di SS7 memungkinkan peretas untuk merekam percakapan telepon tidak terenkripsi rahasia yang agak memalukan antara duta besar AS untuk Ukraina dan Asisten Menteri Luar Negeri AS Victoria Nuland, di mana ia sangat kritis terhadap Uni Eropa.

Pada bulan April tahun ini, anggota kongres AS Ted Lieu setuju untuk berpartisipasi dalam percobaan yang dilakukan untuk program TV 60 Minutes. Untuk pertunjukan itu, peneliti keamanan Jerman Karsten Nohl berhasil menunjukkan betapa mudahnya meretas iPhone Lieu dari markasnya di Berlin hanya dengan mengetahui nomor teleponnya..

"Nohl menunjuk gerakan Lieu ke distrik di Los Angeles, membaca pesannya dan merekam panggilan telepon antara Lieu dan stafnya."

Jaringan seluler independen dari chip GPS kecil di ponsel Anda, ia tahu di mana Anda berada. Jadi, pilihan apa pun yang dapat dibuat oleh anggota kongres, memilih telepon, memilih nomor pin, memasang atau tidak memasang aplikasi tertentu, tidak memiliki pengaruh terhadap apa yang kami tampilkan karena ini menargetkan jaringan seluler. Itu, tentu saja, tidak dikendalikan oleh satu pelanggan.

Karsten Nohl

Lieu sekarang menyerukan penyelidikan resmi kerentanan SS7 "rahasia terbuka":

Kerentanan memiliki konsekuensi serius tidak hanya untuk privasi individu tetapi juga untuk inovasi Amerika, daya saing, dan keamanan nasional. Banyak inovasi dalam keamanan digital - seperti otentikasi multi-faktor menggunakan pesan teks - dapat dianggap tidak berguna.

Ted Lieu, anggota Kongres AS

Dipercaya secara luas, bagaimanapun, bahwa lembaga-lembaga pemerintah seperti NSA dan GCHQ secara rutin mengeksploitasi kerentanan SS7 untuk mengintip target. Karena itu, kemungkinan besar mereka akan menentang segala upaya untuk memperbaiki masalah tersebut.

Enkripsi memiliki masalah

Sampai sekarang diperkirakan bahwa menggunakan aplikasi terenkripsi seperti WhatsApp dan Telegram akan melindungi pengguna dari pengintaian tersebut. Dengan demikian, saran yang diberikan adalah untuk menghindari membuat panggilan atau mengirim teks menggunakan koneksi jaringan seluler Anda, dan menggunakan aplikasi pesan terenkripsi sebagai gantinya.

Namun, penelitian baru menunjukkan bahwa bahkan menggunakan aplikasi terenkripsi mungkin tidak seaman yang diyakini sebelumnya.

Adalah mungkin bagi penyerang yang memiliki akses ke jaringan SS7 untuk mengendalikan nomor telepon korban, dan kemudian menggunakan nomor ini untuk mendaftarkan aplikasi atas nama korban. Penyerang kemudian dapat menyamar sebagai korban ke kontak korban.

Karena aplikasi seperti WhatsApp dan Telegram hanya mengandalkan nomor telepon untuk memverifikasi identitas pengguna (setidaknya secara default), ini menghadirkan ancaman keamanan utama.

Penting untuk ditekankan adalah bahwa enkripsi aktual yang digunakan oleh WhatsApp dan Telegram * (dll.) Belum dikompromikan per se. Serangan ini lebih mirip dengan penyerang mencuri telepon korban dan kemudian menyamar sebagai mereka saat Anda menelepon. Karena itu, ia menghindari enkripsi apa pun yang digunakan, alih-alih memecahnya.

* Telegram tidak menggunakan enkripsi ujung ke ujung secara default, fakta yang memungkinkan para peneliti dari Positive Security untuk juga mengakses pesan lama dan riwayat obrolan milik akun pengguna, dan yang disimpan di server Telegram.

"Setelah memasukkan kode, akses penuh diperoleh ke akun Telegram termasuk kemampuan untuk menulis pesan atas nama korban serta membaca semua korespondensi."

Aplikasi mana yang terpengaruh?

Serangan ini berpotensi memengaruhi semua aplikasi perpesanan yang memverifikasi pengguna melalui nomor telepon mereka. Ini termasuk WhatsApp, Facebook, Google, dan Viber.

Aplikasi seperti Signal dan Pidgin plus OTR, termasuk mekanisme yang memungkinkan Anda memverifikasi identitas koresponden. Sinyal, misalnya, memungkinkan Anda membandingkan kunci identitas PGP publik (baik secara manual atau otomatis menggunakan kode QR). Jika Anda menggunakan ini, maka Anda harus dapat mendeteksi serangan SS7 dari jenis yang dijelaskan di atas. Sinyal juga akan memperingatkan Anda jika kunci identifikasi kontak berubah.

Tanda centang verifikasi

Electronic Frontier Foundation (EFF) memiliki grafik hebat yang membandingkan keamanan yang digunakan oleh sebagian besar aplikasi perpesanan populer. Mereka yang memiliki tanda centang untuk "Bisakah Anda memverifikasi identitas kontak" tahan terhadap serangan-serangan ini selama Anda melakukan prosedur verifikasi (jadi lakukan!)

Faktanya, WhatsApp menyertakan kemampuan Signal untuk memperingatkan pengguna ketika kunci identitas kontak telah diubah (WhatsApp menggunakan protokol Signal), tetapi dalam gerakan yang aneh, fitur ini dinonaktifkan secara default. Itu dapat diaktifkan menggunakan langkah-langkah berikut:

  1. Buka tab Kontak -> Pengaturan (3 titik di kanan atas) -> Akun -> Keamanan
  2. Sentuh penggeser di sebelah “Tampilkan pemberitahuan keamanan

Kesimpulan

Serangan-serangan ini terutama bersifat teoritis, dan bagaimanapun juga tidak mudah dilakukan (seperti yang dicatat Motherboard, “tidak mudah untuk menyalahgunakan jaringan SS7”). Sejak program 60 Minutes mengungkap masalah ini, asosiasi perdagangan operator telepon seluler (GSMA) telah menyiapkan serangkaian sistem untuk memantau jaringan seluler, mencari gangguan atau penyalahgunaan sistem pensinyalan. Namun seberapa efektif hal ini, masih belum jelas.

Perlindungan terbaik jika Anda khawatir tentang masalah ini adalah masih menggunakan aplikasi pesan terenkripsi ujung ke ujung. Namun, pastikan untuk menggunakan yang memungkinkan Anda memeriksa identitas kontak Anda (dan benar-benar mengaktifkan atau menggunakan fitur ini).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me