Mike Waltz Tak Sengaja Mengungkap Aplikasi yang Dipakai Pemerintah untuk Menyimpan Arsip Pesan Signal
(404media.co)- Foto ponsel Mike Waltz, pejabat pemerintahan Trump, memperlihatkan penggunaan aplikasi yang tampak seperti Signal tidak resmi untuk pengarsipan pesan
- Waltz menjabat sebagai Penasihat Keamanan Nasional AS hingga Kamis, sehingga pertanyaan tentang jenis informasi yang dibahas pejabat publik di Signal makin menguat
- Foto Reuters menangkap momen Waltz memeriksa ponselnya saat rapat kabinet Gedung Putih yang dipimpin Donald Trump
- Di layar tampak pesan dari pejabat tinggi pemerintah seperti JD Vance, Tulsi Gabbard, dan Marco Rubio
- Di bagian bawah layar terlihat teks yang menyerupai pesan verifikasi PIN Signal biasa, sehingga perhatian tertuju pada pencegahan pembajakan akun sekaligus cara pesan diarsipkan
Penggunaan Signal tidak resmi yang terungkap lewat foto
- Foto ponsel Mike Waltz menangkap penggunaan aplikasi yang tampak seperti versi tidak resmi Signal
- Versi ini diketahui dirancang untuk tujuan pengarsipan pesan
- Waltz menjabat sebagai National Security Advisor AS hingga Kamis
Konteks foto Reuters
- Foto yang dipublikasikan Reuters menangkap momen Waltz memeriksa ponselnya saat rapat kabinet yang digelar Donald Trump di Gedung Putih
- Di layar terlihat pesan dari beberapa pejabat tinggi pemerintah
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Pesan PIN Signal dan konteks keamanan
- Di bagian bawah layar ponsel Waltz ada teks yang tampak seperti pesan verifikasi PIN Signal biasa
- Pesan verifikasi PIN Signal dapat muncul untuk mendorong pengguna mengingat PIN mereka
- PIN dapat digunakan untuk membantu mencegah orang lain membajak akun
Pertanyaan praktis yang tersisa
- Jika versi tidak resmi Signal dipakai untuk pengarsipan pesan, maka isu utamanya adalah jenis informasi dengan klasifikasi apa yang dibahas pejabat publik di aplikasi ini
- Bagaimana data yang disimpan tersebut diamankan juga tetap menjadi hal yang perlu diklarifikasi
1 komentar
Komentar Hacker News
https://archive.ph/oXYXe
Instansi pemerintah sebelumnya juga pernah membayar untuk versi messenger terenkripsi dengan fitur pengarsipan. Pada 2021, CBP membayar Wickr sebesar 700 ribu dolar
Ini tampak seperti penggunaan yang sangat cocok untuk mendukung Signal. Perusahaan besar atau instansi pemerintah bisa membayar langsung pengembang aplikasi untuk fork khusus, jadi saya tidak mengerti mengapa TeleMessage yang menerima uangnya. Apakah Signal Foundation tidak memudahkan implementasi fork berbayar?
“TM SGNL” tampaknya merujuk pada perangkat lunak dari perusahaan bernama TeleMessage. Perusahaan ini membuat tiruan aplikasi messenger populer dan menambahkan fitur pengarsipan ke masing-masing aplikasi
Kalau memakai Signal tetapi membiarkan perusahaan luar negeri menyadap komunikasi, apa gunanya? Mungkin mereka menginginkan UX produk komersial alih-alih pengalaman pengguna aplikasi yang disetujui pemerintah yang kaku, tetapi ada yang tahu alternatifnya apa?
Signal disetujui untuk penggunaan pemerintah, tetapi tidak untuk informasi Departemen Pertahanan yang bersifat nonpublik. Signal bisa dipakai sebatas mengatakan “datang ke SCIF, kita bahas detailnya di sana”, sementara detailnya harus dibahas di lingkungan yang aman
CISA menyarankan penggunaan layanan terenkripsi end-to-end sebagai gantinya, dan secara khusus menyebut Signal
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Pada akhirnya Signal hanyalah salah satu aplikasi di ponsel. Jika akan dipakai untuk komunikasi rahasia, ponsel itu harus memiliki perangkat lunak seminimal mungkin atau bahkan tidak ada sama sekali, serta dilindungi dengan kata sandi, enkripsi, dan segala cara lain yang memungkinkan
Saya bertanya-tanya apakah perlu menanggung kerentanan keamanan demi pengarsipan. Lagi pula, kalau meminta kepada Israel dan Pegasus, mungkin arsipnya bisa didapat
Melihat beberapa detail, TeleMessage dulu atau mungkin masih merupakan perusahaan Israel [1], tetapi tahun lalu diakuisisi oleh perusahaan AS, Smarsh [2], dan Smarsh sendiri juga merupakan anak perusahaan K1 Investment Management, perusahaan AS. Saya tidak tahu apakah perusahaannya sudah pindah
Mungkin tidak terkait langsung, tetapi di ketentuan layanannya juga terlihat ada klausul terpisah tentang messaging di Tiongkok, dan tampaknya mencakup pengungkapan kepada pemerintah Tiongkok. Tidak jelas bagaimana aplikasi ini bekerja. Ia dipromosikan seperti fork dari klien Signal dan tampaknya mengunggah semuanya ke server jarak jauh; kalau begitu, tentu saja enkripsi end-to-end rusak kecuali arsip dipandang sebagai salah satu endpoint penerima dan koneksi itu dianggap aman. Antarmukanya juga tampaknya dipromosikan sama seperti Signal.
Namun klien Signal untuk iOS dan Android sama-sama AGPLv3. Saya tidak menemukan tanda bahwa klien TeleMessage bukan perangkat lunak proprietari. Kalau begitu, apakah menurut AGPLv3 mereka hanya memberikan perangkat lunak dan source code kepada pelanggan berbayar, lalu pelanggan boleh mendistribusikannya ulang? Apakah mereka mengimplementasikan ulang kliennya sepenuhnya? Atau ini fork proprietari ilegal? Yang pertama tampaknya kecil kemungkinannya, dan dua yang terakhir cukup mengkhawatirkan dari sisi keamanan aplikasi
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
Setidaknya GPLv2 sering dijelaskan cukup ramah perusahaan, dalam arti modifikasi “privat” tetap privat dan karyawan tidak dianggap sebagai distribusi eksternal. Saya kurang tahu soal AGPL
Dulu saya pernah bekerja di perusahaan yang menjual solusi perangkat lunak kustom berbasis perangkat lunak GPL kepada pelanggan terkait militer, mungkin pihak DOD. Selama lebih dari 10 tahun tidak ada yang meminta kodenya, sampai akhirnya beberapa tahun lalu ada seseorang yang memintanya. Mungkin ingin mengevaluasinya, tetapi karena barang itu dipakai sebagai inti dari banyak pekerjaan, mem-fork-nya pasti akan cukup merepotkan. Komponen bergeraknya benar-benar banyak.
Kecuali ada seseorang yang menghubungi server TM SGNL lalu meminta source dan ditolak, itu tidak ilegal
Yang benar-benar agak menakutkan, Global Relay menerima semuanya lewat SMTP. Saya belum memastikan apakah mereka mengatur DNSSEC atau MTA-STS, tetapi melihat cara operasi Global Relay, rasanya kecil kemungkinan mereka melakukannya. Dengan proxy yang ditempatkan dengan baik atau pencemaran DNS saja, sepertinya cukup banyak email sensitif yang dikirim ke Global Relay bisa disedot
Aplikasinya tampak seperti ini
https://www.telemessage.com/how-to-install-and-register-sign...
Saya benar-benar penasaran apa maksud pesan JD yang berbunyi “mendapat konfirmasi dari pihak lain bahwa itu sudah dimatikan”
Tunggu, jadi yang mereka pakai adalah aplikasi kloning Signal yang dioperasikan oleh perwira intelijen Israel?
Bagian ini tampaknya belum benar-benar diketahui secara luas. Kalau mencari alamat perusahaan itu di Google Maps, yang muncul sebenarnya perusahaan bernama “Cyberint”, dan itu terlihat sangat tidak bagus
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
Yang lebih buruk, halaman tim di situs perusahaan itu penuh dengan orang yang tampaknya adalah “mantan” perwira intelijen Israel, termasuk CEO-nya
https://www.telemessage.com/team/
Ini tampaknya jauh lebih besar daripada cerita yang diketahui saat ini. Beberapa orde besaran lebih besar daripada Signalgate yang asli. Implikasinya di sini adalah bahwa perwira intelijen Israel mungkin memiliki akses terbaik di dunia saat ini: feed real-time dari semua percakapan yang diikuti oleh Penasihat Keamanan Nasional AS