- TV pemerintah Iran pada Selasa sore mendesak warga untuk menghapus WhatsApp dari ponsel pintar mereka, dengan mengklaim aplikasi itu mengumpulkan informasi pengguna dan mengirimkannya ke Israel, tetapi tidak memberikan bukti konkret
- WhatsApp membantahnya sebagai laporan palsu dan khawatir hal itu bisa dijadikan alasan untuk memblokir layanan pada saat orang paling membutuhkannya
- Layanan ini menggunakan enkripsi ujung ke ujung, sehingga penyedia perantara tidak dapat membaca pesan, dan WhatsApp menyatakan tidak melacak lokasi yang akurat, tidak menyimpan log lawan bicara, tidak melacak pesan pribadi, serta tidak memberikan informasi massal kepada pemerintah
- Gregory Falco, pakar keamanan siber dari Cornell University, menilai telah terbukti bahwa hanya dengan metadata yang tidak terenkripsi pun dapat diketahui informasi tentang cara aplikasi digunakan
- Iran telah memblokir berbagai platform media sosial, tetapi banyak pengguna mengaksesnya lewat proxy dan VPN, dan WhatsApp serta Google Play sempat dilarang pada 2022 sebelum dicabut pada akhir tahun lalu
Seruan penghapusan dari TV pemerintah dan kurangnya dasar bukti
- TV pemerintah Iran pada Selasa sore mendesak warga untuk menghapus WhatsApp dari ponsel pintar mereka
- Sebagai alasannya, mereka menuduh WhatsApp mengumpulkan informasi pengguna dan mengirimkannya ke Israel, tetapi tidak menunjukkan bukti konkret yang mendukung klaim tersebut
Bantahan WhatsApp dan struktur enkripsi
- WhatsApp menyebut laporan itu sebagai laporan palsu dan khawatir hal tersebut dapat menjadi dalih untuk pemblokiran layanan pada saat orang paling membutuhkannya
- Layanan ini menggunakan enkripsi ujung ke ujung
- Penyedia layanan di tengah tidak dapat membaca pesan
- Pesan diacak sehingga hanya pengirim dan penerima yang dapat melihatnya, dan sekalipun disadap pihak ketiga, yang terlihat hanyalah isi yang tidak bisa diuraikan tanpa kunci
- WhatsApp menjelaskan praktik pengolahan datanya sebagai berikut
- Tidak melacak lokasi akurat pengguna
- Tidak menyimpan log tentang siapa mengirim pesan kepada siapa
- Tidak melacak pesan pribadi yang dikirim antarindividu
- Tidak memberikan informasi massal kepada pemerintah mana pun
Metadata yang tersisa di luar enkripsi
- Gregory Falco, profesor teknik madya di Cornell University sekaligus pakar keamanan siber, mengatakan telah terbukti bahwa metadata yang tidak terenkripsi di WhatsApp dapat dipahami
- Menurutnya, metadata semacam ini dapat mengungkap informasi tentang bagaimana orang menggunakan aplikasi, dan karena itu sebagian pengguna selama ini enggan memakai WhatsApp
Kedaulatan data dan lokasi infrastruktur
- Falco juga menyoroti kedaulatan data sebagai isu lain
- Pusat data yang meng-host data WhatsApp dari suatu negara tidak harus berada di negara tersebut
- Sebagai contoh, ia mengatakan sangat mungkin data WhatsApp Iran tidak di-host di dalam Iran
- Ia berpendapat negara harus menyimpan data mereka di dalam negeri dan memprosesnya di dalam negeri dengan algoritme mereka sendiri
- Ia juga menambahkan bahwa semakin sulit untuk mempercayai jaringan infrastruktur data global
Layanan milik Meta dan riwayat pemblokiran di Iran
- WhatsApp dimiliki oleh Meta Platforms, induk perusahaan Facebook dan Instagram
- Selama bertahun-tahun Iran telah memblokir akses ke berbagai platform media sosial, tetapi banyak pengguna tetap mengaksesnya lewat proxy dan VPN
- Pada 2022, Iran melarang WhatsApp dan Google Play selama gelombang besar protes anti-pemerintah terkait kematian seorang perempuan yang ditahan polisi moral
- Larangan tersebut dicabut pada akhir tahun lalu
- WhatsApp, bersama Instagram dan Telegram, merupakan salah satu aplikasi pesan paling populer di Iran
1 komentar
Pendapat di Hacker News
Yang paling menarik adalah pilihan kata dalam pernyataan Meta
Mereka mengatakan, “Kami tidak melacak lokasi persis pengguna, tidak menyimpan log tentang siapa saja yang saling berkirim pesan, dan tidak melacak pesan pribadi yang dikirim orang satu sama lain,” lalu menambahkan bahwa mereka “tidak memberikan informasi massal kepada pemerintah mana pun”
Saya tidak tahu persis pemerintah mana yang punya akses seperti apa, apakah berbasis surat perintah, negara mana, atau di mana garis antara teroris sungguhan dan penindasan terhadap jurnalis
Namun ekspor massal jelas ada, dan fakta bahwa mereka berbohong soal itu membuat saya berasumsi yang terburuk
Dalam proses penyediaan layanan yang normal, WhatsApp tidak menyimpan pesan yang telah terkirim maupun log transaksi pesan yang telah terkirim, dan pesan yang tidak terkirim dihapus dari server setelah 30 hari
Namun disebutkan bahwa jika mereka dengan iktikad baik menilai hal itu diperlukan untuk keselamatan pengguna, mendeteksi·menyelidiki·mencegah aktivitas ilegal, menanggapi proses hukum atau permintaan pemerintah, serta menegakkan ketentuan·kebijakan, mereka dapat mengumpulkan·menggunakan·menyimpan·membagikan informasi pengguna, termasuk informasi tentang bagaimana sebagian pengguna berinteraksi dengan pengguna lain di layanan tersebut
Kalimat ini bertentangan dengan klaim bahwa mereka tidak menyimpan log tentang siapa yang saling berkirim pesan
Justru lebih masuk akal menganggap mereka melacak semuanya dengan presisi tinggi dan juga melakukan serangan man-in-the-middle (MITM) terhadap pesan. Apalagi sekarang mereka bahkan memasukkan iklan
“Kami tidak menyimpan log tentang siapa saja yang saling berkirim pesan…”
“Kami tidak menyimpan log tentang siapa saja yang saling berkirim pesan…”
“Kami tidak menyimpan log tentang semua orang yang saling berkirim pesan…” dan seterusnya
Banyak spekulasi lemah seolah-olah WhatsApp melakukan serangan man-in-the-middle pada chat yang terenkripsi end-to-end, tetapi jalur yang paling mungkin diakses pemerintah sudah ada di tempat yang diketahui publik
WhatsApp sangat mendorong pengguna untuk mencadangkan chat ke iCloud atau Google Drive. Cadangan ini secara default tidak terenkripsi, atau setidaknya terenkripsi dengan kunci yang diketahui Meta, dan sebagian besar pengguna tetap memakai pengaturan default
iMessage juga sama. Jika “iCloud Backup” dan “iMessage in the cloud” aktif, pesan yang diterima diunggah ke Apple dengan kunci yang dapat diakses Apple, kecuali “Advanced Data Protection” juga diaktifkan. Dan ini juga bukan pengaturan default
Pengguna memang bisa keluar dari pengaturan default, tetapi agar percakapan benar-benar privat, kedua pihak harus melakukannya. Kalau motivasinya sampai sejauh itu, sebaiknya memang sudah memakai Signal
Masuk akal. Israel tampaknya menggunakan metadata WhatsApp untuk menargetkan warga Palestina di Gaza: https://www.972mag.com/lavender-ai-israeli-army-gaza/
Menurut bagian yang dikutip, solusinya adalah kecerdasan buatan, dan buku itu berisi panduan singkat untuk membuat “mesin target” mirip Lavender, berbasis algoritma kecerdasan buatan dan pembelajaran mesin
Contoh dari “ratusan·ribuan” fitur yang dapat menaikkan skor seseorang mencakup berada di grup WhatsApp yang sama dengan militan yang diketahui, mengganti ponsel setiap beberapa bulan, sering mengganti alamat, dan sebagainya
Israel bahkan tidak membutuhkan WhatsApp terpasang
Unit 8200[1] milik IDF kemungkinan bisa meretas sebagian besar ponsel di Iran, dan kalau tidak bisa, ada perusahaan spyware swasta seperti NSO Group[2][3]
[1] https://en.wikipedia.org/wiki/Unit_8200
[2] https://en.wikipedia.org/wiki/NSO_Group
[3] https://mepc.org/commentaries/israeli-cyber-companies-overvi...
Saya pernah melakukan reverse engineering terhadap OMA DM, pembaruan/akses FOTA, serta binary yang dipasang sebelumnya di ponsel atau modem oleh beberapa operator AS untuk akses jarak jauh, jadi saya tahu soal itu
Tetap saja, saya sulit menerima bahwa itu bisa dibuat tidak terlihat oleh operator jaringan seluler negara target
“Kebetulan” putra mahkota sah yang hidup di pengasingan, yaitu tokoh dari dinasti Pahlavi, kembali muncul di media sosial dan mengatakan bahwa rezim Iran saat ini akan runtuh
Di internet banyak diskusi tentang bagaimana rezim saat ini sedang runtuh, dan banyak orang akan senang jika para pria berjanggut yang memerintah dengan hukum syariah itu lenyap
Hal yang paling tidak diinginkan para fanatik agama di puncak negara Islam itu adalah orang Iran sendiri memanfaatkan kesempatan ini untuk menggulingkan rezim
Makna sebenarnya dari “hapus WhatsApp agar tidak membantu Israel menemukan lokasi Anda” lebih dekat ke “jangan bagikan video putra mahkota yang mengumumkan bahwa ia akan memberi kehidupan tanpa hukuman syariah”
Ada alasan kuat untuk percaya bahwa banyak aplikasi Barat memiliki backdoor, dan untuk negara seperti Iran, backdoor tertentu bisa saja disediakan melalui app store.
Teknologi mobil dan kamera juga sama. Kalau Anda bekerja di badan intelijen, ini benar-benar alat impian. Sebab pengawasan real-time di jalan yang dulu sangat sulit kini menjadi mungkin.
Entah sudah berapa kali saya membutuhkan foto terbaru dari jalan atau rumah yang berjarak beberapa mil. Dengan kamera mobil 360 derajat, Anda bisa melacak seseorang dan melihat perubahan hingga beberapa menit sebelumnya.
Saya tidak mengerti mengapa negara-negara seperti ini tidak memblokir fitur tersebut atau mewajibkannya dimatikan sepenuhnya.
Baik intuisi maupun pengalaman kerja mengatakan bahwa sampai batas tertentu itu benar, tetapi saya penasaran bagaimana orang membedakan teori konspirasi dari dugaan yang sah.
Mengejutkan bahwa kekhawatiran rezim Iran berfokus pada WhatsApp yang berbagi informasi dengan Israel. Jauh lebih mungkin Mossad menggunakan kerentanan zero-day WhatsApp untuk mendapatkan informasi, daripada WhatsApp secara aktif membagikannya.
Mekanismenya bisa saja lain. Misalnya Google Drive atau jenis malware lain.
Di dunia pasca-pengungkapan Snowden pada 2011, ketika NSA dan CIA menanam bug di mana-mana mulai dari hardware hingga firmware, sulit untuk yakin.
Saya tidak tahu apakah klaim Iran benar, tetapi jujur saja saya selalu gelisah tentang apa yang sebenarnya dicatat aplikasi-aplikasi seperti ini. Enkripsi end-to-end memang bagus, tetapi tidak melindungi metadata.
Masalah sebenarnya adalah kita masih hanya menebak-nebak. Apakah ada orang yang benar-benar bisa bicara dengan yakin soal ini?
Promosi bahwa WhatsApp memiliki “enkripsi end-to-end” mungkin benar, tetapi itu juga berarti mereka tidak melakukan hal-hal baik lain yang bisa dilakukan untuk privasi dan keramahan bagi konsumen.
Apakah ada orang di Iran yang bisa menjelaskan soal ini? Bagaimana warga setempat memandang WhatsApp?
Keduanya sudah diblokir selama bertahun-tahun, dan WhatsApp sempat dibuka beberapa bulan lalu, tetapi diblokir lagi setelah serangan Israel.
Saya rasa tidak banyak orang Iran yang percaya atau peduli pada apa yang dikatakan rezim. Namun segelintir pendukung rezim mungkin percaya, meski sejak awal kemungkinan besar mereka memang tidak memakai WhatsApp.
Meski begitu, rezimnya sendiri tampaknya benar-benar mempercayai ini. Misalnya, ada juga kabar bahwa para pejabat tinggi sekarang tidak boleh menggunakan perangkat elektronik yang terhubung ke internet seperti ponsel.
Semua platform media sosial dan perpesanan utama sudah disusupi dan digunakan sebagai alat pengawasan, jadi pemerintah Iran tidak sepenuhnya salah.
Sebagian besar medannya mirip Afghanistan. Aliansi Islam berbasis suku mampu bertahan dengan baik bahkan ketika pemerintah pusat hilang. Ada juga perbatasan pegunungan yang sangat besar dan berpori dengan setidaknya dua negara yang mungkin menutup mata terhadap kelompok bersenjata Islam tertentu.
Saya paham semua orang ingin menelan mentah-mentah kampanye dominasi udara total dan penggulingan kepemimpinan, serta ingin percaya bahwa WhatsApp bisa memisahkan rezim dari 52 bidadari. Namun ini adalah kampanye propaganda.
Propaganda awal hanya berfungsi untuk membangun persetujuan cukup lama sampai warga mencelupkan kaki mereka ke dalam darah dan tidak bisa mundur lagi. Kita sedang dalam proses tertipu.