Analisis dorongan pemerintah AS untuk melarang penjualan TP-Link

 (krebsonsecurity.com)
2 poin oleh GN⁺ 2025-11-11 | 1 komentar | Bagikan ke WhatsApp
  • Pemerintah AS sedang mempertimbangkan langkah untuk melarang penjualan router nirkabel dan peralatan jaringan TP-Link Systems, dengan kekhawatiran atas keterkaitan dengan Tiongkok disebut sebagai alasan utama
  • Departemen Perdagangan menilai produk TP-Link memproses data sensitif di AS dan mungkin berada di bawah pengaruh pemerintah Tiongkok
  • TP-Link membantah adanya risiko keamanan dengan mengacu pada pemisahan total dari entitas di Tiongkok, manufaktur di Vietnam, dan kantor pusat di California, serta menyatakan pangsa pasarnya dibesar-besarkan
  • Check Point Research dan Microsoft melaporkan kasus router TP-Link yang disalahgunakan oleh kelompok peretas Tiongkok, dengan aktivitas peretas yang didukung negara seperti Camaro Dragon turut disebut
  • Dari sudut pandang konsumen, terlepas dari kekhawatiran keamanan, akses ke produk murah dengan performa tinggi berpotensi dibatasi, sehingga keseimbangan antara keamanan dan akses teknologi menjadi isu utama

Dorongan pemerintah AS untuk melarang penjualan TP-Link

  • Pemerintah AS sedang menyiapkan larangan penjualan router dan peralatan jaringan TP-Link Systems, yang dilaporkan merupakan langkah terhadap perusahaan dengan pangsa sekitar 50% di pasar rumah tangga dan UKM

    • Para ahli menilai langkah ini lebih didasarkan pada kekhawatiran keterkaitan dengan Tiongkok daripada ancaman teknis
    • Karena industri secara luas menggunakan komponen buatan Tiongkok, kerentanan keamanan tidak terbatas pada TP-Link saja

  • The Washington Post melaporkan bahwa lebih dari enam lembaga federal mendukung rencana pelarangan ini, dan bahwa Departemen Perdagangan telah menyimpulkan produk TP-Link berada dalam lingkup pengaruh pemerintah Tiongkok

Iklan

Bantahan TP-Link dan struktur perusahaan

  • TP-Link menyatakan adanya pemisahan total dari TP-Link Technologies di Tiongkok, dan menjelaskan bahwa mereka mengoperasikan kantor pusat AS (California), cabang di Singapura, dan fasilitas manufaktur di Vietnam
    • Sebagian besar riset, desain, dan manufaktur dilakukan sendiri kecuali chipset
    • Disebutkan pula bahwa sebagian aset rekayasa di Tiongkok dioperasikan secara independen dan tidak berada di bawah pengawasan pemerintah Tiongkok
  • Juru bicara Ricca Silverio menyatakan, “Sebagai perusahaan Amerika, TP-Link berkomitmen untuk menyediakan produk berkualitas tinggi dan aman

Kekhawatiran keamanan dan kasus peretasan

  • Komite Khusus DPR AS untuk Persaingan Strategis AS-Tiongkok pada Agustus 2024 meminta penyelidikan dengan menyatakan bahwa perangkat TP-Link dijual di pangkalan militer AS dan toko pertukaran militer
    • Dalam surat tersebut, mereka menyuarakan kekhawatiran atas kerentanan TP-Link dan kewajiban kepatuhan terhadap hukum Tiongkok, serta memperingatkan bahwa pemerintah Tiongkok telah melakukan serangan siber menggunakan router SOHO
  • Check Point Research (2023) melaporkan bahwa kelompok peretas Tiongkok Camaro Dragon menggunakan firmware berbahaya untuk router TP-Link guna melancarkan serangan terhadap lembaga diplomatik Eropa
    • Malware tersebut hanya ditemukan pada perangkat TP-Link, tetapi disebutkan bahwa perangkat dari produsen lain juga bisa berisiko
  • Microsoft (2024) mengumumkan bahwa sejak 2021, kelompok peretas Tiongkok telah menyalahgunakan router SOHO TP-Link untuk melakukan serangan password spraying
Iklan

Realitas keamanan router konsumen

  • Sebagian besar router konsumen memiliki konfigurasi bawaan yang lemah saat keluar dari pabrik, dan jika akun serta kata sandi default tidak diubah, perangkat dapat menjadi target serangan botnet IoT dalam hitungan menit
    • Bahkan produk baru pun sering kali dikirim dengan firmware versi lama saat dirilis
  • Dalam beberapa tahun terakhir, produsen besar beralih ke arah yang mewajibkan prosedur keamanan dasar (mengganti kata sandi, memperbarui firmware)
    • Eero, Orbi, ZenWifi dan router mesh lain mendukung pembaruan otomatis melalui pendaftaran online
    • Belkin, Linksys dan lainnya mendorong instalasi berbasis aplikasi seluler, tetapi dalam banyak kasus pengguna tetap harus melakukan pembaruan secara manual

Firmware open source dan alternatif

  • Firmware open source seperti OpenWrt dan DD-WRT dapat digunakan pada berbagai router, serta menawarkan ekspansi fungsi dan perpanjangan usia pakai
    • Banyak router TP-Link juga kompatibel dengan OpenWrt
    • Meskipun tidak dapat memperbaiki cacat di tingkat perangkat keras, solusi ini bisa membantu mengurangi masalah keamanan khas vendor seperti akun yang di-hardcode dan kerentanan bypass autentikasi
    Iklan
  • Jika router sudah berusia lebih dari 4~5 tahun, penggantian disarankan dari sisi performa dan keamanan

Hal yang perlu diperhatikan terkait perangkat yang dikelola ISP

  • Banyak router TP-Link dan pesaingnya disewakan dan dikelola melalui ISP, serta mencakup pembaruan jarak jauh dan profil autentikasi
    • Dalam kasus seperti ini, pengguna sebaiknya tidak mengganti atau memodifikasi firmware sesuka hati, dan perlu berkonsultasi terlebih dahulu dengan ISP

Opini pembaca dan perdebatan

  • Sebagian pembaca mengkritik penggiringan rasa takut yang berlebihan terhadap produk buatan Tiongkok, dengan menekankan bahwa produsen lain juga memiliki kerentanan serupa
  • Sebaliknya, pendapat lain menyoroti risiko keamanan produk TP-Link dengan alasan potensi keterkaitan dengan pemerintah Tiongkok
  • Sejumlah komentar membahas ketidaknyamanan pengaturan berbasis aplikasi, kekhawatiran kebocoran privasi, dan ketiadaan produk pengganti di AS
  • Sebagian pengguna mengakui keunggulan TP-Link yang murah dan berkinerja tinggi, namun menyebut sedang menggantinya karena risiko keamanan jangka panjang

Konteks penutup

  • Dorongan untuk melarang TP-Link menunjukkan benturan antara keamanan nasional dan akses teknologi
  • Diperlukan pengungkapan informasi yang jelas mengenai bentuk dan cakupan ancaman keamanan, dan
    pembagian tanggung jawab antara konsumen, ISP, dan pemerintah muncul sebagai inti perdebatan ke depan

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-11
Opini Hacker News

  • Saya tidak mengerti saat orang bilang firmware TP-Link tidak diperbarui
    Di rumah saya, rumah orang tua saya, dan rumah orang tua pacar saya, kami memakai empat jenis router TP-Link, dan semuanya terus menerima pembaruan meski sudah beberapa tahun sejak dirilis. Bahkan beberapa model masih mendapat pembaruan bulan lalu
    Nilai guna dibanding harganya bagus, dan ada fitur keamanan dasar juga, jadi menurut saya sudah lebih dari cukup untuk penggunaan rumahan
    Memang tidak sempurna, tapi di kisaran harga ini, mau berharap apa lagi

    • Setuju. TP-Link memang bukan simbol keamanan mutakhir atau fitur futuristis, tapi menjalankan fungsi dasar dengan andal
      Zaman sekarang bahkan produk mahal pun sulit dipercaya, dan TP-Link adalah pilihan yang sangat bagus untuk harganya
      Fakta bahwa mereka mendapat dukungan dan pembaruan jauh lebih lama daripada pesaing juga merupakan keunggulan besar
    • Router m4R saya sudah berumur lebih dari 15 tahun dan masih menerima pembaruan firmware bulan lalu
    • Saya juga mengoperasikan beberapa perangkat TP-Link di tiga rumah, dan semuanya menerima pembaruan secara rutin
    • Saya tidak tahu ada semacam ‘kebencian’ terhadap TP-Link. Di antara perangkat jaringan konsumen, menurut saya ini merek yang cukup bisa dipercaya
      Dulu citranya memang seperti ‘merek murah buatan Tiongkok’, tapi sekarang rasanya sudah jadi merek menengah yang solid seperti Anker
      Secara pribadi, kesannya seperti penerus posisi D-Link
    • ‘Kebencian’ seperti ini mirip dengan kecurigaan backdoor dari pemerintah Tiongkok seperti pada kasus Huawei
      Tapi sampai sekarang belum ditemukan bukti nyata. Para pakar keamanan dan peretas dari berbagai negara pasti sudah membedah perangkatnya sepenuhnya, dan kalau ada sesuatu pasti sudah lama terungkap
      Saya percaya kalau memang ada backdoor, pada akhirnya akan terungkap

  • Menurut saya ini standar ganda: pemerintah AS boleh langsung membeli saham Intel, tapi Partai Komunis Tiongkok tidak boleh sedikit pun terlibat dalam perusahaan
    Kalau masalahnya keamanan, mestinya ada solusi yang lebih nyata, seperti mewajibkan operator menanggung biaya dukungan firmware berkelanjutan
    Respons politik seperti ini pada akhirnya akan menjadi bumerang bagi AS sendiri 15 tahun lagi

    • Sikapnya seperti, “AS boleh, Tiongkok tidak.” Pada akhirnya ini cuma permainan munafik
    • Membeli saham biasa dan memiliki saham pengendali adalah hal yang berbeda
      Cara Tiongkok mengendalikan perusahaan sangat berbeda dari Barat, jadi membandingkan keduanya secara langsung adalah kesetaraan palsu
    • Untuk ucapan “AS boleh, Tiongkok tidak”, saya rasanya ingin menjawab, “ya, benar”
    • Tiongkok juga sudah lama membatasi produk AS. Kedua pihak sama-sama bertingkah kekanak-kanakan
    • Naif kalau percaya negara pesaing akan bermain adil. Pada akhirnya kedua belah pihak sama-sama melakukan propaganda

  • Pelajaran sebenarnya dari kasus ini adalah: jangan kurangi investasi keamanan hanya karena sudah sukses
    Kalau saya TP-Link, saya akan marah mendengar puluhan ribu router buatan saya diretas
    Seharusnya mereka segera bergerak untuk meningkatkan kualitas perangkat lunak dan memperkuat proses pemeriksaan kerentanan
    Tapi kenyataannya mereka tampak hanya peduli pada margin keuntungan

    • Pelajaran sebenarnya tampaknya adalah “jangan lupa menyuap presiden AS
    • Saya kangen AirPort. Perangkat lunaknya sempurna dan sederhana, dan fitur mesh juga sudah diterapkan sejak awal
      Produk zaman sekarang masih saja penuh langkah merepotkan seperti pendaftaran online
    • Melihat kemacetan yang melumpuhkan lalu lintas pada jam yang sama setiap hari, saya pernah berpikir ini adalah bug yang seharusnya memalukan kalau ini perangkat lunak
      Tapi tampaknya dalam banyak industri nyata, psikologi manusia justru menerima masalah seperti ini sebagai sesuatu yang ‘normal’
    • Kalau yang benar-benar jadi masalah adalah keamanan, Fortinet juga seharusnya dilarang. Pada akhirnya mereka lebih lunak terhadap perusahaan AS
    • Microsoft dan Cisco juga abai terhadap keamanan, jadi saya tidak mengerti kenapa hanya TP-Link yang dipermasalahkan

  • Produk TP-Link itu tangguh, dan kalau mau, kebanyakan juga bisa diganti firmware-nya dengan OpenWRT
    Saya memasang mesh Wi‑Fi di rumah orang tua saya, dan prosesnya sangat mulus
    Hanya saja, keharusan mendaftarkan akun cloud agak disayangkan

    • Tapi OpenWRT saja tidak cukup
      Sebagian besar chipset Wi‑Fi memakai blob firmware tertutup, dan menjalankan OS terpisah di CPU-nya sendiri
      Artinya, OpenWRT tidak tahu apa yang terjadi di bawahnya. Ini bukan solusi yang sepenuhnya tuntas
    • Saya menjalankan sebuah kafe, dan memakai sistem Omada
      Fiturnya kaya, seperti memisahkan beberapa jaringan, mematikan Wi‑Fi tamu secara otomatis, dan mengatur prioritas bandwidth
      Jauh lebih murah daripada Meraki dan performanya juga memuaskan
      Di lingkungan saya, risiko keamanannya rendah, jadi ini pilihan yang sepenuhnya masuk akal
    • Pada akhirnya, bahkan dengan OpenWRT pun kendali di level perangkat keras tetap ada
      Sama seperti saat memakai Linux, lapisan firmware seperti Intel ME atau SGX tetap masih ada
    • Dulu saya pernah membeli ponsel TP-Link dan kecewa karena dukungannya dihentikan
      Belakangan saya membeli router untuk memasang OpenWRT, tapi revisinya berubah dan spesifikasinya diturunkan, jadi tidak bisa dipasang
      Meski begitu, kualitasnya masih cukup baik untuk harganya
    • Saya juga ingin memasang jaringan mesh di rumah orang tua saya
      Saya ingin minta rekomendasi perangkat yang stabil dan mudah dikelola dari jarak jauh

  • Ancaman nyata bagi router konsumen bukan Tiongkok, melainkan firmware yang buruk
    Banyak sekali jaringan yang dibobol bukan oleh negara, melainkan oleh penjahat
    Kalau benar-benar ingin keamanan, kita perlu standar rekayasa perangkat lunak
    Tapi kenyataannya ini cuma tekanan politik dan kartu untuk negosiasi dagang

    • Cisco juga tiap tahun kena masalah kerentanan kata sandi hardcoded
      Bahkan dari buletin keamanan terbaru saja sudah terlihat bahwa seluruh industri melakukan pengembangan ala YOLO
    • Semoga momen ini dipakai untuk memaksa tanggung jawab keamanan perusahaan lewat undang-undang seperti Cyber Resilience Act (CRA)

  • Untuk produk TP-Link yang belum EOL, mereka terus menyediakan pembaruan
    Produk AS pun kalau sudah dihentikan juga jadi rentan dengan cara yang sama
    Kontroversi ini lebih mirip perang lobi untuk merebut pangsa pasar AS daripada soal keamanan
    Lagi pula malware yang disebut Checkpoint itu tidak bergantung pada firmware, jadi bisa diterapkan ke perangkat keras lain juga

  • Kalau setelah DJI sekarang TP-Link juga dilarang, saya jadi penasaran seperti apa pasar AS tanpa produk Tiongkok yang murah dan bernilai tinggi
    Generasi insinyur AS berikutnya yang tumbuh di lingkungan seperti itu akan mengalami kekurangan akses terhadap teknologi

    • Di AS masih banyak produk Tiongkok yang tetap diizinkan
      Alasan pelarangannya bukan kewarganegaraan, melainkan risiko keamanan yang nyata
      TP-Link kehilangan kepercayaan karena pemasangan backdoor dan deklarasi menyerah pada patch keamanan
      Sejak setahun lalu, berbagai komunitas teknis sudah mengangkat masalah ini
    • Huawei juga jangan dilupakan
    • Pada akhirnya ini bisa jadi seperti industri EV AS
      Teknologinya oke, tapi pasarnya mahal dan kurang inovatif

  • Saya memakai TP-Link Deco di belakang Firewalla Gold
    Sejauh ini, ini adalah jaringan rumah paling sederhana dan paling stabil yang pernah saya gunakan
    Saya tidak suka TP-Link, tapi untuk kesesuaian dengan tujuan dibanding harga, ini yang terbaik
    Kalau sampai dilarang, saya khawatir soal layanan purna jual, pembaruan, dan kekacauan pasar di AS

    • Mungkin pemerintah akan menyelesaikannya dengan cara memaksa penjualan unit bisnis di AS
      Seperti kasus TikTok-Oracle

  • Menurut saya justru AS adalah ancaman yang lebih besar
    Belakangan ini AS terlihat seperti negara yang dijalankan ala mafia. Kalau mereka tidak bisa menanam backdoor mereka sendiri, mereka menghancurkan perusahaannya

    • Sebenarnya kebanyakan negara mirip seperti itu. Hanya saja AS punya pengaruh politik yang lebih besar
      Online Safety Act di Inggris, atau rancangan undang-undang pelarangan enkripsi di Australia, adalah contohnya
    • Pada akhirnya hanya namanya yang berbeda; ini tetap perilaku sebuah kekaisaran