Saya baru baca laporan dari cybernews tentang keamanan secure messaging apps. Laporannya memang dibuat tahun 2020, tapi menarik untuk dibaca. Jadi mereka melakukan analisa terhadap 13 apps secure messaging yang populer, yaitu:
- Signal
- Wickr Me
- Messenger
- Telegram
- Wire
- Viber
- Cyber Dust
- iMessage
- Pryvate
- Qtox
- Session
- Briar
Yang dianalisa dari sisi keamanan data, yaitu proses enkripsi, mekanisme pengiriman pesan, mekanisme pertukaran kucni dan proses kriptografinya. Hasil analisanya adalah sebagai berikut:
- 2 apps secara default gak ngaktifin fungsi security, jadi musti diaktifin manual oleh user (telegram & facebook messenger)
- 4 apps menggunakan protokol enkripsi Signal yaitu end-to-end ecryption yang telah dipercaya oleh industri (Signal, Messenger, WhatsApp dan Session). Pada end-to-end encryption, hanya pengirim dan penerima yang dapat membaca pesan.
- Hanya 2 apps (Briar dan Qtox) yang menggunakan P2P untuk mekanisme transport. Maksudnya P2P ini komunikasinya langsung dikirim dari pengirim ke penerima dengan mekanisma peer-to-peer. Jadi gak ada server diantara pengirim dan penerima. Pesan akan pindah dari satu perangkat ke perangkat lainnya. Qtox menggunakan protokol TOX P2P, sementara briar menggunakan mekanisme transder sendiri.
- iMessage tidak mengenkip pesan bila menggunakan jaringan GSM (untuk koneksi 2G and 3G)
- 3 dari 13 app memiliki fitur berbayar dengan fitur tambahan. Wired tidak memiliki versi free.
- Sebagian besar apps menggunakan enkripsi RSA dan AES, untuk enkripsi dan hash kunci.
Untuk Telegram dan Facebook, kita dapat mengaktifkan fitur secret chat. Pada setiap chat kita bisa memilih go to secret chat. Namun tidak semua apps ini sempurna, selalu ada celah keamanan yang bisa dieksploitasi. Contohnya Whatsapp pernah diretas dengan spyware Israel, yang dapat menginstall apps surveillance di hp target, hanya dengan melakukan panggilan melalui whatsapp. Messenger juga sempat memiliki masalah yang sama, dimana penyerang dapat melihat isi chat.
Signal juga sempat diretas dengan serangan yang lebih kompleks, dimana penyerang dapat menguping suara yang ada disekitar korban dengan membuat sebuah ghost call. Ghos call ini panggilan melalui signal, kemudian menekan mute, tanpa panggilan tersebut terlihat.
Contoh kasus lainnya ada ditemukan eksploitasi bug pada telegram di Hongkong oleh pemerintah china. Peneliti Jerman juga menemukan bahwa WhatsApp, Signal dan Telegram dapat membocorkan data personal pengguna melalui fitur contact discovery. Rangkuman hasil analisanya bisa dilihat pada gambar berikut:
Laporan lengkapnya bisa dilihat pada link berikut:
https://cybernews.com/security/research-nearly-all-of-your-messaging-apps-are-secure/
Sekali lagi laporan ini dibuat tahun 2020, bisa jadi sekarang sudah berbeda kondisinya. Anak bimbingan saya sempat juga melakukan forensik keamanan beberapa apps android, bisa dibaca pada tulisan berikut:
Semoga Bermanfaat!