Hacker Kitten Rocket Membuat 15 Juta Pengguna Telegram Beresiko

Aplikasi perpesanan terenkripsi yang digunakan oleh 100 juta orang telah dikompromikan.

Para peneliti mengklaim bahwa kelompok peretasan bernama Rocket Kitten telah mempelajari nomor telepon 15 juta pengguna Telegram dan, dalam beberapa kasus, menggunakan ketergantungan layanan pada pesan teks untuk mendapatkan akses total ke akun "aman" itu.

Ini adalah pertama kalinya "de-anonimisasi sistematis dan klasifikasi orang yang menggunakan alat enkripsi (semacam, setidaknya) untuk seluruh bangsa" telah terungkap, teknolog Amnesty International Claudio Guarnieri, yang menemukan peretasan dengan peneliti independen Collin Anderson, diberitahu Reuters.

Bagaimana Cara Kerjanya:

Peretasan tersebut dikatakan telah bekerja dengan mencegat pesan teks saat sedang transit dan kemudian menggunakannya untuk menambahkan perangkat yang dikontrol peretas ke akun tersebut. Ini akan memungkinkan peretas untuk membaca komunikasi terenkripsi yang seharusnya hampir tidak mungkin bagi mereka untuk berkompromi dengan kekuatan kasar.

Lebih dari Sekadar ISIS:

Selain menjadi alat komunikasi pilihan ISIS, Telegram juga populer di kalangan aktivis, jurnalis, dan 20 juta orang lainnya yang ingin menghindari program pengawasan pemerintah Iran.

Teknologi yang Sama dengan WhatsApp:

Telegram bukan satu-satunya aplikasi yang menggunakan SMS untuk otentikasi. Signal, aplikasi komunikasi terenkripsi yang populer, juga menggunakan pesan teks untuk memverifikasi akun. Begitu juga alat olahpesan WhatsApp Facebook.

Akan sepele bagi badan intelijen untuk mencegat pesan-pesan ini untuk mendapatkan akses ke alat yang dinyatakan aman, berkat peretasan sebelumnya yang memungkinkan NSA dan GCHQ Inggris untuk secara diam-diam mendekripsi panggilan telepon dan pesan teks dari banyak pemilik ponsel.

Banyak layanan, dari Amazon hingga Twitter, menggunakan pesan teks untuk membantu orang mengamankan akun mereka. Perbedaannya adalah bahwa layanan tersebut menggunakan pesan teks sebagai faktor otentikasi kedua yang digunakan bersama dengan nama pengguna dan kata sandi, bukan mekanisme login utama. Ini lebih aman daripada sistem faktor tunggal.

Telegram memungkinkan penggunanya untuk mengatur kata sandi pada akun mereka tetapi tidak mengharuskan mereka untuk melakukannya. Semua yang dibutuhkan seseorang untuk mengakses sebagian besar akun adalah mengetahui nomor telepon mereka yang dimiliki Rocket Kitten dan kemampuan untuk mencegat SMS, yang dapat dipermudah dengan ikatan kelompok peretasan dengan pemerintah Iran.

Beberapa alat dapat menghindari masalah ini. Misalnya, enkripsi end-to-end diluncurkan untuk Facebook Messenger, ia hanya akan mengirim pesan terenkripsi ke satu perangkat alih-alih membuatnya tersedia di berbagai platform.

Tetapi pembatasan itu tidak berlaku untuk semua alat komunikasi terenkripsi. Meskipun masih pintar untuk menggunakan aplikasi ini, ini adalah pengingat yang baik bahwa dienkripsi tidak sama dengan sepenuhnya aman.

Guarnieri dan Anderson berencana untuk membahas hack lebih banyak di Def Con 24 pada 4 Agustus.