Perusahaan intelijen Israel Cellebrite menjual software yang dirancang untuk menyedot semua data ponsel dan banyak digunakan oleh penegak hukum di beberapa negara. Ternyata aplikasi ini memiliki banyak celah keamanan dan bisa dengan mudah dibobol oleh CEO Signal Moxie Marlinspike.
Marlinspike memang termasuk salah satu orang yang paling vokal mengkritik Cellebrite sejak mereka mengklaim bisa membobol enkripsi Signal, klaim yang telah dibantah oleh Marlinspike.
https://trimay98.com/movies/harry-potter-and-the-deathly-hallows-part-2/
Cellebrite menjual perangkat bernama UFED yang memungkinkan kepolisian untuk membobol ponsel iOS atau Android dan menyedot data seperti pesan, riwayat pangggilan telepon, foto, dan data lainnya. Karena fungsinya, perangkat ini banyak digunakan oleh kepolisian di beberapa negara, termasuk Polri di Indonesia.
Dalam postingan blognya, Marlinspike mengatakan ia berhasil mendapatkan Cellebrite UFED lengkap dengan software dan hardware dongle. Ia kemudian mengklaim software Cellebrite memiliki celah keamanan yang bisa dimanipulasi dengan mudah.
"Kami terkejut menemukan sangat sedikit perhatian diberikan pada keamanan software Cellebrite. Pertahanan mitigasi eksploitasi standar industri tidak ada, dan banyak kesempatan untuk eksploitasi," tulis Marlinspike dalam blog tersebut, seperti dikutip dari Mashable, Jumat (23/4/2021).
"Sampai Cellebrite dapat memperbaiki semua kerentanan di software-nya secara akurat dengan kepercayaan yang sangat tinggi, satu-satunya solusi yang dimiliki pengguna Cellebrite adalah dengan tidak memindai perangkat," sambungnya.
Tidak hanya itu, Marlinspike mengklaim celah keamanan ini memungkinkan siapa saja untuk mengubah semua data yang dikumpulkan oleh alat Cellebrite.
Ia mengatakan file dengan konfigurasi unik bisa disisipkan ke aplikasi apapun, termasuk Signal, di perangkat yang akan dibobol untuk diam-diam mengubah semua data yang telah dikumpulkan oleh alat Cellebrite atau yang akan dikumpulkan di masa depan.
File seperti ini bisa membuat alat Cellebrite tidak berguna karena semua data yang dikumpulkan bisa diubah dengan memasukkan atau menghapus teks, email, foto, kontak, file atau data lainnya, tanpa timestamp yang bisa dilacak.
Saat diminta komentarnya, Cellebrite tidak secara spesifik merespons klaim Marlinspike tapi mengatakan mereka terus mengaudit dan memperbarui software-nya agar bisa memberikan pelanggannya solusi intelijen digital terbaik.
Entah serius atau sekedar untuk menyindir Cellebrite, Marlinspike mengatakan aplikasi Signal ke depannya mungkin akan memiliki file yang ia sebut tadi untuk mengganggu sistem Cellebrite.
"Dalam berita yang tidak terkait, Signal versi mendatang akan secara berkala mengambil file untuk ditempatkan di penyimpanan aplikasi," tulisnya.
"File-file ini tidak akan digunakan untuk apapun di dalam Signal dan tidak pernah berinteraksi dengan software atau data Signal, tapi itu terlihat bagus, dan estetika penting di dalam software," imbuhnya.
