Di era di mana kekhawatiran privasi digital mendominasi berita utama, kerentanan fundamental dalam infrastruktur telekomunikasi global kita telah memungkinkan operasi pelacakan telepon yang meluas. Investigasi terbaru terhadap perusahaan pengawasan First Wap telah mengungkap bagaimana protokol yang dirancang setengah abad lalu terus membahayakan keamanan seluler di seluruh dunia. Komunitas teknis kini sedang bergulat dengan mengapa kelemahan sistemik ini bertahan dan apa yang dapat dilakukan untuk melindungi pengguna telepon biasa dari pelacakan lokasi yang tidak sah.
Celah Keamanan SS7
Di jantung kerentanan pelacakan telepon terdapat Signalling System 7 (SS7), serangkaian protokol yang dikembangkan pada awal 1980-an yang memungkinkan jaringan telepon untuk berkomunikasi melintasi batas negara. Sistem ini dirancang untuk era monopoli telekom tepercaya, bukan lanskap jaringan global yang kompleks saat ini. SS7 memungkinkan jaringan untuk bertukar pesaj pensinyalan yang meminta dan berbagi informasi lokasi pengguna - penting untuk merutekan panggilan dan pesan teks, tetapi juga dapat dieksploitasi untuk tujuan pengawasan.
SS7 berusia setengah abad, dirancang untuk dunia monopoli telekom negara dan segelintir operator yang saling terhubung erat. Model ancaman dapat dengan aman berasumsi bahwa hanya operator yang telah diverifikasi yang dapat terhubung.
Celah keamanan mendasarnya bukanlah bahwa pesan pensinyalan ini ada, tetapi bahwa jaringan memproses permintaan lokasi dari jaringan lain tanpa verifikasi yang tepat. Hal ini menciptakan pintu belakang yang telah dieksploitasi oleh perusahaan pengawasan seperti First Wap untuk melacak telepon secara global tanpa meninggalkan jejak pada perangkat itu sendiri.
Linimasa Protokol SS7:
- Awal 1980-an: Protokol SS7 dirancang
- 2015: Kerentanan kritis ditemukan oleh peretas 'The Italian Team'
- 2023: Investigasi Wap pertama mengungkap operasi pelacakan global
- 2024: Regulator telekomunikasi UK melarang routing Global Title tertentu
Mengapa Protokol Usang Bertahan
Para ahli teknis dalam diskusi online menunjuk pada beberapa alasan mengapa SS7 tetap digunakan meskipun terdapat kerentanan yang diketahui. Industri telekomunikasi terkenal konservatif dan lambat dalam mengadopsi perubahan, membutuhkan kompatibilitas mundur dengan jaringan 2G dan 3G yang lebih tua yang masih mengandalkan SS7. Sementara jaringan 4G dan 5G memiliki alternatif yang lebih aman, mereka harus mempertahankan kompatibilitas dengan sistem lama yang kemungkinan akan tetap beroperasi selama bertahun-tahun, bahkan mungkin beberapa dekade.
Beberapa komentator mencatat bahwa keamanan bukanlah perhatian utama ketika sistem-sistem ini dirancang. Pada 1980-an, lanskap ancaman terlihat sangat berbeda, dengan lebih sedikit aktor jahat dan lingkungan telekomunikasi yang lebih terkendali. Para insinyur yang membangun sistem ini berfokus pada fungsionalitas dan keandalan daripada mengantisipasi bagaimana teknologi mungkin disalahgunakan beberapa dekade kemudian.
Model Bisnis Pengawasan
Operasi First Wap menunjukkan bagaimana perusahaan pengawasan telah membangun bisnis di sekitar kerentanan teknis ini. Alat utama mereka, Attainder, memanfaatkan kelemahan SS7 untuk melacak lokasi telepon, mencegat pesan, dan bahkan membobol aplikasi terenkripsi. Perusahaan ini beroperasi melalui kemitraan telekom lokal, menggunakan Global Titles - nomor telepon yang mewakili entitas jaringan - untuk menipu operator agar mengungkapkan lokasi pengguna.
Investigasi terhadap First Wap mengungkap operasi pelacakan yang menargetkan jurnalis, pembangkang, dan tokoh politik di berbagai benua. Dalam satu kasus yang mengganggu, tokoh oposisi Rwanda dilacak tak lama sebelum sebuah pembunuhan. Perusahaan itu menyimpan catatan rinci tentang operasi-operasi ini, menciptakan arsip 1,5 juta baris yang mendokumentasikan tahun-tahun aktivitas pengawasan.
Kemampuan Attainder Tool Milik First Wap:
- Pelacakan lokasi tanpa jejak perangkat
- Penyadapan pesan SMS
- Kemampuan penyadapan panggilan
- Kemampuan memalsukan pesan
- Membobol aplikasi pesan terenkripsi seperti WhatsApp
Melindungi Diri dari Pelacakan Telepon
Bagi pengguna telepon biasa yang khawatir tentang privasi, pilihannya terbatas. Menonaktifkan konektivitas jaringan seluler sepenuhnya tidak praktis bagi kebanyakan orang, dan sifat teknis dari kerentanan SS7 berarti pengguna individu memiliki sedikit kendali langsung atas keamanan protokol tingkat jaringan ini.
Tanggung jawab pada akhirnya jatuh pada regulator dan operator telekom untuk menerapkan langkah-langkah keamanan yang lebih baik. Baru-baru ini, regulator telekom Inggris mengambil langkah untuk melarang jenis tertentu dari perutean Global Title setelah menemukan bahwa jaringan membawa sejumlah besar lalu lintas pensinyalan berbahaya. Namun, untuk perubahan global yang berarti terjadi, regulator di seluruh dunia perlu mengikuti dan mewajibkan praktik keamanan yang lebih baik.
Ketetapan kerentanan SS7 menyoroti tantangan yang lebih luas dalam infrastruktur teknologi: menyeimbangkan kompatibilitas mundur dengan peningkatan keamanan. Seperti yang dicatat seorang komentator, ini tidak unik untuk telekomunikasi - pola serupa ada dengan protokol email dan web yang dimulai tanpa enkripsi dan memiliki fitur keamanan yang ditambahkan kemudian. Perbedaannya adalah bahwa sifat tertutup dari sistem telekom telah memperlambat adopsi peningkatan keamanan yang diperlukan.
Eksploitasi berkelanjutan dari kerentanan SS7 berfungsi sebagai pengingat tajam bahwa infrastruktur fondasi sering bertahan lebih lama dari asumsi keamanan aslinya. Sampai operator telekom dan regulator memprioritaskan penutupan celah keamanan ini, data lokasi pengguna telepon di seluruh dunia tetap rentan terhadap operasi pengawasan yang bersembunyi di tempat terbuka dalam jaringan komunikasi global kita.
Referensi: HOW FIRST WAP TRACKS PHONES AROUND THE WORLD