Ketika Alat Peretas Ponsel Cellebrite Jatuh dari Truk dan Dioprek

Sederhananya, Cellebrite akan memindai perangkat, lalu menyalin seluruh riwayat panggilan masuk dan keluar, SMS, maupun pesan dari aplikasi perpesanan seperti WhatsApp, Telegram, dan Signal.

Banyak penegak hukum yang mengandalkan teknologi buatan perusahaan asal Israel ini. Akan tetapi, belakangan Cellebrite mendapat sorotan karena tingkat keamanannya dianggap rentan.

Temuan ini diungkap oleh Moxie Marlinspike, co-founder sekaligus CEO aplikasi percakapan instan, Signal. Aplikasi ini mulai naik daun sejak tahun lalu, karena menjadi salah satu alternatif aplikasi pesan instan selain WhatsApp.

Dalam blog resmi Signal, Marlinspike mengatakan bahwa kode aplikasi Signal secara teori bisa diubah untuk balik meretas perangkat Cellebrite secara massal. Eksplorasinya terhadap perangkat Cellebrite diklaim berawal dari sebuah ketidaksengajaan.

Menurut cerita Marlinspike, ia menemukan sebuah tas hitam besar dengan logo "Cellebrite" jatuh dari sebuah truk yang melintas di depannya.

"Di dalamnya, kami menemukan software versi terbaru Cellebrite, dongle hardware yang dirancang untuk mencegah pembajakan, dan adapter kabel yang jumlahnya sangat banyak," tulis Marlinspike.

Bersama rekannya, ia lalu "mengoprek" software Cellebrite. Marlinspike mengaku cukup terkejut bahwa sistem keamanan Cellebrite yang notabene digunakan untuk membobol perangkat, ternyata tidak sekuat dugaannya.

Marlinspike mengatakan, Cellebrite tidak memiliki pertahanan mitigasi eksploitasi sesuai standar industri. Ia juga menemukan banyak celah eksploitasi yang ada di Cellebrite.

Eksploitasi bisa mudah dilakukan dengan membuat file khusus dan memasukannya ke dalam perangkat. Apabila perangkat itu dipindai oleh Cellebrite, file tersebut akan membuat software tidak berfungsi sebagaimana mestinya.

"Banyak aplikasi yang bisa memuat file semacam itu, sebelum Cellebrite bisa memperbaiki celah keamanan secara akurat di software dengan sangat percaya diri, satu-satu cara mengatasinya adalah dengan tidak memindai perangkat," kata Marlinspike, dirangkum KompasTekno dari Motherboard Vice, Kamis (22/4/2021).

Dalam paragraf terakhirnya, Marlinspike menyiratkan bahwa ke depan, versi terbaru Signal yang akan datang akan memuat file yang "tidak pernah digunakan aplikasi Signal dan tidak pernah berinteraksi dengan software atau data Signal".

Tidak jelas apa maksud kalimat tersebut. Mungkin saja, hal tersebut merupakan peringatan halus kepada Cellebrite bahwa file tersebut bisa membuat software menjadi malfungsi apabila memindai perangkat yang memiliki aplikasi Signal terinstal di dalamnya.

Dilaporkan Reuters, Cellebrite tidak merepons spesifik temuan Marlinspike. Cellebrite mengatakan bahwa teknisi mereka akan mengaudit secara berkala dan memperbarui software mereka untuk memberikan solusi intelijen digital terbaik bagi pelanggannya.

Bukan cuma membeberkan celah keamanan, Marlinspike juga menemukan software Cellebrite memuat paket bertandatangan Apple dan kemungkinan diekstrak dari penginstal Windows untuk iTunes versi 12.9.0.167. Menurut Marlinspike, hal ini bisa menjadi pelanggaran hak cipta.