Seberapa Canggih Pegasus Bisa Meretas Ponsel Kita?
Aplikasi penyadap buatan firma keamanan siber Israel, Pegasus, memiliki rekam jejak yang buruk di dunia. Apakah terlibat di kasus dugaan peretasan ponsel milik pengacara Joko Tjandra, Anita Kolopaking?
JAKARTA, KOMPAS — Peretasan dan penyadapan ilegal diduga kembali terjadi di Indonesia. Pengacara buronan kasus cessie Bank Bali, Joko Soegiarto Tjandra, Anita Kolopaking, mengaku telepon seluler miliknya telah diretas.
Pengakuan Anita ini muncul setelah ada utasan di Twitter dari akun anonim yang menyebarkan gambar tangkapan layar (screen capture) aplikasi percakapan populer, seperti Whatsapp, Telegram beserta sejumlah foto dan video.
Kamis (16/7/2020) siang, kepada Kompas.com, Anita mengakui bahwa foto dan video yang disebarkan di Twitter itu memang benar berasal dari ponselnya.
Kejadian semacam ini mengingatkan kepada sejumlah peristiwa peretasan beberapa waktu lalu, di mana, Pegasus, sebuah aplikasi penyadap buatan firma keamanan siber Israel, NSO Group, ditengarai terlibat.
Pegasus terakhir muncul dan menciptakan kekacauan pada awal 2020. Pada Januari lalu, utusan khusus Perserikatan Bangsa-Bangsa (PBB) untuk hak asasi manusia menyatakan bahwa sebuah spyware buatan NSO Group digunakan untuk menyadap dan mengambil data personal milik pendiri Amazon, Jeff Bezos.
Disebut, ponsel milik Bezos diretas setelah berinteraksi dengan akun Whatsapp milik pangeran Arab Saudi, Mohammed bin Salman.
Pegasus juga diduga sebagai alat yang digunakan oleh Pemerintah Kerajaan Arab Saudi untuk memata-matai jurnalis Jamal Khashoggi sebelum membunuhnya, seperti yang dilaporkan oleh Washington Post pada akhir 2018.
Pada Oktober 2019, perusahaan induk Whatsapp, Facebook menduga bahwa Pegasus telah digunakan untuk memata-matai sekitar 1.400 wartawan, aktivis, dan advokat serta pejabat Pemerintah India.
Dengan dampaknya yang luar biasa, Pegasus tampak begitu misterius. Pertanyaan pun timbul, bagaimana cara kerjanya? Berapa harganya?
Buku manual Pegasus
Kompas pun menilik dokumen product description Pegasus. Dokumen ini dibagikan oleh Eva Galperin, Director of Cybersecurity dari lembaga advokasi hak sipil Electronic Frontier Foundation (EFF) pada akhir 2019.
Pada prinsipnya, cara kerja Pegasus bertumpu ada sebuah aplikasi agen tersembunyi yang diinjeksikan ke dalam ponsel milik target. Agen kemudian dapat memantau dan mengekstrak informasi dari target.
Data apa saja yang bisa diambil? Dari dokumen tersebut, didapatkan bahwa Pegasus memiliki kemampuan surveilans yang luas.
Secara otomatis, begitu ponsel target terinfeksi, aplikasi agen mengekstrak data SMS, detail kontak, daftar panggilan, rekaman kalendar, isi kotak surel, isi aplikasi percakapan, riwayat peramban (browser), dan pelacakan lokasi berbasis sinyal seluler (cell-id).
Dasbor
Seluruh data ini kemudian dikirimkan oleh aplikasi agen ke aplikasi dasbor milik pengguna. Dari dasbor Pegasus tersebut, secara lebih lanjut pengguna dapat memerintahkan proses pengumpulan data lanjutan untuk berbagai jenis data lain.
Data yang bisa diambil adalah lokasi GPS merekam panggilan telepon, mengambil file, mengaktifkan dan merekam mikrofon, mengaktifkan kamera dan mengambil gambar, hingga menangkap layar (screen capture).
Dari dokumen tersebut, Pegasus menjanjikan memonitor banyak jenis aplikasi percakapan, dari Skype, Whatsapp, Viber, hingga Facebook dan Blackberry Messenger.
Pegasus juga menawarkan kemampuan ini tanpa harus adanya kerja sama dengan operator telekomunikasi setempat. Ponsel target juga dapat terus dimonitor meski target mengganti kartu SIM.
Kecanggihan lain adalah kemampuan aplikasi agen Pegasus yang terpasang dalam ponsel target untuk self-destruct atau menghancurkan diri. Dalam dokumen itu, disebutkan ada dua kondisi yang dapat memicu proses self-destruct.
Pertama, aplikasi agen akan menghancurkan diri sendiri apabila ada risiko terdeteksi. Kedua, self-destruct akan berjalan apabila aplikasi agen tidak terhubung dengan server dalam waktu yang lama, pengaturan standarnya adalah 60 hari.
Infeksi
Dengan beragam kemampuan surveilans yang mengerikan, bagaimana cara pelaku menyusupkan aplikasi agen ke ponsel target? Dokumen ini juga menjelaskan hal tersebut.
NSO menjanjikan cara unik injeksi aplikasi agen kepada target secara senyap dan tanpa butuh ”kerja sama” dari target untuk membuka pesan atau mengklik tautan. Sebuah pesan akan dikirimkan secara diam-diam ke ponsel target. Target tidak akan dapat mencegah hal ini terjadi.
Namun, hal ini tidak selalu bisa dilakukan apabila ponsel target tidak mendukung fitur dan operator lokal juga tidak menyediakan fitur push message.
Oleh karena itu, ada metode lain, yakni social engineering atau tipu muslihat dengan phishing. Dari pusat operasi Pegasus, sebuah pesan teks biasa akan dikirimkan, dengan harapan target akan mengeklik tautan tersebut. Secara otomatis aplikasi agen akan terpasang secara tersembunyi.
Di luar kedua proses itu, Pegasus dapat dimasukkan secara manual apabila pelaku memiliki akses fisik langsung terhadap ponsel target.
Cara baru
Namun, tampaknya ada cara infeksi lain di luar metode tersebut. Untuk diketahui, dokumen tersebut diperkirakan dibuat pada 2013 apabila melihat metadata. Sehingga kemungkinan sudah ada pembaruan fitur terhadap Pegasus.
Aplikasi agen Pegasus dapat ditransmisikan melalui sambungan telepon, tanpa si target harus mengangkat panggilan tersebut.
Cara infeksi yang dimaksud adalah melalui sambungan telepon Whatsapp. Kepala peneliti di firma keamanan siber Jerman, Security Research Labs, Karsten Nohl, kepada majalah Wired pada Mei 2019 mengatakan, sistem sambungan telepon Whatsapp memiliki celah keamanan.
Hal ini menyebabkan, aplikasi agen Pegasus dapat ditransmisikan melalui sambungan telepon, tanpa si target harus mengangkat panggilan tersebut.
Baca juga : Yang Vokal yang Diretas (1)
Modus ini mungkin mirip dengan apa yang terjadi terhadap sejumlah aktivis antikorupsi yang Whatsapp-nya kemudian diretas pada 2019. Sejumlah aktivis antikorupsi mengaku mendapat telepon tidak dikenal dari nomor berkode negara asing. Whatsapp pada 2019 juga telah menutup celah keamanan tersebut.
Harga Pegasus
Dengan kapabilitas seperti ini, Pegasus dijual dengan harga yang fantastis. Berdasarkan dokumen yang didapatkan New York Times pada 2017, tiga instansi pemerintahan Meksiko telah mengucurkan dana 80 juta dollar AS selama 6 tahun kepada NSO Group untuk pengadaan Pegasus.
Angka kontrak ini berdasarkan jumlah ponsel yang menjadi target. Untuk menyadap 10 target—iPhone maupun Android—pengguna membayar 650.000 dollar AS. Apabila masih kurang, tambahan 100 target dihargai 800.000 dollar AS.
Seementara, berdasarkan surat kabar India, The Economic Times, biaya lisensi Pegasus selama setahun adalah 7-8 juta dollar AS.
Dengan dana sebesar itu, akan kecil kemungkinan orang biasa memiliki Pegasus. Dan memang, NSO Group mengatakan bahwa pihak mereka tidak menjual Pegasus kepada sembarang orang, hanya instansi pemerintahan.
Setelah mendapat banyak kecaman, NSO Group pada September 2019 menerbitkan dokumen sikap perusahaan terkait isu privasi dan hak asasi manusia.
Pemerintah
Dalam dokumen tersebut, NSO Group mengatakan bahwa pihaknya hanya memberikan lisensi kepada instansi pemerintahan. Bahkan dengan tujuan penggunaan tunggal: pencegahan dan penyelidikan kejahatan berat, termasuk terorisme.
”Kami tidak pernah berpartisipasi terhadap penggunaan produk kami dan tidak memiliki akses terhadap data yang dihasilkan,” tulisnya.
Media Israel, Haaretz, pernah melaporkan bahwa Pegasus, antara lain, dibeli Indonesia. Dalam laporan itu tidak diungkap lembaga atau pihak mana yang membeli perangkat mata-mata tersebut.
Seorang teknisi NSO yang diwawancarai Haaretz hanya menyebut, perangkat itu dipakai antara lain untuk menyadap seorang politisi yang dijerat kasus penistaan agama pada 2016 (Kompas, 30/10/2020).
Baca juga : Facebook Gugat Perusahaan Pembuat Program Mata-mata Israel
Ketua Forum Keamanan Siber Indonesia (ICSF) Ardi Sutedja juga berpendapat bahwa insiden yang menimpa Anita adalah sebuah ”permainan besar”.
Hal ini karena, menurut dia, hanya entitas yang memiliki modal tak terbatas, terorganisasi, dan punya kepentingan yang dapat menghadirkan Pegasus di Indonesia.
Ardi berpendapat, alat semacam ini hanya dimiliki oleh penegak hukum ataupun intelijen negara. Namun, tetap saja, ada kemungkinan terdapat aparat yang menyalahgunakan alat negara untuk kejahatan.
”Yang jelas, peretasan ini hanya bisa dilakukan oleh pihak yang punya kekuatan modal tidak terbatas. Biasanya hanya aparat penegak hukum dan dinas intelijen,” kata Ardi yang dihubungi pada Kamis (16/7/2020) sore.
Ardi mengatakan, pengesahan rancangan undang-undang perlindungan data pribadi (RUU PDP) akan memperkuat lanskap keamanan siber di Indonesia. Menurut dia, UU PDP akan memperkuat status data perseorangan yang tidak bisa dilakukan oleh UU Informasi dan Transaksi Elektronik (ITE).
”Kalau di UU ITE, kan, delik aduan. Kalau delik aduan ini artinya kita harus melaporkan dan kelemahannya adalah kita harus memiliki bukti permulaan yang kuat. Nah, di Indonesia, selain milik Polri, tidak ada laboratorium forensik digital yang independen dapat membantu masyarakat,” kata Ardi.