Apabila WhatsApp mengemas kini terma dan polisinya tahun lepas, ia mencetuskan kebimbangan terhadap privasi yang menyebabkan sesetengah pengguna mencari alternatif seperti Telegram.
Walaupun perkhidmatan WhatsApp itu sendiri termasuk teknologi seperti penyulitan hujung ke hujung (E2EE) untuk privasi, perubahan dasar menunjukkan bahawa ia boleh mula berkongsi beberapa data dan maklumat pengguna dengan syarikat induknya, Facebook (kini Meta).
Penghijrahan yang terhasil memberikan Telegram rangsangan besar kepada pangkalan penggunanya, yang kini berjumlah sekitar 700 juta di seluruh dunia berbanding dua bilion WhatsApp.
Seperti WhatsApp, Telegram juga mempunyai E2EE untuk memastikan mesej yang dilindungi tidak boleh dibaca dengan mudah oleh pihak ketiga yang tidak dibenarkan. Pada 2017, firma penyelidikan keselamatan Check Point Software Technologies mengeluarkan laporan yang menunjukkan bahawa E2EE pada kedua-dua platform boleh menjadi potensi kelemahan.
“Kerentanan membolehkan penyerang menghantar kod berniat jahat kepada mangsa, tersembunyi dalam imej yang kelihatan tidak bersalah. Sebaik sahaja pengguna mengklik pada imej, penyerang boleh mendapat akses penuh kepada data storan WhatsApp atau Telegram mangsa, sekali gus memberikan akses penuh kepada akaun mangsa. Penyerang kemudiannya boleh menghantar fail berniat jahat kepada semua kenalan mangsa, yang berpotensi membolehkan serangan yang meluas.
“Memandangkan mesej disulitkan di sisi penghantar, WhatsApp dan Telegram buta kandungan, dan oleh itu tidak dapat menghalang kandungan berniat jahat daripada dihantar. Selepas membetulkan kelemahan ini, kandungan kini akan disahkan sebelum penyulitan, membolehkan fail berniat jahat disekat,” kata firma itu.
Check Point mendedahkan penemuannya kepada pasukan keselamatan WhatsApp dan Telegram pada Mac 2017, sambil menambah bahawa kedua-dua syarikat itu telah segera mengakui isu yang dibangkitkan dan membangunkan pembetulan untuk pelanggan webnya di seluruh dunia.
Walaupun kelemahan ini telah ditangani, populariti Telegram masih menjadikannya sasaran yang lebih menarik untuk penggodam dan penipu.
Bagaimana untuk mengetahui apabila Telegram anda digodam?
Bulan lalu, Perdana Menteri Datuk Seri Ismail Sabri Yaakob membuat laporan kepada Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) dan polis selepas akaun Telegram dan Isyarat peribadinya digodam.
Dipercayai akaun tersebut digunakan untuk aktiviti jenayah penipuan, memaksa Pejabat Perdana Menteri (PMO) menasihatkan secara terbuka mereka yang menerima mesej daripada akaun tersebut supaya melaporkannya kepada pihak berkuasa.
Menurut arkitek penyelesaian keselamatan siber Brian Chang, satu cara untuk menyemak adalah dengan memantau sesi luar biasa pada aplikasi Telegram anda daripada tetapan privasi dan keselamatan.
Aktiviti yang tidak dikenali di sini merupakan petunjuk kukuh bahawa akaun anda mungkin telah terjejas.
“Jika ini berlaku, pertama adalah untuk mendayakan kod laluan dan pengesahan dua langkah daripada tetapan privasi dan keselamatan. Seterusnya adalah untuk menamatkan semua sesi aktif dan log keluar kemudian log masuk semula. Telegram ialah salah satu aplikasi pemesejan yang paling banyak digunakan oleh itu ia akan disasarkan oleh penggodam secara semula jadi,” kata Chang.
Beliau menjelaskan bahawa walaupun sistem E2EE adalah selamat, penggodam biasanya menggunakan taktik lain untuk menjejaskan akaun Telegram “kerana mereka sedar bahawa adalah tidak realistik untuk menggodam E2EE pada masa ini.”
“Salah satu taktik yang digunakan oleh penggodam adalah melalui telefon mudah alih yang terjejas, yang akan dapat mencuri SMS dan melakukan tangkapan skrin mudah alih, yang kemudiannya dihantar kepada penggodam — yang diperlukan untuk log masuk Telegram.
“Telefon mudah alih boleh digodam dengan menipu pengguna untuk mengklik pautan dalam SMS atau e-mel yang mengandungi kod berniat jahat atau jika pengguna memasang aplikasi mudah alih yang retak atau daripada sumber tidak rasmi,” jelas Chang.
Fow Chee Kang, pengarah kanan perkhidmatan profesional di LGMS Berhad, menjelaskan bahawa walaupun kes penggodaman tulen adalah luar biasa, akaun pengguna masih boleh terjejas dengan mengklik pada pautan yang membawa kepada laman web berniat jahat atau dengan memasukkan bukti kelayakan seseorang pada peranti yang sudah dikompromi.
“Secara amnya, penyulitan hujung ke hujung yang digunakan oleh aplikasi pemesejan adalah agak selamat, tetapi itu hanya untuk menjamin komunikasi semasa transit.
“Disebabkan hampir mustahil untuk memecahkan komunikasi yang disulitkan, penggodam biasanya akan menyasarkan untuk menggodam pelayan aplikasi pemesejan seperti menggunakan eksploitasi sifar hari atau pengguna (seperti pancingan data, kejuruteraan sosial) sebaliknya,” katanya.
Fow juga memberi amaran kepada pengguna agar tidak mempercayai pihak yang tidak dikenali yang menawarkan untuk membantu memulihkan akaun Telegram mereka yang terjejas.
“Terdapat banyak pihak yang mendakwa boleh membantu dalam pemulihan, tetapi tidak mempercayai perkhidmatan ini. Sebaliknya, hubungi sokongan aplikasi pemesejan dengan membekalkan maklumat terperinci untuk memulihkan akaun,” tambahnya.
Bagaimanakah seseorang boleh meningkatkan keselamatan?
Pakar menasihatkan agar mengamankan aplikasi dengan kata laluan yang mudah diingat tetapi sukar untuk diteka, menggunakan pengesahan dua faktor (2FA), dan dengan mengunci akses kepada apl dengan nombor pengenalan peribadi (PIN) atau kata laluan jika tersedia.
Kedua-dua Telegram dan WhatsApp menawarkan 2FA dan penguncian aplikasi.
Chang memberi amaran supaya tidak mengikuti pautan dalam e-mel dan mesej yang tidak diminta daripada pengirim yang tidak diketahui, tidak memasang aplikasi daripada sumber bukan rasmi dan mengalih keluar apl yang tidak digunakan secara berkala untuk mengurangkan risiko peranti seseorang terjejas.
“Sentiasa jalankan kemas kini untuk memastikan telefon mudah alih dan aplikasi mudah alih dikemas kini,” katanya, turut menasihati pengguna untuk memasang aplikasi keselamatan mudah alih yang bereputasi untuk melindungi peranti mereka.
Sebelum ini, SKMM berkata ia telah menerima 2,093 aduan berhubung insiden siber setakat Ogos tahun ini, di tengah-tengah kebimbangan mengenai akaun pesanan teks yang terjejas.
Jabatan komunikasi korporat SKMM memberitahu Malay Mail bahawa aduan itu termasuk akses tanpa kebenaran kepada media sosial dan akaun pemesejan peribadi dan kehilangan akses kepada akaun mereka kerana terlupa kata laluan.
Malay Mail telah bertanya kepada SKMM mengenai tindakan yang diambil oleh suruhanjaya itu untuk membendung aktiviti penggodaman pada aplikasi pemesejan teks Telegram.
Menurut SKMM, pengadu yang kehilangan akses kepada media sosial dan akaun pemesejan peribadi mereka telah dinasihatkan untuk membuat laporan kepada penyedia platform masing-masing.
Ia berkata kebanyakan pengadu meminta bantuan SKMM untuk mendapatkan semula akses kepada akaun mereka, dengan SKMM menyediakan panduan tentang langkah-langkah yang perlu diambil apabila membuat laporan dengan penyedia platform masing-masing.
Bagi isu akaun Telegram yang dikompromi atau digodam, MCMC berkata pengguna dinasihatkan membaca ciri keselamatan Telegram untuk menggunakannya dengan lebih selamat, termasuk tidak berkongsi sebarang kod keselamatan atau maklumat peribadi dengan sesiapa.