KRISIS ISRAEL-IRAN
10 min membaca
Konflik Iran-Israel, aplikasi mesej dan ilusi privasi
Perang 12 hari Iran-Israel mendedahkan apa yang semua bimbangkan selama ini: Tiada jaminan mesej peribadi tidak boleh dibaca pihak lain dengan penyulitan hujung ke hujung (end-to-end encryption).
Konflik Iran-Israel, aplikasi mesej dan ilusi privasi
Aplikasi mesej menjanjikan privasi melalui penyulitan, tetapi pengguna masih terdedah kepada penggodaman, pengintipan, dan pemantauan. / AP
Ozan Ahmet CetinOzan Ahmet Cetin
28 Jun 2025

Pada pertengahan Jun, ketika Israel dan Iran saling berbalas serangan semasa perang 12 harinya, saluran televisyen rasmi Iran menyeru rakyatnya agar memadam aplikasi WhatsApp daripada telefon pintar mereka.

Pegawai kerajaan mendakwa aplikasi mesej tersebut telah membocorkan banyak data pengguna kepada Israel, sekali gus mengancam keselamatan negara.

Amaran itu dikeluarkan selepas Israel menyerang beberapa pegawai tentera tertinggi Iran dalam satu siri serangan ketenteraan, sehingga mencetuskan persoalan tentang bagaimana Tehran boleh terdedah kepada aktiviti pengintipan sebegitu rupa.

Sama ada WhatsApp terlibat secara langsung, ini masih tidak jelas. Namun, insiden tersebut menambah kebimbangan mengenai sejauh mana pengguna boleh mempercayai platform mesej untuk melindungi data peribadi mereka.

Apa yang lebih membimbangkan adalah, sejauh manakah pihak berkuasa di dalam dan luar negara memiliki akses kepada perbualan digital yang disangkakan sulit dan selamat?

Aplikasi mesej seperti WhatsApp, Signal, Telegram dan iMessage oleh Apple menjadi alat komunikasi peribadi yang diguna ramai orang.

Dalam beberapa tahun kebelakangan ini, perkhidmatan ini mengguna pakai sistem penyulitan hujung-ke-hujung (end-to-end encryption) secara meluas, bermakna hanya pengguna yang berkomunikasi boleh mendedahkan mesej tersebut — bukan penyedia perkhidmatan itu sendiri.

Penyulitan secara meluas ini menjadi cabaran besar kepada agensi keselamatan dan perisikan negara, yang secara tradisinya bergantung kepada pemintasan komunikasi.

Namun begitu, meskipun kandungan mesej dilindungi oleh penyulitan hujung-ke-hujung, terdapat agensi-agensi keselamatan negara yang telah membangunkan pelbagai strategi teknikal untuk memantau suspek melalui platform mesej.

Antara strategi tersebut termasuk mengambil data yang tidak disulitkan jika ada, mengumpul metadata, mengeksploitasi kelemahan perisian, dan bekerjasama dengan penyedia perkhidmatan sama ada melalui saluran undang-undang atau secara sulit.

Kerjasama antara syarikat dan kerajaan adalah berbeza dan selalunya tidak telus, dan ini menimbulkan persoalan penting tentang kepercayaan, ketelusan dan kelemahan sistemik.

Walaupun sesetengah aplikasi mesej kerap mempromosikan penyulitan hujung-ke-hujung yang kukuh, tahap kepercayaan terhadap keselamatan mereka harus dinilai secara berwaspada.

Agensi perisikan, sama ada di dalam atau luar negara, mempunyai sejarah mengakses data pengguna walaupun dahulunya kita menggangap maklumat kita selamat.

Keupayaan teknologi yang dimiliki agensi-agensi ini, digabungkan dengan ketidakseimbangan maklumat yang ketara, menjadikan orang awam sering tidak menyedari apa yang sebenarnya agensi risikan boleh lakukan.

Dalam konteks ini, keyakinan mutlak pengguna terhadap privasi digital adalah sesuatu yang tersasar.

Pengumpulan metadata

Metadata sering menjadi sumber pertama yang dimanfaatkan oleh agensi perisikan. Walaupun mesej disulitkan, metadata tetap terdedah.

Metadata merangkumi butiran seperti siapa yang berkomunikasi, bila, selama mana, dan saiz mesej itu sendiri. Maklumat yang kelihatan remeh ini sebenarnya amat berharga dalam pemantauan, kerana ia membolehkan seseorang melihat corak, hubungan, dan tingkah laku yang boleh disimpulkan tanpa perlu mengakses kandungan mesej itu sendiri.

Metadata semata-mata sudah cukup untuk mendedahkan banyak perkara.

Bekas ketua NSA dan CIA Michael Hayden pernah berkata, “Kami bunuh orang menggunakan metadata.” Ini menunjukkan bagaimana corak komunikasi tanpa teks sudah cukup untuk digunakan bagi mengesan dan menyasarkan seseorang.

“Kami bunuh orang menggunakan metadata”

Michael Hayden, Bekas ketua NSA dan CIA

Dalam konteks aplikasi mesej, metadata merangkumi nombor telefon, maklumat peranti, tarikh pengguna mendaftar, log individu yang dihubungi dan bila mereka dihubungi, alamat IP serta garis masa setiap lokasi.

Sebagai contoh, WhatsApp boleh menyalurkan maklumat asas pelanggan dan log penggunaan jika diminta melalui notis sapina. Dengan perintah mahkamah, ia boleh mendedahkan senarai kenalan WhatsApp seseorang yang disasarkan serta pengguna lain yang menyimpan nombor individu tersebut dalam senarai kenalan mereka.

Selain itu, syarikat tersebut boleh diarahkan untuk menyerahkan metadata mengikut masa nyata (real-time) dan melaporkan kepada pihak berkuasa siapa yang sedang dihubungi oleh pengguna itu dan bila, dengan kemas kini setiap 15 minit.

Beberapa syarikat lain seperti Signal mendakwa mereka menyimpan metadata yang dikumpul pada tahap minimum atas sebab ini.

Dalam sapina pertama yang diterima oleh Signal, mereka hanya dapat memberikan tarikh dan waktu pengguna mendaftar serta kali terakhir mereka menggunakan perkhidmatan tersebut.

Menurut Signal, mereka tidak menyimpan senarai kenalan, masa mesej dihantar, atau sebarang pengecam selain daripada nombor telefon, menjadikan pengumpulan metadata mereka sangat terhad.

Dalam skala yang lebih luas, agensi perisikan juga mungkin menjalankan analisis trafik di peringkat rangkaian.

Sebagai contoh, unit SIGINT milik NSA menyelinap masuk dalam tulang belakang Internet (Internet backbones) secara senyap dan merakam aktiviti secara pukal. Walaupun mereka mengumpul mesej WhatsApp yang disulitkan (ecrypted), mereka masih boleh melihat setiap paket aktiviti itu bergerak dari satu IP ke IP yang lain.

Dari semasa ke semasa, dengan menggunakan saiz, masa, dan kekerapan paket-paket ini bersama alamat IP pengguna atau identiti yang diketahui, mereka boleh membina gambaran metadata tentang siapa berkomunikasi dengan siapa.

Teknik seperti analisis masa (timing analysis) kadang kala boleh mengenal pasti dua orang yang sedang berkomunikasi. Pendedahan oleh Snowden dahulu memecahkan rahsia program seperti MYSTIC, yang merakam semua metadata panggilan telefon – termasuk kandungan – di beberapa negara untuk tujuan analisis.

Maka, tanpa memecahkan penyulitan sekalipun, agensi perisikan masih boleh mengeksploitasi isyarat di sekitar kandungan yang disulitkan itu.

Menggodam peranti

Apabila komunikasi disulitkan semasa penghantaran dan di server penyedia perkhidmatan, titik pemintasan paling mudah ditemui selalunya ialah melalui peranti penghantar atau penerima — sama ada sebelum penyulitan atau selepas penyahsulitan.

Agensi perisikan telah melabur besar dalam keupayaan siber untuk menembusi telefon pintar dan komputer, membolehkan mereka membaca mesej secara terus dari skrin atau memori peranti.

Taktik ini pernah diakui secara terang-terangan dalam fail Vault 7 CIA yang dibocorkan, di mana ia memperincikan pelbagai malware dan eksploitasi untuk peranti iOS dan Android.

Dokumen-dokumen itu mengesahkan bahawa agensi perisikan boleh mengawal telefon pengguna dari jarak jauh dan mengubahnya menjadi alat untuk mendengar.

Sebaik sahaja sesebuah agensi risikan memperolehi akses pentadbir (admin) ke atas telefon pintar itu, ia boleh memintas atau mengambil kandungan dalam mana-mana aplikasi kerana aplikasi itu sendiri perlu menyahsulit mesej untuk kegunaan pengguna.

Kebocoran maklumat mengenai Vault 7 tidak menunjukkan sebarang bukti bahawa usaha untuk merencatkan protokol kriptografi Signal atau WhatsApp telah berjaya dan pemilk Signal, Open Whisper Systems, berkata ini bukti bahawa penyulitan hujung-ke-hujung benar-benar berfungsi. Ini menyebabkan agensi perisikan terpaksa menggodam setiap satu alat peranti, dan proses ini adalah sukar dan memakan masa.

Satu contoh taktik ini yang diketahui ramai melibatkan perisian intip Pegasus yang dibangunkan oleh Kumpulan NSO, sebuah firma perisikan siber Israel.

Pegasus menjadi terkenal kerana keupayaannya ‘menjangkiti’ telefon dari jauh dan secara senyap.

Pada 2019, Pegasus didapati menggunakan kelemahan zero-day dalam kod WhatsApp hanya dengan membuat panggilan WhatsApp kepada sasaran. Walaupun panggilan tidak dijawab, perisian intip itu tetap boleh dimasukkan.

Sebaik sahaja Pegasus menguasai peranti itu, ia boleh menyalin mesej, merakam panggilan, mengaktifkan mikrofon dan kamera, serta menjejak lokasi — sekali gus merencatkan perlindungan penyulitan hujung-ke-hujung dengan mencuri data terus dari sumbernya.

Siasatan oleh Citizen Lab dan Amnesty International mengesan penggunaan Pegasus oleh agensi perisikan atau penguatkuasaan undang-undang di banyak negara, yang didakwa digunakan terhadap wartawan, aktivis, dan tokoh politik.

Pada 2021, para penyelidik menemui Forcedentry, iaitu eksploitasi zero-click yang dibangunkan oleh Kumpulan NSO untuk memasang Pegasus secara senyap ke dalam peranti Apple.

‘Jangkitan’ itu tidak memerlukan sebarang interaksi daripada pengguna. Ia hanya perlu menyamar sebagai fail imej yang dihantar melalui iMessage. Ini mendedahkan kelemahan dalam sistem CoreGraphics Apple yang sebenarnya boleh dipintas.

Apa yang sangat membimbangkan ialah tahap kecanggihannya; pakar di Google menyifatkannya sebagai salah satu eksploitasi teknikal paling canggih yang pernah ditemui.

Selain produk NSO, agensi perisikan dunia turut membangunkan malware mereka sendiri. Operasi-operasi ini selalunya sangat sulit, dan kita hanya mengetahuinya melalui maklumat bocor atau insiden yang jarang berlaku.

Tidak seperti pemantauan besar-besaran, penggodaman peranti adalah berdasarkan sasaran kerana ia digunakan terhadap individu tertentu yang menjadi sasaran. Unit Tailored Access Operations milik NSA, misalnya, dilaporkan memiliki implan khusus untuk telefon Android dan Windows. Fail Vault 7 CIA menyenaraikan alat seperti HammerDrill yang menyasarkan telefon pintar.

GCHQ di UK juga menjalankan apa yang dikenali sebagai “gangguan peralatan” (equipment interference), yang telah dihalalkan secara khusus di bawah UK Investigatory Powers Act 2016 bagi kes-kes berkaitan keselamatan negara.

Jelas bahawa walau sekuat mana pun penyulitan itu, jika agensi perisikan dapat memasang perisian intip ke dalam telefon atau komputer, mereka masih boleh memintas penyulitan tersebut.

Realiti ini telah mengubah strategi agensi perisikan, dan kini mereka menumpukan sumber mereka kepada eksploitasi zero-day, malware, dan rantaian bekalan yang terjejas demi mendapatkan akses kepada data yang disimpan.

Serangan terhadap server

Satu lagi cara untuk memintas adalah dengan menyerang atau mengeksploitasi server dan infrastruktur perkhidmatan mesej.

Walaupun penyulitan hujung-ke-hujung direka untuk memastikan server tidak boleh menyahsulit mesej pengguna, agensi perisikan telah menemui cara untuk mengeksploitasi sistem bahagian server bagi mendapatkan maklumat.

Dalam beberapa kes, agensi risikan pernah mencuri data secara besar-besaran daripada syarikat teknologi. Dokumen Snowden mendedahkan operasi Muscular, satu operasi NSA/GCHQ yang mencuri masuk dalam sambungan data peribadi antara beberapa pusat data Google, dan mengekstrak data yang tidak disulitkan semasa penghantaran.

Google dan syarikat lain telah menyulitkan sambungan tersebut selepas 2013, tetapi insiden itu menunjukkan betapa pentingnya nilai penyusupan ke dalam sambungan rangkaian tulang belakang (backbone connections).

Bagi aplikasi mesej pula, ini sama seperti menyerang komunikasi antara server aplikasi, atau antara server dan titik akhir yang tidak disulitkan seperti perbualan awan (cloud chats) Telegram.

Kaedah paling ketara ialah dengan memaksa penyedia aplikasi untuk bekerjasama.

Pada 2013, pernah didedahkan bahawa program PRISM milik NSA membolehkannya mengumpul data dari server syarikat untuk sasaran risikan asing, di bawah kuasa undang-undang AS.

Syarikat seperti Microsoft, Google, Facebook dan Apple disenaraikan sebagai peserta dalam PRISM, dan didakwa menyediakan saluran terus kepada NSA untuk permintaan data yang diluluskan di bawah FISA.

Secara praktiknya, bagi aplikasi seperti WhatsApp atau iMessage, PRISM boleh digunakan untuk meminta data yang disimpan seperti maklumat akaun, senarai kenalan, dan komunikasi yang tidak disulitkan hujung-ke-hujung.

Sebagai contoh, sebelum 2016, WhatsApp belum lagi menyulitkan semua mesej dengan sistem hujung-ke-hujung, jadi kandungan di server mereka mungkin boleh diserahkan.

Selepas penyulitan hujung-ke-hujung diperkenalkan, kandungan mesej tidak lagi tersedia kerana Facebook tidak boleh menyahsulitnya, namun data lain seperti salinan sandaran awan (cloud backups) atau metadata masih boleh diperoleh melalui saluran sedemikian.

Tidak mustahil juga bahawa, daripada meminta secara rasmi, agensi perisikan memilih untuk menggodam server itu sendiri. Jika agensi risikan berjaya menceroboh rangkaian dalaman perkhidmatan mesej melalui kaedah serangan siber atau bantuan orang dalam, mereka mungkin boleh memanipulasi sistem perkhidmatan tersebut.

Selepas pendedahan oleh Snowden, syarikat-syarikat ini mula memperkukuhkan sistem mereka dan memperjuangkan imej yang melindungi privasi pengguna — seperti penyulitan WhatsApp dan tindakan Apple yang enggan membuka kunci iPhone. Namun, apabila data masih boleh diakses, penyedia perkhidmatan selalunya akur dengan perintah undang-undang. Dan apabila penyedia enggan bekerjasama, agensi perisikan boleh mencari jalan masuk melalui penggodaman.

Ilusi privasi

Privasi, dalam banyak keadaan, hanyalah satu ilusi. Organisasi perisikan telah berulang kali membuktikan keupayaan mereka untuk memintas perlindungan dan mengakses maklumat yang disangka selamat.

Keberkesanan mereka bukan sahaja terletak pada teknologi canggih dan kuasa undang-undang, tetapi juga pada keupayaan mereka beroperasi dari jauh tanpa disedari mana-mana rakyat. Jurang antara apa yang diketahui dan apa yang sebenarnya boleh dilakukan adalah luas dan selalunya tidak kelihatan.

Oleh itu, komunikasi digital — walau kelihatan selamat — tetap terdedah. Penyulitan hujung-ke-hujung menawarkan perlindungan yang bermakna, tetapi ia bukan penyelesaian mutlak.

Agensi perisikan di seluruh dunia telah menyesuaikan taktik mereka dengan memberi tumpuan kepada analisis metadata, pemantauan pada tahap peranti, dan eksploitasi infrastruktur untuk memintas halangan penyulitan.

Platform mesej berbeza dari segi falsafah reka bentuk, dasar, dan tahap ketelusan, tetapi semuanya beroperasi dalam persekitaran yang kompleks — iaitu dibentuk oleh batasan teknikal, tekanan undang-undang, dan kepentingan sesebuah negara.

Pengguna mungkin menyangka mesej mereka bersifat peribadi, tetapi privasi dalam dunia digital tidak hanya bergantung kepada protokol penyulitan — ia juga bergantung kepada integriti peranti, rangkaian, dan syarikat yang menjalankan perkhidmatan itu.

SUMBER: TRT World

Cari Berita Lain
Doha berhak bertindak balas susulan serangan Iran ke atas pangkalan AS: Qatar
Iran serang pangkalan AS di Qatar
Sepanyol desak EU henti dagangan, larang penjualan senjata kepada Israel
Iran nafi gencatan senjata dengan Israel tetapi akan berhenti jika Israel henti menyerang
Keputusan Strategik: Türkiye dan UNRWA tandatangani perjanjian penubuhan pejabat
Rusia sedia bantu Iran hadapi serangan Israel
Harga minyak melonjak ekoran ancaman Tehran tutup Selat Hormuz
Presiden Turkiye beri amaran terhadap 'Sykes-Picot baharu' di Timur Tengah
Stok uranium tidak terjejas selepas serangan AS ke atas tapak nuklear: Iran
Dalam diam, AS maklumkan Iran tentang serangan tapak nuklear: laporan
IAEA sahkan tiada peningkatan radiasi susulan serangan AS di tapak nuklear Iran
Iran kecam serangan AS sebagai pelanggaran terhadap undang-undang antarabangsa
Lebih banyak serangan jika Iran tidak berdamai dengan segera, kata Trump
Iran sempat pindah bahan dari tapak nuklear sebelum serangan AS
AS lancar serangan di tiga tapak nuklear Iran: Trump
Jenguk TRT Global. Kongsikan maklum balas anda!
Contact us