Tekan play untuk mendengarkan artikel ini
Penasihat keamanan Barat memperingatkan para delegasi di KTT iklim COP27 untuk tidak mengunduh aplikasi smartphone resmi pemerintah Mesir, di tengah kekhawatiran itu dapat digunakan untuk meretas e-mail pribadi, teks, dan bahkan percakapan suara mereka.
Pembuat kebijakan dari Jerman, Prancis, dan Kanada termasuk di antara mereka yang telah mengunduh aplikasi tersebut pada 8 November, menurut dua pejabat keamanan Barat terpisah yang diberi pengarahan tentang diskusi dalam delegasi ini di KTT iklim PBB.
Pemerintah Barat lainnya telah menyarankan pejabat untuk tidak mengunduh aplikasi tersebut, kata pejabat lain dari pemerintah Eropa. Semua pejabat berbicara dengan syarat anonim untuk membahas pertimbangan pemerintah internasional.
Potensi kerawanan dari aplikasi Android yang telah diunduh ribuan kali dan menjadi pintu gerbang bagi peserta COP27, dikonfirmasi secara terpisah oleh empat pakar keamanan siber yang meninjau aplikasi digital untuk POLITICO.
Aplikasi ini dipromosikan sebagai alat untuk membantu peserta menavigasi acara. Tetapi berisiko memberikan izin kepada pemerintah Mesir untuk membaca e-mail dan pesan pengguna. Bahkan pesan yang dibagikan melalui layanan terenkripsi seperti WhatsApp rentan, menurut tinjauan teknis aplikasi POLITICO, dan dua pakar luar.
Aplikasi ini juga menyediakan Kementerian Komunikasi dan Teknologi Informasi Mesir, yang menciptakannya, dengan apa yang disebut hak istimewa pintu belakang, atau kemampuan untuk memindai perangkat orang.
Pada ponsel cerdas yang menjalankan perangkat lunak Android Google, ia memiliki izin untuk berpotensi mendengarkan percakapan pengguna melalui aplikasi, bahkan ketika perangkat dalam mode tidur, menurut tiga pakar dan analisis terpisah POLITICO. Itu juga dapat melacak lokasi orang melalui teknologi GPS dan Wi-Fi bawaan ponsel, menurut dua analis.
Aplikasi ini tidak lain adalah “alat pengawasan yang dapat dipersenjatai oleh otoritas Mesir untuk melacak aktivis, delegasi pemerintah, dan siapa pun yang menghadiri COP27,” kata Marwa Fatafta, pemimpin hak digital untuk Timur Tengah dan Afrika Utara untuk Entry Now, sebuah organisasi nirlaba. organisasi hak digital.
“Aplikasi itu adalah senjata siber,” kata seorang pakar keamanan setelah meninjaunya, yang berbicara dengan syarat anonim untuk melindungi rekan-rekan yang menghadiri COP.
Pemerintah Mesir tidak menanggapi permintaan komentar. Google mengatakan telah meninjau aplikasi dan tidak menemukan pelanggaran terhadap kebijakan aplikasinya.
Potensi risiko keamanan datang ketika ribuan pejabat tinggi turun ke Sharm El-Sheikh, kota resor Mesir, di mana apa yang disebut kode QR, atau kode kuasi-bar yang mengarahkan orang untuk mengunduh aplikasi ponsel pintar, tersebar di sekitar kota. .
Peserta di COP27 termasuk para pemimpin world seperti Presiden Prancis Emmanuel Macron, Perdana Menteri Inggris Rishi Sunak dan Menteri Luar Negeri AS Antony Blinken, meskipun politisi terkenal seperti itu tidak mungkin mengunduh aplikasi pemerintah lain.
Para ahli yang berbicara dengan POLITICO mengatakan bahwa sebagian besar information dan akses yang didapat aplikasi COP27 cukup standar. Namun, menurut tiga pakar ini, kombinasi rekam jejak pemerintah Mesir tentang hak asasi manusia dan tipe orang yang akan mengunduh aplikasi tersebut patut dikhawatirkan.
Akses aneh dan luas
Tiga dari peneliti mengatakan aplikasi tersebut menimbulkan risiko pengawasan bagi mereka yang mengunduhnya karena izinnya yang luas untuk meninjau perangkat orang, meskipun tingkat risikonya masih belum jelas.
Elias Koivula, seorang peneliti di WithSecure, sebuah perusahaan keamanan siber, meninjau aplikasi Android untuk POLITICO dan mengatakan dia tidak menemukan bukti bahwa e-mail orang telah dibaca. Banyak dari izin yang diberikan kepada aplikasi konferensi perubahan iklim juga memiliki tujuan yang baik seperti membuat orang tetap up-to-date dengan informasi perjalanan terbaru di sekitar KTT, tambahnya.
Namun Koivula mengatakan izin lain yang diberikan untuk aplikasi itu tampak “aneh” dan berpotensi digunakan untuk melacak pergerakan dan komunikasi orang. Sejauh ini, dia mengatakan tidak memiliki bukti bahwa kegiatan tersebut telah terjadi.
Tidak semua ahli setuju dengan risikonya.
Paul Shunk, seorang insinyur intelijen keamanan di perusahaan keamanan siber Lookout, mengatakan dia tidak menemukan bukti bahwa aplikasi itu memiliki akses ke e-mail, menggambarkan gagasan bahwa itu menimbulkan risiko pengawasan sebagai “aneh.” Dia yakin aplikasi itu tidak dibuat sebagai spyware and adware biasa, menuangkan air dingin pada klaim bahwa aplikasi berfungsi sebagai perangkat pendengar. Shunk mengatakan tidak dapat merekam audio jika berjalan di latar belakang, yang membuatnya “hampir sama sekali tidak cocok untuk memata-matai pengguna.”
Aplikasi COP27 menggunakan pelacakan lokasi “secara luas,” kata Shunk, tetapi tampaknya untuk tujuan yang sah seperti perencanaan rute untuk peserta KTT. Itu tidak memiliki kemampuan untuk mengakses lokasi di latar belakang, berdasarkan izin Android, yang akan dibutuhkan aplikasi untuk pelacakan lokasi berkelanjutan, tambahnya.
Dua analis keamanan siber lainnya yang meninjau aplikasi berbicara dengan syarat anonim untuk menjaga pekerjaan keamanan mereka yang sedang berlangsung dan untuk melindungi rekan-rekan yang menghadiri konferensi perubahan iklim.
“Biarkan saya begini: Saya tidak akan mengunduh aplikasi ini ke ponsel saya,” kata salah satu pakar itu. Kedua peneliti itu juga memperingatkan bahwa begitu aplikasi telah diunduh ke perangkat, akan sulit, jika bukan tidak mungkin, untuk menghilangkan kemampuannya untuk mengakses information sensitif orang – bahkan setelah itu telah dihapus.
POLITICO memeriksa potensi risiko keamanan aplikasi melalui dua alat keamanan siber terbuka, dan keduanya mengemukakan kekhawatiran tentang kemampuannya untuk mendengarkan percakapan orang, melacak lokasi mereka, dan mengubah cara aplikasi beroperasi tanpa meminta izin.
Baik Google dan Apple menyetujui aplikasi untuk muncul di toko aplikasi terpisah mereka. Semua analis hanya meninjau versi aplikasi Android, dan bukan aplikasi terpisah yang dibuat untuk perangkat Apple. Apple menolak mengomentari aplikasi terpisah yang dibuat untuk App Retailer-nya.
Rekam jejak Mesir
Yang menambah kekhawatiran kelompok hak asasi manusia adalah rekam jejak pemerintah Mesir dalam memantau rakyatnya. Setelah apa yang disebut Musim Semi Arab, Kairo telah menekan para pembangkang dan menggunakan aturan darurat lokal untuk melacak aktivitas warganya secara on-line dan offline, menurut sebuah laporan oleh Privateness Worldwide, sebuah organisasi nirlaba.
Sebagai bagian dari pemberitahuan privasi aplikasi smartphone, pemerintah Mesir mengatakan memiliki hak untuk menggunakan informasi yang diberikan oleh mereka yang telah mengunduh aplikasi, termasuk lokasi GPS, akses kamera, foto, dan element Wi-Fi.
“Aplikasi kami berhak mengakses akun pelanggan untuk tujuan teknis dan administratif dan untuk alasan keamanan,” kata pernyataan privasi.
Namun tinjauan teknis, baik oleh POLITICO maupun pakar luar dari aplikasi smartphone COP27 menemukan izin lebih lanjut yang telah diberikan orang, tanpa disadari, kepada pemerintah Mesir yang tidak dipublikasikan melalui pernyataan publiknya.
Ini termasuk aplikasi yang memiliki hak untuk melacak apa yang dilakukan peserta pada aplikasi lain di ponsel mereka; menghubungkan ponsel cerdas pengguna melalui Bluetooth ke perangkat keras lain dengan cara yang dapat menyebabkan information dipindahkan ke perangkat milik pemerintah; dan secara mandiri menautkan ponsel individu ke jaringan Wi-Fi, atau melakukan panggilan atas nama mereka tanpa sepengetahuan mereka.
“Pemerintah Mesir tidak dapat dipercaya untuk mengelola information pribadi orang mengingat catatan hak asasi manusianya yang buruk dan pengabaian privasi secara terang-terangan,” kata Fatafta, juru kampanye hak digital.
