Baru-baru ini banyak beredar pemberitaan mengenai celah keamanan yang ditemukan di jaringan selular yang digunakan untuk membajak akun facebook maupun whatsapp. Dengan mengalihkan pesan OTP (One Time Password) atau panggilan untuk mendapatkan PIN autentikasi, sebuah skema peretasan bisa dengan mudah dilakukan.
Sejumlah peneliti membuktikan hal ini dengan mengeksploitasi jaringan Signaling System 7 (SS7). SS7 merupakan protokol telekomunikasi untuk memungkinkan jaringan telepon PSTN terhubung dengan jaringan lain seperti GSM maupun IP dan protokol ini merupakan standar internasional. Inilah mengapa kamu tetap bisa menggunakan nomor di luar negeri dengan layanan roaming internasional, karena semua nomor ponsel di seluruh dunia terhubung dalam 1 jaringan.
Jaringan SS7 dibangun atas dasar kepercayaan.
SS7 didesain untuk bisa melacak panggilan yang dilakukan ke jaringan lain dan seiring perkembangan SS7 juga bisa digunakan untuk menghitung tagihan panggilan dan sms pengguna telepon selular. SS7 merupakan salah satu bagian utama dari sistem telekomunikasi kita saat ini. Ibarat sistem perkereta-apian, SS7 bisa kita analogikan sebagai jalur maintenance para pekerja operator disamping jalur utama penumpang kereta api atau pengguna.
Sebagai contoh misalnya ketika kamu sedang pergi ke luar negeri dengan membawa nomor ponsel, operator luar akan mengirimkan permintaan melalui SS7 untuk mendapatkan ID nomor kamu serta mengirim permintaan untuk berkomunikasi dengan jaringan operator dalam negeri ketika kamu melakukan panggilan roaming, sehingga penerima telepon yang berada dalam negeri tetap mengenali nomor telepon yang masuk. Dan untuk kasus operator luar bisa bekerja sama dengan operator dalam negeri, mereka harus saling mempercayai satu sama lain lewat SS7 ini.
Masalahnya siapapun yang terhubung atau mempunyai akses ke SS7 ini, semua permintaan atau request mereka dianggap valid atau sah. Itu artinya jika kamu mempunyai akses ke SS7, kamu bisa mengirimkan request roaming ke operator atau bahkan mengalihkan nomor ke nomor lain dari belahan dunia manapun. Hal inilah yang memungkinkan para pembajak akun memanfaatkan celah tersebut untuk mendapatkan PIN atau password.Perlu dicatat, seseorang yang mengalihkan nomor ponselmu akan mendapatkan sms atau panggilan yang seharusnya kamu dapatkan.
Jadi singkat kata, SS7 memang didesain untuk dipatuhi oleh semua operator karena itu akses ke protokol ini dilindungi dan tidak sembarang orang bisa menggunakannya. Akses protokol ini hanya dimiliki oleh operator maupun pemerintah serta mungkin badan-badan intellegen yang berwenang.
Namun bahayanya jika akses ini bocor sedikit saja oleh pekerja operator yang korup kepada orang yang tidak bertanggung jawab dengan iming-iming uang atau pekerja itu sendiri yang menjadi oknum, seseorang dengan mudah membajak ponsel anda dan mengakes akun facebook atau whatsapp anda untuk mencuri sesuatu atau merusak.
Berikut adalah demonstrasi bagaimana akun facebook bisa dibajak dengan hanya mengetahuin nomor ponsel pengguna.
https://youtu.be/wc72mmsR6bM
Untungnya peretasan ini diperagakan oleh hacker peneliti untuk mengungkap kebocoran keamanan sebelum celah ini digunakan oleh penjahat. Kedepannya perlu dilakukan peningkatan keamanan untuk jaringan terkait SS7 ini mengingat banyak orang bergantung pada ponsel mereka.