Aplikasi komunikasi TeleMessage Signal, yang digunakan oleh setidaknya satu pejabat administrasi Trump puncak untuk mengarsipkan pesan, dikabarkan telah mengalami pelanggaran yang menunjukkan kelemahan keamanan yang mengkhawatirkan dan mengakibatkan perusahaan induknya memberlakukan jeda layanan pekan ini menunggu penyelidikan. Sekarang, menurut temuan baru yang detail dari jurnalis dan peneliti keamanan Micah Lee, fitur pengarsipan TM Signal tampaknya secara mendasar merusak jaminan keamanan utama Signal, mengirimkan pesan antara aplikasi dan arsip pesan pengguna tanpa enkripsi ujung ke ujung, sehingga membuat komunikasi pengguna dapat diakses oleh TeleMessage.
Lee melakukan analisis detail terhadap kode sumber Android TM Signal untuk menilai desain dan keamanan aplikasi. Dalam kolaborasi dengan 404 Media, ia sebelumnya melaporkan tentang hack TM Signal akhir pekan lalu, yang mengungkapkan beberapa pesan pengguna dan data lainnya – tanda jelas bahwa setidaknya beberapa data dikirim tanpa enkripsi, atau sebagai teks polos, setidaknya beberapa waktu dalam layanan. Hal ini sendiri tampaknya bertentangan dengan klaim pemasaran TeleMessage bahwa TM Signal menawarkan “Enkripsi Ujung ke Ujung dari ponsel ke arsip perusahaan.” Namun, Lee mengatakan temuannya terbaru menunjukkan bahwa TM Signal tidak dienkripsi ujung ke ujung dan bahwa perusahaan dapat mengakses isi obrolan pengguna.
“Fakta bahwa ada log teks polos mengkonfirmasi hipotesis saya,” kata Lee kepada WIRED. “Fakta bahwa server arsip begitu mudah di-hack, dan bahwa TM Signal memiliki kekurangan keamanan dasar yang luar biasa, itu lebih buruk dari yang saya harapkan.”
TeleMessage adalah perusahaan Israel yang menyelesaikan akuisisinya tahun lalu oleh perusahaan arsip komunikasi digital berbasis AS, Smarsh. TeleMessage adalah kontraktor federal, tetapi aplikasi konsumennya tidak disetujui untuk digunakan dalam Program Manajemen Risiko dan Otorisasi Federal pemerintah AS, atau FedRAMP.
Smarsh tidak mengembalikan permintaan WIRED untuk memberikan komentar tentang temuan Lee. Perusahaan tersebut mengatakan pada hari Senin, “TeleMessage sedang menyelidiki insiden keamanan potensial. Setelah mendeteksinya, kami segera bertindak untuk menahannya dan melibatkan sebuah perusahaan keamanan siber eksternal untuk mendukung penyelidikan kami.”
Temuan Lee mungkin penting bagi semua pengguna TeleMessage tetapi memiliki makna khusus mengingat bahwa TM Signal digunakan oleh penasihat keamanan nasional mantan presiden Donald Trump, Mike Waltz. Dia difoto menggunakan layanan tersebut pekan lalu selama rapat kabinet, dan foto itu tampak menunjukkan bahwa dia berkomunikasi dengan pejabat tinggi lainnya, termasuk Wakil Presiden JD Vance, Direktur Intelijen Nasional AS Tulsi Gabbard, dan yang tampaknya Menteri Luar Negeri AS Marco Rubio. TM Signal kompatibel dengan Signal dan akan mengekspos pesan yang dikirim dalam obrolan dengan seseorang yang menggunakan TM Signal, baik semua peserta menggunakan aplikasi tersebut atau sebagian menggunakan aplikasi Signal asli.
Lee menemukan bahwa TM Signal dirancang untuk menyimpan data komunikasi Signal dalam database lokal di perangkat pengguna dan kemudian mengirimkannya ke server arsip untuk retensi jangka panjang. Pesan-pesan ini, katanya, dikirim langsung ke server arsip, tampaknya sebagai log obrolan teks polos dalam kasus-kasus yang diteliti oleh Lee. Melakukan analisis, katanya, “mengkonfirmasi bahwa server arsip memiliki akses ke log obrolan teks polos.”
Data yang diambil dari server arsip TeleMessage dalam hack termasuk log obrolan, nama pengguna dan kata sandi teks polos, dan bahkan kunci enkripsi pribadi.
Dalam surat pada hari Selasa, senator AS Ron Wyden meminta Departemen Kehakiman untuk menyelidiki TeleMessage, dengan tuduhan bahwa ini “ancaman serius bagi keamanan nasional AS.”
“Pihak-pihak pemerintah yang mengadopsi TeleMessage Archiver telah memilih opsi terburuk,” tulis Wyden. “Mereka telah memberikan pengguna mereka sesuatu yang terlihat dan terasa seperti Signal, aplikasi komunikasi aman paling tepercaya secara luas. Namun, para pejabat senior pemerintah sebenarnya diberikan tiruan Signal yang buruk yang menimbulkan sejumlah ancaman keamanan dan intelijen kontra. Ancaman keamanan yang ditimbulkan oleh TeleMessage Archiver bukanlah hal yang bersifat teoritis.”