Saya akan kultwit-kan sedikit hasil analisa terhadap kasus aplikasi Sambhar APK yang menyeret institusi Mabes Polri belakangan ini yang, yang dimunculkan whistleblower melalui akun @opposite6890
cc: @opposite6890
#Sambhar
cc: @opposite6890
#Sambhar
Aplikasi Sambhar diyakini sebagian masyarakat pengguna medsos sebagai aplikasi yang didesain untuk menyebarkan konten2 ke sejumlah media sosial Twitter, IG, dan FB. Saya pribadi tidak tahu persis muatan konten apa akan disebarluaskan. Semoga ada verifikasi dari creator-nya.
Berikut ini adalah hasil tangkapan layar aplikasi, walaupun tidak dapat diakses sepenuhnya, karena komunikasi ke API server yang disinyalir menuju ke salah satu jaringan Mabes Polri, telah ditutup semenjak kasus ini mencuat.
#Sambhar
#Sambhar
Cara kerja aplikasi ini sangat umum terjadi. Anda hanya butuh sebuah akun email dan password yang telah terdaftar di API server, untuk menuju tampilan utama (main activity), jika tidak anda hanya akan berada di tampilan autentikasi (login) dan pilihan untuk Register
#Sambhar
#Sambhar
Sebuah akun Sambhar yang terdaftar, dpt mengatur beberapa akun media sosial yang digunakan untuk menyebarluaskan konten secara bersamaan. Kesimpulannya, aplikasi Sambhar mempermudah pengguna, dengan 1 aplikasi dapat menyebarkan ke beberapa medsos dgn cepat.
#Sambhar
#Sambhar
Saya lampirkan twit infografik analisa @opposite6890
#Sambhar
https://twitter.com/opposite6890/status/1103660365903065088
#Sambhar
Berikut twit @opposite6890 menganalisa file Sambhar APK yang memicu kehebohan, menyeret institusi Mabes Polri atas dugaan penggunaan infrastruktur jaringan Mabes Polri (saya sebut secara teknis REST API server) untuk komunikasi aplikasi Sambar.
#Sambhar
https://twitter.com/opposite6890/status/1103660333376233474
#Sambhar
Dan muncul nama Lucgu Qolfiera Muhammad yang diduga sebagai developer aplikasi Sambhar tersebut, yg merupakan seorang mobile developer beberapa aplikasi yang terdaftar secara official (Android Developer) maupun unofficial.
#Sambhar
https://twitter.com/opposite6890/status/1103659831112556544
#Sambhar
@opposite6890 melakukan perbandingan fingerprint (hash) ke salah satu aplikasi milik developer (walau tidak resmi ter-publish di PlayStore), hasilnya sama persis. Artinya aplikasi ini di-sign menggunakan certificate yg sama.
#Sambhar
https://twitter.com/opposite6890/status/1103659858413289472
#Sambhar
Awalnya saya tidak langsung percaya, karena:
1. Aplikasi yang dibandingkan tidak resmi berada di PlayStore, jadi asumsinya tidak kredibel
2. Secara teknis, certificate bisa saja dibuat sama identifier-nya (name, org, dsb).
#Sambhar
1. Aplikasi yang dibandingkan tidak resmi berada di PlayStore, jadi asumsinya tidak kredibel
2. Secara teknis, certificate bisa saja dibuat sama identifier-nya (name, org, dsb).
https://twitter.com/opposite6890/status/1103659858413289472
#Sambhar
Namun, dugaan saya ternyata salah!
Setelah membandingkan 1 aplikasi official si LQM yg bernama Assistag (identifier: com.lucgu.imagetag), ternyata aplikasi Sambhar menggunakan certificate yang sama. Artinya, si developer aplikasi Sambhar adalah orang yang sama.
#Sambhar
Setelah membandingkan 1 aplikasi official si LQM yg bernama Assistag (identifier: com.lucgu.imagetag), ternyata aplikasi Sambhar menggunakan certificate yang sama. Artinya, si developer aplikasi Sambhar adalah orang yang sama.
#Sambhar
Menurut saya, LQM tidak perlu dijadikan kambing hitam, karena bisa saja si LQM hanya developer yang menerima pesanan dari si pemilik aplikasi Sambhar, entah siapa orangnya.
#Sambhar
#Sambhar
Yang menjadi masalah adalah @opposite6890 menduga aplikasi Sambhar dijadikan sebagai media buzzer untuk menciptakan konten2 tertentu, untuk menjatuhkan/menaikan salah satu pasangan capres 2019 di masa kampanye melalui medsos.
#Sambhar
#Sambhar
Trus salahnya di mana?
Menurut @opposite6890 berdasarkan pengakuan whistleblower, pengguna buzzer dominan di salah satu institusi penegak hukum di Indonesia, dan diperkuat dgn penggunaan infrastruktur jaringan institusi tersebut sbg sarana komunikasi aplikasi tsb.
#Sambhar
Menurut @opposite6890 berdasarkan pengakuan whistleblower, pengguna buzzer dominan di salah satu institusi penegak hukum di Indonesia, dan diperkuat dgn penggunaan infrastruktur jaringan institusi tersebut sbg sarana komunikasi aplikasi tsb.
#Sambhar
Berikut twit @opposite6890 yang menyatakan hal tsbt.
#Sambhar
https://twitter.com/opposite6890/status/1102650571541147651
#Sambhar
Dugaan kuat @opposite6890 bahwa infrastruktur Mabes Polri digunakan sebagai server penghubung, muncul alamat IP publik 120.29.226.193 menggunakan port 3080.
#Sambhar
https://twitter.com/opposite6890/status/1102487152607162368
#Sambhar
Berdasarkan analisa pribadi, IP 120.29.226.193 ternyata berada di bawah Autonomous System AS38764 milik MARKAS BESAR KEPOLISIAN REPUBLIK INDONESIA.
Gunakan tool Robtex.com:
IP query -> robtex.com/ip-lookup/120.…
AS query -> robtex.com/as/AS38764.html
#Sambhar
Gunakan tool Robtex.com:
IP query -> robtex.com/ip-lookup/120.…
AS query -> robtex.com/as/AS38764.html
#Sambhar
Masih belum cukup dengan tool tersebut, saya gunakan bbrp reverse engineering tool seperti
- APKTool
- dex2jar
Utk melihat hasil decompile source code aplikasi Sambhar, ternyata memang IP tersebut digunakan sbg media komunikasi melalui protokol teknologi REST API.
#Sambhar
- APKTool
- dex2jar
Utk melihat hasil decompile source code aplikasi Sambhar, ternyata memang IP tersebut digunakan sbg media komunikasi melalui protokol teknologi REST API.
#Sambhar
Protokol REST API umum digunakan aplikasi mobile sebagai standar media komunikasi. Sila Google apa itu REST API, tidak perlu saya jabarkan secara detail karena akan panjang sekali. Saya akan jabarkan sedikit teknis penggunaan API-nya. Maaf buat yg tidak mengerti.
#Sambhar
#Sambhar
Twit teknis! Skip saja ke beberapa twit berikutnya jika anda tidak tertarik membahas REST API aplikasi Sambhar. Akan saya beri tagar #TEKNIS supaya mudah anda mengidentifikasi twit teknis dan non-teknis.
#Sambhar
#Sambhar
#TEKNIS
Sambhar menggunakan beberapa endpoint API untuk mengakses resources pada server 120.29.226.193 port 3080, a.l.
http://120.29.226.193:3080/initiate (POST)
http://120.29.226.193:3080/job/create (GET)
http://120.29.226.193:3080/get-profile (GET)
...contd.
#Sambhar
Sambhar menggunakan beberapa endpoint API untuk mengakses resources pada server 120.29.226.193 port 3080, a.l.
http://120.29.226.193:3080/initiate (POST)
http://120.29.226.193:3080/job/create (GET)
http://120.29.226.193:3080/get-profile (GET)
...contd.
#Sambhar
#TEKNIS
http://120.29.226.193:3080/groups (GET)
http://120.29.226.193:3080/login (POST)
http://120.29.226.193:3080/notify (POST)
http://120.29.226.193:3080/register (POST)
http://120.29.226.193:3080/update-password (POST)
http://120.29.226.193:3080/update-profile (POST)
#Sambhar
http://120.29.226.193:3080/groups (GET)
http://120.29.226.193:3080/login (POST)
http://120.29.226.193:3080/notify (POST)
http://120.29.226.193:3080/register (POST)
http://120.29.226.193:3080/update-password (POST)
http://120.29.226.193:3080/update-profile (POST)
#Sambhar
#TEKNIS
Dan pengaturan IP tersebut agar aplikasi dapat berjalan pada mode unsecure (plain text / non-HTTPS).
Kesimpulan pribadi saya,
- aplikasi ini dibangun buru2, tidak mementingkan aspek keamanan komunikasi data (plain HTTP)
#Sambhar
Dan pengaturan IP tersebut agar aplikasi dapat berjalan pada mode unsecure (plain text / non-HTTPS).
Kesimpulan pribadi saya,
- aplikasi ini dibangun buru2, tidak mementingkan aspek keamanan komunikasi data (plain HTTP)
#Sambhar
Menanggapi berita "Penjelasan Polri Soal Tudingan Pengerahan Pasukan Buzzer di Pilpres 2019"
merdeka.com/peristiwa/penj…
#Sambhar
merdeka.com/peristiwa/penj…
#Sambhar
Saya highlight perkataan Ka. Biro Penerangan Masyarakat Divhumas Polri Brigjen Dedi Prasetyo:
"IP address WiFi di areal mabes ini ada di area publik, jadi bisa diakses publik",
Secara teknis ini tidak masuk akal, selemah itukah pertahanan jaringan komputer Mabes Polri?
#Sambhar
"IP address WiFi di areal mabes ini ada di area publik, jadi bisa diakses publik",
Secara teknis ini tidak masuk akal, selemah itukah pertahanan jaringan komputer Mabes Polri?
#Sambhar
Akan lebih baik tim ahli (IT network) menjelaskan pernyataan tersebut, karena khawatir pihak Polri menduga ada usaha peretasan ke jaringan mereka, lalu membuat API Server untuk aplikasi Sambhar. 🤨
#Sambhar
#Sambhar
Jika memang pihak Mabes Polri menyatakan penggunaan IP pada infrastruktur jaringan Mabes Polri, maka yg paling pertama bertanggung jawab terhadap dugaan peretasan, adalah si developer (LQM). Karena aplikasi ini signed menggunakan official android developer certificate.
#Sambhar
#Sambhar
Apakah ini pernah terjadi sebelumnya?
Pernah! Yaitu pasukan Jokowi Ahok Social Media Volunteer atau dikenal dengan Jasmev. Hanya saja caranya berbeda, tetapi tujuannya tetap sama.
merdeka.com/tag/jasmev-201…
#Sambhar
Pernah! Yaitu pasukan Jokowi Ahok Social Media Volunteer atau dikenal dengan Jasmev. Hanya saja caranya berbeda, tetapi tujuannya tetap sama.
merdeka.com/tag/jasmev-201…
#Sambhar
Akhir kata, semoga ada keadilan di negeri ini, shg tudingan #WasitIkutBermain dapat terbantahkan. Namun jika tidak, siap2 mengubah persepsi rakyat, bahwa hanya ada 3 polisi jujur; polisi tidur, patung polisi & Hoegeng (GD)
Demikian thread ini dibuat, semoga bermanfaat.
#Sambhar
Demikian thread ini dibuat, semoga bermanfaat.
#Sambhar
Mungkin ada yg belum menyimak lanjutan twit ini, sila klik ↓
https://twitter.com/noseclorum/status/1104630976460681216
• • •
Missing some Tweet in this thread? You can try to
force a refresh
