Saya akan kultwit-kan sedikit hasil analisa terhadap kasus aplikasi Sambhar APK yang menyeret institusi Mabes Polri belakangan ini yang, yang dimunculkan whistleblower melalui akun @opposite6890

cc: @opposite6890
#Sambhar Image
Aplikasi Sambhar diyakini sebagian masyarakat pengguna medsos sebagai aplikasi yang didesain untuk menyebarkan konten2 ke sejumlah media sosial Twitter, IG, dan FB. Saya pribadi tidak tahu persis muatan konten apa akan disebarluaskan. Semoga ada verifikasi dari creator-nya.
Berikut ini adalah hasil tangkapan layar aplikasi, walaupun tidak dapat diakses sepenuhnya, karena komunikasi ke API server yang disinyalir menuju ke salah satu jaringan Mabes Polri, telah ditutup semenjak kasus ini mencuat.

#Sambhar ImageImage
Cara kerja aplikasi ini sangat umum terjadi. Anda hanya butuh sebuah akun email dan password yang telah terdaftar di API server, untuk menuju tampilan utama (main activity), jika tidak anda hanya akan berada di tampilan autentikasi (login) dan pilihan untuk Register

#Sambhar
Sebuah akun Sambhar yang terdaftar, dpt mengatur beberapa akun media sosial yang digunakan untuk menyebarluaskan konten secara bersamaan. Kesimpulannya, aplikasi Sambhar mempermudah pengguna, dengan 1 aplikasi dapat menyebarkan ke beberapa medsos dgn cepat.

#Sambhar
Berikut twit @opposite6890 menganalisa file Sambhar APK yang memicu kehebohan, menyeret institusi Mabes Polri atas dugaan penggunaan infrastruktur jaringan Mabes Polri (saya sebut secara teknis REST API server) untuk komunikasi aplikasi Sambar.



#Sambhar
Dan muncul nama Lucgu Qolfiera Muhammad yang diduga sebagai developer aplikasi Sambhar tersebut, yg merupakan seorang mobile developer beberapa aplikasi yang terdaftar secara official (Android Developer) maupun unofficial.



#Sambhar
@opposite6890 melakukan perbandingan fingerprint (hash) ke salah satu aplikasi milik developer (walau tidak resmi ter-publish di PlayStore), hasilnya sama persis. Artinya aplikasi ini di-sign menggunakan certificate yg sama.



#Sambhar
Awalnya saya tidak langsung percaya, karena:
1. Aplikasi yang dibandingkan tidak resmi berada di PlayStore, jadi asumsinya tidak kredibel
2. Secara teknis, certificate bisa saja dibuat sama identifier-nya (name, org, dsb).



#Sambhar
Namun, dugaan saya ternyata salah!

Setelah membandingkan 1 aplikasi official si LQM yg bernama Assistag (identifier: com.lucgu.imagetag), ternyata aplikasi Sambhar menggunakan certificate yang sama. Artinya, si developer aplikasi Sambhar adalah orang yang sama.

#Sambhar ImageImageImage
Menurut saya, LQM tidak perlu dijadikan kambing hitam, karena bisa saja si LQM hanya developer yang menerima pesanan dari si pemilik aplikasi Sambhar, entah siapa orangnya.

#Sambhar
Yang menjadi masalah adalah @opposite6890 menduga aplikasi Sambhar dijadikan sebagai media buzzer untuk menciptakan konten2 tertentu, untuk menjatuhkan/menaikan salah satu pasangan capres 2019 di masa kampanye melalui medsos.

#Sambhar
Trus salahnya di mana?

Menurut @opposite6890 berdasarkan pengakuan whistleblower, pengguna buzzer dominan di salah satu institusi penegak hukum di Indonesia, dan diperkuat dgn penggunaan infrastruktur jaringan institusi tersebut sbg sarana komunikasi aplikasi tsb.

#Sambhar
Dugaan kuat @opposite6890 bahwa infrastruktur Mabes Polri digunakan sebagai server penghubung, muncul alamat IP publik 120.29.226.193 menggunakan port 3080.



#Sambhar
Berdasarkan analisa pribadi, IP 120.29.226.193 ternyata berada di bawah Autonomous System AS38764 milik MARKAS BESAR KEPOLISIAN REPUBLIK INDONESIA.

Gunakan tool Robtex.com:
IP query -> robtex.com/ip-lookup/120.…
AS query -> robtex.com/as/AS38764.html

#Sambhar
Masih belum cukup dengan tool tersebut, saya gunakan bbrp reverse engineering tool seperti
- APKTool
- dex2jar
Utk melihat hasil decompile source code aplikasi Sambhar, ternyata memang IP tersebut digunakan sbg media komunikasi melalui protokol teknologi REST API.

#Sambhar Image
Protokol REST API umum digunakan aplikasi mobile sebagai standar media komunikasi. Sila Google apa itu REST API, tidak perlu saya jabarkan secara detail karena akan panjang sekali. Saya akan jabarkan sedikit teknis penggunaan API-nya. Maaf buat yg tidak mengerti.

#Sambhar
Twit teknis! Skip saja ke beberapa twit berikutnya jika anda tidak tertarik membahas REST API aplikasi Sambhar. Akan saya beri tagar #TEKNIS supaya mudah anda mengidentifikasi twit teknis dan non-teknis.

#Sambhar
#TEKNIS

Sambhar menggunakan beberapa endpoint API untuk mengakses resources pada server 120.29.226.193 port 3080, a.l.

http://120.29.226.193:3080/initiate (POST)
http://120.29.226.193:3080/job/create (GET)
http://120.29.226.193:3080/get-profile (GET)
...contd.

#Sambhar
#TEKNIS
http://120.29.226.193:3080/groups (GET)
http://120.29.226.193:3080/login (POST)
http://120.29.226.193:3080/notify (POST)
http://120.29.226.193:3080/register (POST)
http://120.29.226.193:3080/update-password (POST)
http://120.29.226.193:3080/update-profile (POST)

#Sambhar Image
#TEKNIS

Dan pengaturan IP tersebut agar aplikasi dapat berjalan pada mode unsecure (plain text / non-HTTPS).

Kesimpulan pribadi saya,
- aplikasi ini dibangun buru2, tidak mementingkan aspek keamanan komunikasi data (plain HTTP)

#Sambhar
Menanggapi berita "Penjelasan Polri Soal Tudingan Pengerahan Pasukan Buzzer di Pilpres 2019"

merdeka.com/peristiwa/penj…

#Sambhar
Saya highlight perkataan Ka. Biro Penerangan Masyarakat Divhumas Polri Brigjen Dedi Prasetyo:
"IP address WiFi di areal mabes ini ada di area publik, jadi bisa diakses publik",

Secara teknis ini tidak masuk akal, selemah itukah pertahanan jaringan komputer Mabes Polri?

#Sambhar
Akan lebih baik tim ahli (IT network) menjelaskan pernyataan tersebut, karena khawatir pihak Polri menduga ada usaha peretasan ke jaringan mereka, lalu membuat API Server untuk aplikasi Sambhar. 🤨

#Sambhar
Jika memang pihak Mabes Polri menyatakan penggunaan IP pada infrastruktur jaringan Mabes Polri, maka yg paling pertama bertanggung jawab terhadap dugaan peretasan, adalah si developer (LQM). Karena aplikasi ini signed menggunakan official android developer certificate.

#Sambhar Image
Apakah ini pernah terjadi sebelumnya?

Pernah! Yaitu pasukan Jokowi Ahok Social Media Volunteer atau dikenal dengan Jasmev. Hanya saja caranya berbeda, tetapi tujuannya tetap sama.

merdeka.com/tag/jasmev-201…

#Sambhar
Akhir kata, semoga ada keadilan di negeri ini, shg tudingan #WasitIkutBermain dapat terbantahkan. Namun jika tidak, siap2 mengubah persepsi rakyat, bahwa hanya ada 3 polisi jujur; polisi tidur, patung polisi & Hoegeng (GD)

Demikian thread ini dibuat, semoga bermanfaat.

#Sambhar
Mungkin ada yg belum menyimak lanjutan twit ini, sila klik ↓

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with #WelcomeStupidityRegime

#WelcomeStupidityRegime Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(