Jumlah komunikasi pribadi yang sangat besar – termasuk panggilan suara, pesan teks, dan data sensitif perusahaan dan pemerintah – dikirimkan melalui jalur satelit tanpa enkripsi apa pun, sehingga jutaan pengguna berpotensi disadap. Para peneliti membuat penemuan suram ini ketika memeriksa lalu lintas internet yang disalurkan melalui satelit geostasioner yang terlihat dari California Selatan.
Eksperimen mereka, menggunakan parabola komersial sederhana yang dipasang di kampus universitas, mengungkapkan kenyataan yang mengkhawatirkan: informasi sensitif yang ditujukan untuk penyedia infrastruktur penting, pemerintah, perusahaan, dan bahkan masyarakat umum disiarkan secara jelas – pada dasarnya, seperti mengirim kartu pos, bukan surat tersegel. Ini berarti siapa pun yang memiliki peralatan seharga beberapa ratus dolar dapat menguping.
“Sejumlah besar lalu lintas sensitif disiarkan tanpa terenkripsi,” kata para peneliti, menyoroti kerentanan panggilan suara, pesan teks, komunikasi internal perusahaan dan pemerintah, dan bahkan lalu lintas internet konsumen dari Wi-Fi dalam penerbangan dan jaringan seluler.
Pelakunya bukanlah peretas jahat, melainkan teknologi yang sudah ketinggalan zaman. Satelit geostasioner, yang banyak digunakan untuk komunikasi militer dan sipil karena kemampuannya menyediakan jangkauan terus-menerus di wilayah yang luas, sebagian besar didasarkan pada sistem lama yang belum mampu mengimbangi standar enkripsi modern.
“Satelit geostasioner ini merupakan teknologi yang agak tua,” jelas Dave Levin, seorang profesor di Universitas Maryland yang memimpin penelitian tersebut. “Kami pikir kami akan mencoba mendengarkan dan memecahkan kriptografi, namun ternyata kami tidak perlu melakukannya karena tidak ada kriptografi yang digunakan.”
Studi ini berfokus pada sekitar 15% armada satelit geostasioner global, sehingga memicu kekhawatiran bahwa kurangnya enkripsi bahkan lebih parah daripada yang awalnya disadari oleh para peneliti. Di antara komunikasi yang disadap adalah transmisi dari pasukan militer dan polisi Meksiko, serta beberapa lembaga pemerintah AS.
Lebih dari sekadar intersepsi, kerentanan ini juga menimbulkan ancaman signifikan terhadap keamanan. Penyerang berpotensi mencegat kode autentikasi dua faktor yang digunakan untuk login sistem, atau secara aktif memasukkan pesan berbahaya ke dalam aliran komunikasi, mengganggu infrastruktur penting atau menimbulkan kekacauan dalam organisasi.
Meskipun para peneliti belum secara terbuka menyebutkan nama semua perusahaan yang terkena dampak – mereka mematuhi praktik pengungkapan yang bertanggung jawab untuk memberikan waktu untuk melakukan mitigasi – mereka menekankan bahwa jutaan pengguna tanpa disadari rentan. Jumlah data yang tidak terenkripsi sangatlah besar; bahkan penyelidikan singkat menghasilkan banyak sekali komunikasi yang disadap, yang mengisyaratkan adanya harta karun yang tersedia bagi penyerang yang gigih dengan pengaturan yang lebih canggih.
Penemuan ini menyoroti kebutuhan mendesak bagi operator satelit dan perusahaan yang memanfaatkan tautan ini untuk memprioritaskan enkripsi dan memastikan data sensitif mereka tidak disiarkan secara terbuka ke dunia maya.
