Bukti Fitur Twitter Baru Dibocorkan Oleh Peneliti Keamanan
Diterbitkan: 2022-11-17Peneliti keamanan dan blogger reverse engineering Jane Manchun Wong menemukan bukti bahwa Twitter mungkin membawa enkripsi ujung ke ujung ke Twitter, ditambah dua kemungkinan perubahan yang cukup berguna.
Dia mempublikasikan informasi tersebut melalui serangkaian tweet yang membocorkan detail fitur baru yang masih dalam pengembangan..
Perubahan Sepele Tapi Bermanfaat
Perubahan pertama yang datang adalah penghapusan bidang sumber.
Kolom sumber adalah bagian di bawah setiap tweet yang memberitahukan jenis perangkat apa yang digunakan untuk memposting tweet tersebut.
Pasti ada tujuan untuk fitur itu tetapi tidak segera terlihat.
Pada akhirnya ini adalah perubahan sepele tetapi mungkin berguna karena mengurangi kekacauan.
Ya. Bidang sumber hilang dari tampilan detail Tweet di prototipe ini https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
— Jane Manchun Wong (@wongmjane) 16 November 2022
Enkripsi ujung ke ujung
End-to-end Encryption (E2EE) adalah protokol komunikasi aman yang sepenuhnya pribadi, tanpa akses dari pihak lain selain mereka yang berpartisipasi dalam perpesanan.
Secara umum ini adalah ide yang bagus. Tetapi ada juga beberapa yang mengemukakan kekhawatiran yang sah tentang menambahkan E2EE ke perpesanan yang mungkin tidak terikat ke telepon dengan cara yang sama seperti WhatsApp dan Telegram.
Jane Manchun Wong Menemukan Bukti
Jane Manchun Wong adalah ahli rekayasa balik terkenal yang telah diwawancarai dan diprofilkan di situs-situs seperti BBC News dan MIT Technology Review.
Menurut profil BBC tentang dirinya:
“Dia menemukan bahwa Airbnb sedang menguji fitur integrasi penerbangan baru yang memberi tahu tuan rumah di situs web ketika pesawat tamu mereka mendarat dengan selamat.
Dan dia membunyikan klakson ketika Instagram mulai bereksperimen dengan gambar profil augmented reality.”
Review Teknologi MIT menulis ini tentang dia:
“Wong, 27, memiliki kemampuan supranatural untuk memecahkan kode yang sulit—bersama dengan pengikut Twitter yang cukup besar yang mencakup beberapa nama besar dalam bidang teknologi dan jurnalisme.
Saat dia masuk ke bagian belakang kode situs web untuk melihat apa yang sedang dikerjakan oleh para insinyur perangkat lunak, mereka menunggu penemuannya dengan penuh minat. “
Menjelajahi aplikasi Android Twitter, dia baru-baru ini menemukan bahwa fitur E2EE mungkin akan hadir di layanan Direct Messaging (DM) Twitter.
Dia men-tweet dan memposting tangkapan layar bukti:
“Twitter menghadirkan kembali DM terenkripsi end-to-end
Melihat tanda-tanda fitur sedang dikerjakan di Twitter untuk Android:”
Twitter menghadirkan kembali DM terenkripsi end-to-end
Melihat tanda-tanda fitur sedang dikerjakan di Twitter untuk Android: https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK
— Jane Manchun Wong (@wongmjane) 16 November 2022
Jane juga memposting sedikit bukti lain:
Prototipe awal layar "Kunci enkripsi" DM terenkripsi end-to-end Twitter yang akan datang: https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j
— Jane Manchun Wong (@wongmjane) 16 November 2022
Jane Meminta Enkripsi Ujung ke Ujung
Kembali pada 9 November 2022, dia menanggapi tweet dari Elon Musk yang meminta saran untuk Twitter.
Dia men-tweet:
“Bangkit kembali DM terenkripsi ujung ke ujung!”
Hidupkan kembali DM terenkripsi ujung ke ujung! https://t.co/pBEQro3E4e
— Jane Manchun Wong (@wongmjane) 9 November 2022
Apakah Twitter DM End to End Encryption adalah Ide yang Bagus?
Lea Kissner, mantan Kepala Keamanan Informasi Twitter membagikan pengamatannya tentang kemungkinan jebakan.
Dia men-tweet:
“Untuk konteks: Saya memiliki gelar PhD dalam bidang kriptografi, tesis saya tentang protokol kriptografi yang menjaga privasi, dan saya diketahui publik telah bekerja pada beberapa sistem E2EE baru (dari Zoom dan Google).
Jadi: 1) YMMV karena setiap sistem sedikit berbeda 2) ini bukan rodeo pertama saya”
Di antara kekhawatirannya adalah kemungkinan pelecehan.
Dia menjelaskan dalam tweet lanjutan:
“Perhatikan bahwa hanya dengan melihat WhatsApp atau Signal tidak memberi Anda pemahaman yang cukup tentang seperti apa penyalahgunaan itu di jaringan berbasis non-nomor telepon. Mereka memiliki waktu * jauh * lebih mudah dan itu masih belum terpecahkan.
Dia juga mencatat kerumitan yang terlibat saat meluncurkannya ke beberapa perangkat:
“5. Beberapa perangkat. Semua ini menjadi lebih menjengkelkan (meskipun masih dapat dilacak) ketika pengguna memiliki lebih dari satu perangkat, * terutama * jika Anda tidak ingin server dapat menambahkan perangkat secara sembarangan (karena itu membahayakan keamanan).
Tetapi pada akhirnya dia menegaskan bahwa Enkripsi end-to-end dapat dilakukan untuk Twitter.
Saya yakin saya melupakan sesuatu dan semua ini bisa dilakukan, tetapi perhatikan:
1) seperti semua sistem kriptografi E2EE halus dan cepat marah dan harus dilakukan dengan hati-hati
2) perhatikan bahwa tidak ada dalam daftar ini saya menyertakan bagian sebenarnya yang melakukan hal-hal enkripsi/dekripsi– Lea Kissner (@LeaKissner) 16 November 2022
Blokir Konten Ilegal di Korea Selatan
Fitur ketiga yang ditemukan Jane sebenarnya bagus karena berfungsi untuk mengalahkan cyberstalking dan publikasi video ilegal yang diunggah oleh cyberstalker dan creep.
Dia men-tweet:
“Twitter sedang mengerjakan peringatan media untuk pengguna di Korea Selatan
“Jika Anda mengunggah Konten yang Difilmkan Secara Ilegal, Twitter dapat menghapus atau memblokir akses ke konten tersebut dan pengunggahnya dapat dikenai sanksi.””
Rupanya ini ditujukan untuk masalah video orang yang difilmkan secara ilegal dan cyberstalking.
Twitter sedang mengerjakan peringatan media untuk pengguna di Korea Selatan
“Jika Anda mengunggah Konten yang Difilmkan Secara Ilegal, Twitter dapat menghapus atau memblokir akses ke konten tersebut dan pengunggahnya dapat dikenai sanksi.” pic.twitter.com/GUW1XGIaPY
— Jane Manchun Wong (@wongmjane) 16 November 2022
Ini sebenarnya adalah fitur yang sangat berguna yang diharapkan akan membantu memerangi video spycam dan media serupa yang diambil tanpa sepengetahuan atau persetujuan seseorang.
Akankah Fitur Sebenarnya Diluncurkan?
Sepertinya tim Twitter mungkin secara aktif mengerjakan fitur-fitur bermanfaat ini. Akan menarik untuk melihat seberapa cepat mereka dapat meluncurkannya dengan pengurangan tenaga kerja.
Gambar unggulan oleh Shutterstock/RealPeopleStudio