Serangan zero-click telah berkembang dari yang awalnya hanya menargetkan tokoh penting menjadi ancaman bagi siapa pun yang memiliki perangkat pintar
Chris Summers
Pada tahun 2025, kebanyakan orang tidak bisa lepas dari laptop dan ponsel pintar mereka. Seiring dengan kedekatan itu, muncul pula kewaspadaan terhadap bahaya mengklik email, SMS, atau pesan WhatsApp yang tidak diminta.
Namun, kini muncul ancaman baru yang kian berkembang yang disebut serangan zero-click, yang sebelumnya hanya menargetkan kalangan VIP atau orang-orang sangat kaya karena biaya dan kompleksitasnya yang tinggi.
Serangan zero-click adalah serangan siber yang dapat meretas perangkat tanpa perlu pengguna mengklik apa pun. Serangan ini bisa terjadi hanya dengan menerima pesan, panggilan, atau file. Penyerang memanfaatkan celah tersembunyi dalam aplikasi atau sistem untuk mengambil alih kendali perangkat, tanpa memerlukan tindakan apa pun dari pengguna—dan pengguna pun tetap tidak menyadari adanya serangan tersebut.
“Meskipun kesadaran publik baru-baru ini meningkat, serangan semacam ini sebenarnya telah berkembang selama bertahun-tahun dan semakin sering terjadi seiring dengan menjamurnya ponsel pintar dan perangkat terkoneksi lainnya,” kata Nathan House, CEO dari StationX, sebuah platform pelatihan keamanan siber berbasis di Inggris, kepada The Epoch Times.
“Kerentanan utama ada pada perangkat lunaknya, bukan pada jenis perangkatnya. Artinya, perangkat apa pun yang terhubung dan memiliki kelemahan yang dapat dieksploitasi, bisa saja menjadi target,” tambahnya.
Aras Nazarovas, peneliti keamanan informasi dari Cybernews, menjelaskan kepada The Epoch Times mengapa serangan zero-click biasanya menargetkan kalangan VIP, bukan individu biasa.
“Karena menemukan celah zero-click sangat sulit dan mahal, biasanya eksploitasi semacam ini digunakan untuk mendapatkan akses terhadap informasi dari tokoh-tokoh penting, seperti politisi atau jurnalis di rezim otoriter,” ujarnya.
“Mereka sering digunakan dalam kampanye yang terarah. Penggunaan eksploit semacam ini untuk mencuri uang sangat jarang.”
Pada Juni 2024, BBC melaporkan bahwa platform media sosial TikTok mengakui bahwa sejumlah akun dalam jumlah “sangat terbatas,” termasuk milik outlet berita CNN, telah disusupi.
Meskipun ByteDance, pemilik TikTok, tidak mengonfirmasi bentuk peretasan tersebut, perusahaan keamanan siber seperti Kaspersky dan Assured Intelligence menyebutkan bahwa hal itu kemungkinan berasal dari eksploitasi zero-click.
“Bagian yang memerlukan kecanggihan tinggi adalah dalam menemukan bug yang memungkinkan serangan seperti itu dan menulis eksploitasi untuk bug tersebut,” kata Nazarovas.
“Pasar eksploitasi semacam ini telah bernilai miliaran dolar selama bertahun-tahun. Beberapa broker eksploitasi di pasar gelap atau abu-abu bahkan menawarkan $500.000 hingga $1 juta untuk rantai eksploitasi semacam ini pada perangkat dan aplikasi populer.”
Nazarovas menambahkan bahwa meskipun pengguna biasa pernah menjadi korban serangan zero-click tipe ‘drive-by’—serangan yang muncul setelah pemasangan perangkat lunak berbahaya secara tidak sengaja—serangan semacam itu kini semakin jarang karena meningkatnya pasar abu-abu untuk eksploitasi jenis ini.
House menjelaskan bahwa eksploitasi zero-click umumnya mencari kelemahan pada perangkat lunak dan aplikasi yang mahal untuk ditemukan, sehingga pelakunya biasanya adalah “aktor negara atau kelompok yang memiliki pendanaan besar.”
Pasar Spyware yang Berkembang
Meski saat ini ada inovasi AI yang membuat kejahatan siber tertentu seperti kloning suara atau vishing menjadi lebih umum, Nazarovas menyebut belum ada bukti bahwa hal ini meningkatkan risiko dari serangan zero-click.
House menambahkan bahwa AI dapat digunakan untuk “menulis rantai eksploitasi zero-click oleh orang-orang yang sebelumnya tidak memiliki waktu, pengalaman, atau pengetahuan untuk menemukan dan menulis eksploitasi seperti itu.”
Namun, katanya, peningkatan serangan zero-click dalam beberapa tahun terakhir “lebih disebabkan oleh berkembangnya pasar spyware dan makin tersedianya eksploitasi canggih, bukan karena teknik berbasis AI secara langsung.”
Ia mengatakan bahwa serangan zero-click sudah ada selama lebih dari satu dekade, dengan kasus paling terkenal adalah skandal spyware Pegasus.
Pada Juli 2021, The Guardian dan 16 media lainnya menerbitkan serangkaian laporan yang menuduh bahwa pemerintah-pemerintah asing menggunakan perangkat lunak Pegasus buatan perusahaan Israel, NSO Group, untuk memata-matai setidaknya 180 jurnalis dan sejumlah target lainnya di seluruh dunia.
Target Pegasus yang diduga termasuk Presiden Prancis Emmanuel Macron, pemimpin oposisi India Rahul Gandhi, dan penulis Washington Post Jamal Khashoggi, yang dibunuh di Istanbul pada 2 Oktober 2018.
Dalam sebuah pernyataan saat itu, NSO Group mengatakan, “Seperti yang telah NSO nyatakan sebelumnya, teknologi kami tidak terkait dalam bentuk apa pun dengan pembunuhan mengerikan terhadap Jamal Khashoggi.”
Pada 6 Mei, juri di California memberikan ganti rugi sebesar $444.719 dan hukuman denda sebesar $167,3 juta kepada perusahaan induk WhatsApp, Meta, dalam gugatan privasi terhadap NSO Group.
Keluhan WhatsApp tersebut berfokus pada spyware Pegasus, yang menurut gugatan itu dikembangkan “untuk diinstal secara jarak jauh dan memungkinkan akses serta kontrol jarak jauh atas informasi—termasuk panggilan, pesan, dan lokasi—di perangkat seluler yang menggunakan sistem operasi Android, iOS, dan BlackBerry.”
‘Target Ikutan’
“Meski pengguna biasa kadang menjadi target sampingan, para penyerang umumnya menyimpan eksploitasi mahal ini untuk individu yang informasinya sangat berharga atau sensitif,” kata Nazarovas.
Menurutnya, perusahaan-perusahaan besar menawarkan ‘bug bounty’ kepada peretas, yaitu imbalan untuk mendorong mereka menemukan celah dan melaporkannya ke perusahaan, alih-alih menjualnya kepada broker yang kemudian menjualnya secara ilegal ke pihak-pihak tak bertanggung jawab.
House menyebut bahwa bertahan dari serangan zero-click “sulit,” tetapi beberapa langkah dasar keamanan siber bisa mengurangi risikonya.
“Pengguna sebaiknya selalu memperbarui perangkat lunak dan sistem operasi, rutin me-reboot perangkat mereka, dan menggunakan mode keamanan tingkat lanjut seperti lockdown mode milik Apple—terutama jika mereka merasa termasuk target berisiko tinggi,” ujarnya.
House menegaskan bahwa apa pun tindakan pencegahan yang diambil, penting untuk menyadari bahwa “serangan yang sangat canggih—seperti dari aktor negara maju—dapat menembus bahkan pertahanan yang paling kuat sekalipun.”
Nazarovas mengatakan bahwa banyak perusahaan teknologi besar seperti Apple, Google, dan Microsoft mengumpulkan data telemetri secara luas dari miliaran perangkat dan menggunakan data tersebut untuk mendeteksi eksploitasi zero-click dan serangan canggih lainnya.
Data telemetri adalah informasi yang dikumpulkan secara jarak jauh dari perangkat seperti ponsel dan komputer. Data ini—terutama yang berkaitan dengan penggunaan aplikasi dan perilaku pengguna—dikirim kembali ke sistem pusat untuk membantu meningkatkan performa, memperbaiki masalah, atau melacak aktivitas.
“Ketika celah yang memungkinkan serangan semacam itu terdeteksi, celah itu bisa segera diperbaiki dan pembaruannya bisa langsung disalurkan ke miliaran pengguna berkat fitur pembaruan otomatis,” ujar Nazarovas.
