Lanskap keamanan aplikasi obrolan (messenger/chat) terus berkembang. Perlombaan antara peningkatan keamanan dan ragam ancaman kian kencang. Tidak ada satu aplikasi pun yang menawarkan keamanan absolut; maka penting mengenali kelemahan dan kekuatan aplikasi yang tersedia.

Indonesia mencatat adanya peningkatan kasus peretasan terhadap aktivis sejak 2020. Lembaga Studi dan Advokasi Masyarakat (Elsam) menyatakan pada 2018 ada 18 kasus, pada 2019 ada 32 kasus, sementara hingga Juni 2020, sudah ada sembilan kasus peretasan, baik aplikasi pesan maupun media sosial.

Dalam lima tahun terakhir, SAFENet mencatat trennya meningkat dan memuncak pada 2022. Sepanjang 2024, serangan digital mencapai 330 insiden Aplikasi pesan semakin menjadi sasaran. Platform populer seperti Instagram, WhatsApp, dan situs web menjadi target utama serangan.

Salah satu kecurigaan menyasar nomor telepon yang melekat pada akun di aplikasi. Nomor hape sering dijadikan syarat pendaftaran akun, sementara nomor tersebut terkategori PII (Personally Identifiable Information) atau Informasi Identitas Pribadi. Lantaran registrasi nomor telepon mewajibkan penggunaan NIK, ia jadi celah untuk mengakses data pribadi.

Kita harus menengok pula sistem keamanan pada aplikasi, khususnya aplikasi pesan. Temuan pada periode 2023 hingga 2025, masih banyak isu keamanan yang mencemaskan. Misal terkait Enkripsi Ujung-ke-Ujung ( End-to-end Encryption-E2EE) yang konon menjadi standar, nyatanya tak menjamin keamanan isi percakapan.

Celah lain mengancam, seperti penanganan metadata, pengaturan keamanan bawaan, kerentanan terhadap ancaman peretasan tercanggih, dan kerentanan infrastruktur yang mendasarinya. Dan, celah yang paling sulit ditangani: ancaman rekayasa sosial yang menyasar pengguna.

WhatsApp, meskipun E2EE-nya kuat, punya risiko metadata dan cadangan data di komputasi awan (cloud), serta masih jadi sasaran empuk spyware. Instagram DM, populer karena besarnya populasi pengguna Instagram, sedang memproses E2EE, tapi seperti Messenger dibayangi kebijakan Meta.

Obrolan “cloud” Telegram yang tidak menggunakan E2EE bawaan, dan dugaan hubungan antara penyedia infrastruktur dengan layanan intelijen Rusia, menimbulkan risiko tinggi akses ilegal terhadap metadata. Signal mempertahankan reputasinya sebagai tolok ukur privasi, meskipun peringatan terbaru menyoroti kerentanan dari phishing.

Aplikasi yang lebih baru seperti Session, Threema, Briar, dan Element menawarkan anonimitas dan desentralisasi, melayani pengguna yang berisiko tinggi terhadap ancaman. Namun, beberapa aplikasi yang disebut terakhir kurang populer dibandingkan yang lain.

Bagaimana dengan DM di X/Twitter? Saat ini DM di X terkategori tidak aman. Fitur DM terenkripsi yang diluncurkan pada 2023 telah dihentikan sementara pada Mei 2025. Pengguna masih bisa melihat obrolan lama yang terenkripsi, tetapi tidak bisa memulai atau mengirim yang baru.

Pun saat ini enkripsi hanya bagi pengguna terverifikasi, tidak mencakup obrolan grup, konten multimedia, atau metadata pesan. Para ahli keamanan mencatat implementasi sebelumnya tidak melindungi dari serangan “man-in-the-middle“. Maka, lupakan saja DM di X sebagai alternatif.  

Starting today we will be pausing the encrypted DMs feature while we work on making some improvements. You will still be able to access your encrypted DMs, but won't be able to send new ones.

— Engineering (@XEng) May 28, 2025

Mendefinsikan “aplikasi yang aman”

Sebelum sampai ke sana, kita perlu tegaskan apa yang disebut dengan aman. Keamanan, setidaknya dilihat dari tiga konsep kunci berikut ini: (1) Enkripsi Ujung-ke-Ujung (E2EE); (2) Pengelolaan Metadata; dan (3) Kerentanan. Sulit mencari yang paling sempurna, masing-masing aplikasi bisa memiliki kekuatan di satu aspek, tapi memiliki kelemahan pada aspek yang lain.

E2EE atau Enkripsi Ujung-ke-Ujung adalah metode komunikasi yang memastikan bahwa hanya pengirim dan penerima yang dituju yang dapat membaca pesan. Ini berarti pihak ketiga mana pun, termasuk penyedia layanan aplikasi pesan itu sendiri, tidak dapat mengakses konten pesan saat dikirim. Pesan dienkripsi pada perangkat pengirim dan hanya dapat didekripsi pada perangkat penerima.

Berbeda dengan konten pesan, metadata seringkali tidak dilindungi oleh E2EE. Metadata mencakup informasi tentang siapa yang berkomunikasi dengan siapa, kapan komunikasi terjadi, berapa lama, dan dari lokasi mana. Meskipun konten pesan mungkin aman, pola komunikasi yang terungkap melalui metadata dapat mengungkapkan informasi sensitif, bahkan jika isi pesannya tetap rahasia.

Kerentanan Lainnya dalam aplikasi pesan dapat mencakup berbagai vektor serangan. Ini bisa berupa kompromi perangkat (misalnya, melalui malware atau spyware yang menginfeksi ponsel pengguna), rekayasa sosial (phishing atau penipuan agar mengungkapkan informasi sensitif), atau kelemahan pada tingkat protokol yang mendasari enkripsi atau transmisi data.

Kita akan melihat bagaimana aplikasi pesan populer macam WhatsApp, Telegram, atau Signal dan beberapa aplikasi lain menurut ketiga konsep di atas—kecuali aspek kerentanan yang akan ditunjukkan lewat catatan insiden, riwayat audit, dan riwayat kepemilikan. Proses pencarian datanya dilakukan Google Gemini, menyasar temuan pada periode 2023-2025.

Implementasi E2EE

• Signal, WhatsApp, Threema, Session, Element, Messenger: Semua mengklaim menggunakan E2EE untuk konten pesan, yang berarti isi komunikasi terlindung dari akses pihak ketiga.
• Telegram: E2EE bukanlah pengaturan bawaan; pengguna harus secara eksplisit mengaktifkan “Obrolan Rahasia” untuk mendapatkan perlindungan ini. Sebagian besar pengguna mengandalkan obrolan “cloud” yang tidak terenkripsi secara bawaan.  
• Instagram DM: E2EE belum diterapkan secara default, sedang diluncurkan secara bertahap dan setiap percakapan perlu aktivasi manual. Beberapa obrolan E2EE lama bahkan mungkin tidak tersedia setelah Juni 2025.  

Penanganan Metadata

• Signal, WhatsApp, Instagram DM, Messenger: Mengumpulkan metadata signifikan (siapa, kapan, berapa lama), bahkan ketika konten pesan dienkripsi. Cadangan cloud WhatsApp jadi celah kerentanan jika tidak mengaktifkan enkripsi.  
• Telegram: Protokol MTProto-nya mengekspos “auth_key_id” yang dapat digunakan untuk pelacakan, dan obrolan cloud bawaannya tidak didukung E2EE, sehingga metadata dan kontennya berpotensi terekspos.  
• Session, Threema, Briar, Element: Dirancang untuk meminimalkan pengumpulan metadata. Session menonjol karena tidak memerlukan nomor telepon/email dan menggunakan onion routing untuk anonimitas. Threema bahkan mengenkripsi metadata grup.  

Riwayat Audit dan Transparansi

• Signal: Protokolnya telah diaudit dengan baik, tetapi ada kekhawatiran tentang kurangnya audit publik terbaru untuk aplikasi secara keseluruhan.  
• WhatsApp, Instagram DM, Messenger (Meta): Tunduk pada laporan transparansi regulasi (misalnya, DSA Uni Eropa), tetapi kedalaman audit keamanannya mungkin lebih berfokus pada kepatuhan daripada analisis arsitektur mendalam.  
• Threema, Session, Briar: Telah menjalani audit terbaru yang terperinci dan dipublikasikan secara terbuka (Cure53, Quarkslab, Radically Open Security), yang meningkatkan transparansi.  
• Telegram: Tidak ada audit keamanan independen publik terbaru yang disebutkan dalam materi penelitian.

Catatan Insiden (2023-2025)

• WhatsApp: Mengalami serangan spyware canggih yang persisten (Pegasus, Graphite) dan kerentanan RCE baru-baru ini (CVE-2025-30401, eksploitasi video Check Point).  
• Telegram: Memiliki dugaan hubungan infrastruktur dengan intelijen Rusia (FSB) dan potensi serangan “man-in-the-middle” karena paparan metadata.  
• Messenger: Memiliki catatan kerentanan yang rendah pada 2023-2025, tetapi ada insiden penyerahan data sebelum E2EE bawaan.
• Signal: Peringatan Pentagon menyoroti kerentanan phishing yang berpusat pada pengguna, bukan cacat protokol.  
• Briar: Risiko sedang/rendah diidentifikasi dalam audit terbaru.  
• Session: Audit mengkonfirmasi keamanan tetapi mencatat beberapa penyimpangan protokol.  

Kepemilikan dan Yurisdiksi

• WhatsApp, Instagram DM, Messenger: Dimiliki oleh Meta (berbasis di AS), tunduk pada hukum AS dan regulasi Uni Eropa.
• Telegram: Dimiliki secara pribadi, dengan dugaan hubungan infrastruktur ke Rusia, dan pendirinya ditangkap di Prancis.  
• Signal: Organisasi nirlaba (berbasis di AS), dengan dukungan privasi yang kuat.
• Threema: Berbasis di Swiss, dengan undang-undang perlindungan data yang kuat, tidak tunduk pada CLOUD Act.  
• Session: Pindah ke Swiss pada 2024, dengan jaringan terdesentralisasi.  
• Briar, Element: Model open-source dan terdesentralisasi menawarkan lebih banyak kontrol atas kedaulatan data.

Meskipun tidak ditemukan insiden peretasan atau eksploitasi kerentanan teknis pada Instagram DM pada periode penelusuran, kekhawatiran keamanannya berkaitan dengan desain privasi bawaan (terutama metadata dan E2EE yang tidak otomatis) serta praktik pengumpulan data Meta yang lebih luas. Perbandingan versi interaktif tersedia di halaman berikut:

Perbandingan Fitur Keamanan Aplikasi Pesan

Aplikasi mana yang paling aman

Menjawab pertanyaan “aplikasi mana yang paling aman”, perlu mempertimbangkan karakteristik pengguna. Lanskap keamanan sangat kompleks dan terus berkembang, sehingga pengguna harus mengadopsi praktik terbaik dan memilih berdasarkan model ancaman yang dihadapi.

1. Pengguna Umum. Untuk pengguna yang mencari keseimbangan antara keamanan yang wajar dan kemudahan penggunaan, serta adopsi yang luas.

• Signal: Pilihan terbaik untuk pengguna umum yang ingin privasi kuat tanpa terlalu banyak kerumitan. E2EE bawaan dan minimisasi metadata menjadikannya jauh lebih baik daripada alternatif populer lainnya.  
• WhatsApp: Pilihan paling umum digunakan, tetapi pengguna harus secara mandiri mengaktifkan enkripsi cadangan cloud dan sangat waspada terhadap penipuan dan spyware.  
• Messenger: Dengan E2EE bawaan yang baru diluncurkan, menjadi pilihan lebih baik untuk privasi konten dibandingkan sebelumnya, tetapi pengumpulan metadata yang ekstensif jadi perhatian.  
• Instagram DM: Jika E2EE diaktifkan secara manual, ini menawarkan perlindungan konten dasar, tetapi pengumpulan metadata yang ekstensif dan integrasi dengan ekosistem Meta yang berfokus pada data menjadikannya pilihan yang kurang ideal untuk privasi.  

2. Peduli Privasi. Untuk pengguna yang memprioritaskan perlindungan data yang komprehensif, termasuk metadata, dan mencari transparansi serta yurisdiksi yang menguntungkan.

• Threema: Pilihan utama karena E2EE menyeluruh (termasuk metadata grup), audit independen teratur, dan perlindungan hukum yang kuat di Swiss.  
• Session: Ideal untuk privasi metadata ekstrem dan anonimitas, karena tidak memerlukan informasi pribadi dan menggunakan jaringan terdesentralisasi.  
• Element (Matrix): Menawarkan desentralisasi dan E2EE yang kuat, dengan kemampuan self-hosting server untuk kontrol data maksimal. Fleksibilitas ini menarik bagi yang ingin mengelola privasi mereka sendiri.  

3. Jurnalis/Aktivis. Untuk individu yang menghadapi ancaman pengawasan, sensor, atau berkomunikasi di lingkungan dengan pembatasan akses.

• Briar: Dirancang khusus untuk ketahanan di lingkungan yang disensor atau tanpa internet, menjadikannya alat yang sangat berharga untuk komunikasi berisiko tinggi.  
• Session: Anonimitas ekstrem dan minimisasi metadata menjadikannya pilihan yang sangat baik untuk whistleblower atau komunikasi yang sangat sensitif di mana identitas adalah kekhawatiran utama.  
• Signal: Meskipun memerlukan nomor telepon, E2EE yang kuat dan reputasinya yang solid menjadikannya alat yang direkomendasikan oleh badan keamanan untuk komunikasi rahasia.  

4. Pencari Anonimitas. Untuk pengguna yang prioritas utamanya adalah menyembunyikan identitas mereka dan meminimalkan jejak digital mereka.

• Session: Pilihan terbaik untuk anonimitas karena tidak memerlukan nomor telepon atau email, dan menggunakan onion routing untuk menyembunyikan alamat IP.  
• Briar: Desain peer-to-peer dan kemampuan untuk berfungsi tanpa server pusat meminimalkan jejak metadata dan meningkatkan anonimitas, terutama di lingkungan yang terputus.  
• Threema: Dapat digunakan secara anonim tanpa menautkan nomor telepon atau email, dan E2EE komprehensifnya mencakup metadata, yang penting untuk anonimitas.  

Catatan tambahan: Tidak semua aplikasi yang disebutkan di atas dapat digunakan secara gratis. Hingga artikel ini ditulis, aplikasi macam Threema dan Element adalah aplikasi berbayar, meskipun Element memiliki versi gratis. Sisanya, sejauh ini terpantau masih gratis.

Keamanan di ranah digital memerlukan kombinasi implementasi teknis yang kuat, praktik transparan dari penyedia layanan, dan perilaku pengguna yang terinformasi. Pengguna harus melampaui gagasan sederhana tentang “terenkripsi” dan memahami nuansa metadata, pengaturan bawaan, dan elemen manusia dalam keamanan.

Meskipun regulasi (misalnya UU ITE dan UU PDP) merupakan aspek pelindung, pengguna harus tetap menjadi konsumen kritis terhadap klaim keamanan dan secara aktif mengelola privasi digital mereka. Pada akhirnya, keamanan komunikasi di ranah digital adalah tanggung jawab bersama antara pengembang aplikasi, regulator, dan penggunanya.

^{Photo by MD Duran on Unsplash}