LINE Mobile

Dulu waktu masih di Bandung, kami sering sekali membeli simcard dari berbagai provider cellular untuk mendapatkan tarif termurah, baik itu tarif bicara ataupun tarif paket data. Sesampainya di sini, kami berhenti bereksperimen karena awal di sini internet di rumah dan di kantor sangat cepat (terasa beda banget dengan internet selama di Indonesia).

Kadang-kadang kami beli beberapa simcard kalau ada keluarga yang datang ke sini untuk dipakai sementara, lalu pernah juga dapat gratis di airport, tapi karena ga terlalu butuh bisa dibilang hobi ganti-ganti simcard gak diterusin di sini. Baru beberapa tahun belakangan kami beli paket data di handphone karena kami sering keluar untuk antar kegiatan Jonathan di akhir pekan.

Awalnya kami berlangganan paket data bulanan dari provider simcard kami saja, 1 bulan 1.5 GB lumayan cepat dan kalau lewat dari situ kecepatan menurun (jadi 64kbps) tapi sudah ga ada biaya tambahan. Kami jarang teleponan kecuali untuk urusan yang sangat mendesak, jadi sebulan kami cukup isi pulsa 300 baht (yang mana 220 baht dipakai untuk paket data). Kami memakai nomor yang sama sejak sampai di sini, dan di awal kami isi pulsa sekedar untuk memperpanjang masa tenggang saja. Kami sengaja memakai pra bayar, karena lebih mudah membeli prabayar buat orang asing dan ya kami ga butuh paket-paket yang ada dan akhirnya biayanya lebih murah dengan prabayar.

Bulan ini ada kuota ekstra karena membayar memakai Rabbit Line Pay

Belakangan ini, karena Jonathan makin banyak kegiatan di luar, 1.5 GB sebulan tidak cukup lagi, apalagi terkadang saya lupa untuk terhubung ke wifi ketika sampai di rumah. Joe juga pernah lupa mematikan koneksi yang dia share ke laptopnya, dan laptopnya update windows secara otomatis. Kebayang paket data 1.5 GB pastilah kurang.

Meneruskan dengan internet gratis yang low speed terasa menyiksa karena terbiasa cepat, jadi kadang-kadang akhirnya kami harus top up lagi dan lama-lama terasa mahal buat bayar internetnya (padahal dulu di Indonesia kami pernah langganan Matrix dan rata-rata pembayaran bisa di atas 300 ribu untuk data dan internet).

Beberapa bulan lalu, Joe menemukan promosi Line Mobile. Dengan 170 baht sebulan kami mendapatkan 5GB data dan 150 menit bicara. LINE mobile ini sebenarnya masih agak dipermasalahkan legalitasnya karena ijin MVNO (mobile virtual network operator) belum bisa di Thailand. Tapi akhirnya mereka pake sistem kerjasama dengan operator lokal.

Dulu saya agak enggan menambah nomor. Untuk ganti nomor saya jelas ga bisa karena banyak urusan sudah memakai nomor yang ada, nah untuk menambah nomor saya enggan membawa ekstra gadget. Pernah saya coba membawa hp dan tablet, prakteknya akhirnya tabletnya lebih sering saya tinggal. Tapi kali ini saya baru ganti handphone yang punya double simcard slot.

Jadilah saya membeli LINE Mobile dengan harapan 5GB akan jauh lebih dari cukup dibandingkan 1.5GB yang saat itu selalu terasa kurang. Pembelian LINE Mobile ini dilakukan sepenuhnya dari internet, bayar dengan kartu kredit Joe, dan kartu dikirim oleh kurir ke rumah. Belum sebulan saya memakai LINE Mobile, Joe ikutan beli juga, karena dia juga pengen punya paket data 5 GB. Oh ya, dia beli karena juga ada promosi untuk referal ke teman akan ada potongan 10 baht per bulannya baik untuk saya dan Joe. Baru-baru ini ada promosi pembayaran dengan Rabbit Line Pay (ini metode pembayaran Line yang kayanya baru ada di Thailand), dapat tambahan data 2GB dan diskon 10 persen dari billingnya.

Paket data yang disediakan LINE Mobile ini ada beberapa ukuran, tapi yang paling ekonomis buat kami saat ini ya yang 5GB ini. Sekarang dengan 170 baht sebulan saya bisa dapat minimum 5GB data dan 150 menit untuk telepon (yang sering tidak dipakai karena sekarang ini telepon selalu menggunakan voip). Nomor saya yang lama tetap saya gunakan dan untungnya sekarang ini sudah bisa membeli masa aktif, jadi saya tidak perlu isi ulang banyak setiap bulannya.

LINE Mobile ini menggunakan provider yang sama dengan DTAC, coveragenya akan sama dengan coverage DTAC . Selama menggunakan LINE Mobile saya belum pernah keluar Thailand, ada menu roaming internasional di aplikasinya tapi belum pernah dicoba.

Di Thailand sini, hampir semua orang menggunakan LINE, hampir semua toko memberikan diskon khusus kalau kita menambahkan mereka sebagai teman. Dan saya juga baru tahu kalau ada aplikasi LINE TV segala (gratis tidak dihitung data kalau memakai LINE mobile). Simcard LINE Mobile ini dilengkapi dengan aplikasi untuk mengetahui berapa tagihan kita, berapa sisa data dan berapa menit yang sudah terpakai. Selain itu kita juga bisa mengontrol untuk membatasi pemakaian kalau sudah kelebihan dari kuota yang diberikan berapa baht yang kita bersedia habiskan.

Terakhir pulang ke Indonesia, saya ingat XL juga sudah menggunakan aplikasi untuk memberikan informasi mengenai simcard kita, tapi kadang-kadang datanya tidak langsung update. Saya tidak tahu sekarang ini, tapi fitur seperti ini sangat membantu untuk mengetahui pemakaian kita.

Kecepatan speedtest memakai server di Jakarta dari Chiang Mai

LINE Mobile ini pasca bayar, saya tidak tahu kalau datang untuk sebagai turis apakah bisa memesannya, tapi kalau berencana tinggal beberapa bulan di Thailand sepertinya memakai LINE Mobile bisa dicoba, karena pemesanan dari Internet untuk orang asing cukup menyertakan foto dari passport kita saja lalu kita kirimkan alamat ke mana simcard akan dikirimkan. Pembayaran tagihan juga dilakukan langsung dari aplikasi LINE Mobilenya, bisa menggunakan internet banking, kartu debit, kartu kredit atau Rabbit Line Pay.

Kalau dilihat dari websitenya ada banyak promosi setiap bulannya berganti-ganti. Secara umum, untuk kebutuhan kami saat ini kami cukup dengan 5GB sebulan. Mudah-mudahan di Indonesia ada paket sejenis LINE Mobile ini, jadi kalau mudik ga jadi fakir bandwith seperti yang terjadi setiap pulang.

Reverse Engineering APK

Saya sudah menulis beberapa artikel terpisah mengenai reverse engineering APK Android (misalnya di http://yohan.es/security/android/) . Di posting ini saya ingin menggabungkan berbagai tulisan yang pernah saya buat dalam satu posting, supaya lebih gampang dibaca. Topik yang lebih umum mengenai Pengantar Reverse Engineering sudah pernah saya bahas di blog ini (tidak spesifik Android).

 

Tujuan Reversing

Pertama, tentukan tujuannya apa ingin bisa reversing APK. Ini bisa digolongkan jadi dua bagian: apakah ingin mengetahui cara kerjanya? (sekedar membaca kode) atau ingin mengubah aplikasinya? (memodifikasi kode) Yang termasuk dalam kategori pertama: apakah ingin ekstrak API-nya, ingin membaca file yang dibuat oleh aplikasi, ingin tahu protokol aplikasi. Lanjutkan membaca “Reverse Engineering APK”

Ponsel Anda disadap? (bagian 2)

Setelah Anda membaca bagian pertama posting ini, pertanyaan yang kemungkinan muncul adalah: jadi bagaimana saya tahu kalau ponsel saya sudah terinstall program untuk menyadap? Jawaban sederhananya: jika yang menyadap level biasa, maka penyadapan akan sangat mudah dideteksi. Jika yang menyadap level negara, akan sangat sulit dideteksi.

Sebelum mengecek Ponsel

Sebelum mencurigai ponsel Anda, cek dulu semua account online Anda. Cek sejarah login Anda untuk melihat ada yang mencurigakan atau tidak.  Seperti telah dibahas sebelumnya: cara seseorang bisa masuk ke HP Anda ada banyak, jadi meskipun Anda bisa membersihkan HP, kalau cara masuknya masih terbuka ya masih bisa kena lagi.

Cek juga desktop/laptop Anda. Tidak ada satu resep khusus untuk melakukan ini, jika ragu: backup data, lalu reinstall semuanya, dan update semua software yang Anda pakai ke versi terbaru. Hati-hati dengan software bajakan, meski pembajak awal mungkin jujur dan tidak memberikan backdoor, orang lain mungkin menambahkan backdoor.

Cek juga apakah kecurigaan Anda bisa dijelaskan dari sudut pandang lain. Misalnya apakah informasi yang bocor hanya yang diterima orang tertentu saja. Mungkin orang tersebut dihack, mungkin pula dia yang membocorkan informasinya.

Pemeriksaan Ponsel

Ada beberapa titik di HP yang bisa diperiksa. Pertama coba perhatikan semua notifikasi yang muncul. Lihatlah jika ada yang tidak wajar atau mencurigakan. Dalam kasus di bawah ini saya memang sengaja menginstall certificate supaya bisa melakukan monitoring koneksi jaringan. Informasi mengenai WhatsApp juga wajar karena saya sedang mengakses WhatsApp via web.

Salah satu metode yang dipakai untuk memata-matai adalah dengan tidak menginstall aplikasi baru, tapi mengganti aplikasi Anda dengan versi lain yang sudah dimodifikasi. Versi yang sudah dimodifikasi ini bisa mengirimkan pesan ke orang lain. Ini yang dilakukan dengan software dari Hacking Team yang dijual ke berbagai pemerintah.

Sebagai catatan: beberapa orang memang dengan sengaja memodifikasi WhatsAppnya untuk mengaktifkan fitur tertentu, misalnya agar meskipun kita sudah membaca pesan seseorang, tapi tidak diketahui oleh orang lain sampai kita tekan sebuah tombol (tujuannya supaya tidak dikira malas, bisa beralasan belum baca message).

Aplikasi yang sudah dimodifikasi ini tentunya tidak bisa diupdate dari Google Play, jadi cara pertama adalah: coba install lagi aplikasi Whats App dari Google Play. Jika ada WhatsApp “palsu”, maka akan muncul opsi “Install” (dianggap belum terinstall).

Berikutnya lagi kemungkinan HP Anda sudah diroot. HP yang sudah diroot bisa dimodifikasi sehingga aplikasi tertentu bisa membaca aplikasi lain.  Tergantung versi Android yang Anda pakai (dan dari vendor mana), proses ini bisa memakan waktu beberapa menit saja. Jika Anda adalah orang awam yang merasa tidak pernah me-root HP Anda, maka Anda perlu mengecek apakah HP Anda sudah diroot oleh orang lain. Sebagai catatan tambahan: HP China yang tidak bermerk kadang sudah diroot “dari pabriknya”.

Sebagai catatan tambahan: “membaca aplikasi lain” ini bisa sekedar screen capture saja. Saya pernah membuat aplikasi Blackberry dan aplikasi Dekstop sehingga kita bisa mengendalikan Blackberry dari PC. Prinsip program tersebut hanyalah melakukan screen capture secara kontinyu dan mengirimkan ke PC (via USB/Bluetooth/WIFI), dan tentu saja ini bisa dimodifikasi untuk mengirim ke komputer lain jika dideteksi aplikasi yang aktif adalah aplikasi tertentu. Program serupa bisa dibuat untuk sistem operasi lain, tapi di OS lain  butuh akses root.

Anda bisa memakai aplikasi Root Checker untuk mengecek apakah HP Anda sudah diroot. Alternatif lain adalah menginstall aplikasi bangking seperti Sakuku, tidak perlu sampai mendaftar, ketika dijalankan aplikasi ini langsung mengecek apakah HP Anda diroot atau tidak dan tidak mau jalan jika diroot.

Jika Anda merasa tidak pernah me-root tapi sudah ter-root, maka cara terbaik adalah mereset HP Anda ke factory setting. Lebih bagus lagi kalau diinstall ulang dengan stock firmware dari web produsennya.

Keberadaan root juga bisa disembunyikan dengan aplikasi tertentu atau dengan modul XPosed. Dengan ini hampir semua aplikasi tidak bisa mendeteksi keberadaan root dan keberadaan program penyadap. Saat ini Google memiliki fitur Safety Net untuk bisa mengetahui apakah HP dimodifikasi atau tidak. Salah satu caranya adalah memakai SafetyNet Playground. Sayangnya ini hanya berlaku untuk ponsel bermerk, bukan ponsel murah dari China (akan gagal Safety Net karena dianggap sudah dimodifikasi).

Apakah setelah dicek dengan Safety Net sudah pasti aman? belum tentu juga, dalam bahasa orang awam: di Android versi tertentu ada cara supaya aplikasi bisa mengakses aplikasi lain. Dalam bahasa teknis: mungkin saja sebuah aplikasi melakukan kernel exploit temporer, dan menghapus lagi jejaknya setelah itu. Ada juga software bernama Magisk yang biasanya bisa membypass SafetyNet (tapi biasanya tiap beberapa bulan diupdate oleh Google).

Jika Anda adalah orang security, maka tentunya pernah mendengar mengenai rootkit level kernel di berbagai sistem operasi. Android pada dasarnya memakai kernel Linux, jadi tidak sulit membuat rootkit yang sulit dideteksi.

Selain ponselnya sendiri, pengecekan berikutnya yang bisa dilakukan adalah pengecekan paket jaringan. Cara ini lebih sulit karena mewajibkan kita tahu mengenai koneksi jaringan yang umum dan tidak umum oleh aplikasi. Inipun tidak selalu berhasil, bisa saja program penyadapnya mengirimkan hasil sadapan jam 3 pagi ketika semua orang tertidur.

Penutup

Secara umum cukup sulit bagi orang awam untuk mendeteksi penyadapan di ponselnya. Kemungkinan yang dirasakan adalah efeknya (misalnya akses jaringan jadi lambat, atau secara umum HP menjadi lambat). Pengecekan yang proper hanya bisa dilakukan ahlinya.

JIka Anda cukup mahir, cara termudah yang bisa dilakukan jika mencurigai ada penyadapan adalah: backup semua data, reset/reinstall firmware ponsel, reinstall PC Anda. Ganti semua password Anda.

Dan yang paling penting adalah: Jika Anda tidak ingin ada informasi yang penting tersebar, jangan gunakan ponsel untuk mengkomunikasikan hal tersebut. Jangan simpan foto atau video yang tidak boleh tersebar.

HP Lama untuk IOT

Setelah membaca blognya pak Budi Raharjo yang mempertanyakan apakah HP lama bisa untuk IOT (Internet Of Things), saya ingin berkomentar , tapi karena panjang jadi saya tulis saja jadi posting blog tersendiri.

cimg1988

HP sudah ada cukup lama, saya memakainya sejak 1999, dan sekarang sudah ada banyak generasi HP. Generasi awal biasanya bisa dimanfaatkan sebagai modem SMS, baik menggunakan kabel data serial ataupun FBUS/MBUS. LCD Nokia tertentu (misalnya 5110) bisa dikanibal untuk menjadi display (bahkan sekarang LCD ini masih dijual di Aliexpress dan berbagai situs lain). Generasi berikutnya yang mendukung GPRS bisa dipakai menjadi modem.

Dulu sempat ada usaha juga membuat firmware alternatif untuk Nokia tertentu. Dengan firmware tersebut, teorinya kita bisa menggunakan ponsel sebagai “otak” sebuah benda iOT. Untuk ponsel berbasis TI Calypso (misalnya Motorolla C115/123/140/155, Sony Ericsson J100i) firmware dari OsmocomBB bisa digunakan (proyek ini masih aktif).

Sekilas ponsel yang mendukung J2ME bisa diprogram untuk mengendalikan benda lain via bluetooth/IR/Internet. Pada praktiknya ini sulit karena biasanya tiap kali akan melakukan koneksi, user akan ditanya dulu: boleh atau tidak. Jaman dulu sebuah aplikasi harus minta ijin user untuk melakukan koneksi apapun. Supaya bisa diset agar tidak minta ijin, kita perlu menandatangani secara digital (inipun tidak universal, signing dengan certificate dari pihak tertentu kadang hanya berlaku di beberapa merk HP saja).

Ponsel dengan OS Symbian, Palm OS (sempat ada beberapa smartphone berbasis PalmOS), Windows Mobile cukup terbuka untuk bisa diprogram melakukan apa saja. Saya dulu pernah memprogram driver untuk Windows Mobile dan tidak perlu code signing.

Ponsel dengan OS modern seperti Android dan iOS bisa dimanfaatkan dengan dua cara. Pertama ponsel bisa menjadi otak, dan pengendalian benda bisa dilakukan dengan bluetooth, WIFI, USB dan bahkan NFC. Koneksi Bluetooth iOS hanya bisa dilakukan di versi baru dengan BLE (Blutooth Low Energy) sedangkan bluetooth di Android bisa dikoneksikan ke modul hardware murah (sekitar 4 USD). Beberapa ponsel Android mendukung mode Host sehingga bisa dihubungkan ke device USB apa saja.

Pemanfaatan kedua adalah memanfaatkan sensor di ponsel (yang jumlahnya sangat banyak) dan datanya distream ke Raspberry atau benda lain. Bagian ini belum saya coba, tapi sudah ada saudara yang mencoba:

Using phone’s accelerometer x & y axis as controller #raspberrypi

A video posted by Andi Dinata (@mdinata) on

Sejujurnya: meskipun ponsel dan hardware lama masih bisa dimanfaatkan, saya lebih suka membeli hardware baru saja. Dokumentasi lebih banyak, harga juga relatif terjangkau, jadi saya tidak mengorbankan banyak waktu ataupun biaya. Tapi jika Anda punya banyak ponsel yang ingin dimanfaatkan, mungkin beberapa hal yang saya share ini bisa berguna.

Facebook Instant Articles dan Google Accelerated Mobile Pages

Akhir-akhir ini ketika membuka Facebook app mobile, semakin banyak berita atau artikel yang bisa dibaca secara instan. Ketika kita men-tap linknya, artikel langsung muncul instan di dalam aplikasi Facebook (bukan di browser). Artikel semacam ini memiliki versi Instant Articles yang disimpan oleh Facebook, dan ada simbol petir di kanan atas link untuk menunjukkan hal tersebut.

Screenshot_2016-06-15-06-53-54

Tujuan FB membuat Instant Articles adalah agar orang bisa lebih nyaman membaca artikel, dan tidak meninggalkan aplikasi FB ketika membaca artikel. Ketika Instant Articles diperkenalkan dan spesifikasinya belum dibuka untuk umum, sebagian orang sempat mengkhawatirkan bahwa ini bisa “memecah belah” web dengan artikel yang hanya bisa diakses dari FB saja. Ternyata fitur ini memakai teknologi yang terbuka.

Lanjutkan membaca “Facebook Instant Articles dan Google Accelerated Mobile Pages”

Catatan Apps: Android

Sejak jaman dulu saya suka memakai HP yang bisa diinstall aplikasi. Saya dulu bahkan membeli SL45i, HP pertama dengan J2ME. Sejak jaman dulu sudah ada banyak aplikasi saya coba baik itu di J2ME, Symbian, Blakcberry, iOS, Windows Mobile maupun Android. Tidak seperti aplikasi PC yang mudah sekali untuk kembali bernostalgia dengan DOSBox, VirtualBox dan aplikasi sejenis lainnya, agak sulit kembali mengenang aplikasi mobile yang dipakai jaman dulu. Jadi seri posting ini hanya sekedar jadi catatan aplikasi yang saya pakai sekarang untuk dikenang di masa depan.

Screenshot_2016-06-14-15-55-22

Dulu saya sangat rajin mengoprek Android, tapi sekarang lebih berfokus ke bagian securitynya (terutama pentesting, atau kadang iseng membongkar exploit seperti ini). Ngoprek yang saya maksud mulai dari mengcompile ulang kernel, mengcompile ulang aplikasi open source (dengan modifikasi saya), sampai mengcompile seluruh ROM juga (waktu dulu masih memakai Nexus).

Sekarang ini HP Android yang saya pakai ada dua: Samsung Note 4 (HP Utama), dan Android One (IQ Mobile II) untuk dioprek (misalnya bisa untuk beta test Android N). Lanjutkan membaca “Catatan Apps: Android”

Tips Android: XPosed Framework dan XPrivacy

Kalau dulu saya nulis tips soal Blackberry, gantian sekarang mau menulis soal Android. Sekarang ini saya mau tulis soal aplikasi yang menarik, tapi sepertinya nggak banyak diketahui orang.

XPosed Framework adalah framework yang memungkinkan untuk membuat (dan menjalankan) aplikasi yang bisa mengintercept API Android apapun. Ada banyak modul yang memanfaatkan framework ini, salah satunya adalah XPrivacy. Dengan XPrivacy, kita bisa memblock atau menipu aplikasi Android yang meminta akses tertentu. Aplikasi ini butuh root access, jadi Android Anda perlu bisa diroot. Perhatikan bahwa aplikasi ini hanya untuk Anda yang cukup expert bermain Android.

Saya berikan beberapa contoh kemampuan modul Xprivacy ini. Ketika sebuah aplikasi atau game meminta koneksi Internet, kita bisa bilang: sedang tidak ada koneksi internet. Ketika aplikasi berusaha mengakses SD Card, aplikasi bisa ditipu dengan menyatakan bahwa SD Card tidak dimasukkan. Aplikasi ini gratis, tapi ada fitur ekstra di Versi pro, misalnya bisa merestriksi aplikasi yang membaca contact list agar bisa membaca dari account tertentu saja. Restriksi ini bisa dilakukan permanen, atau setiap 15 detik. Misalnya kita cuma perlu akses internet sekali untuk aktivasi, kita bisa ijinkan sekali saja, lalu sisanya tidak diijinkan.

Hal yang “menyeramkan” dari Android adalah: ada banyak aplikasi yang meminta banyak permission, contohnya ini ada satu aplikasi yang “recommended” karena teman saya ada yang menginstall. Ketika tombol install ditekan:

small

(ini aplikasi game atau apaan sih?)

Dengan XPrivacy, ketika aplikasi berjalan, kita bisa memblok berbagai permintaan aplikasi tersebut. Misalnya layarnya seperti ini:

phoneid

Pertama kali kita menjalankan sebuah aplikasi, pertanyaan semacam ini akan banyak muncul, dan seminggu pertama memakai XPrivacy akan terasa mengesalkan. Tapi lama-lama jadi terbiasa juga, dan jadi tau banyak mengenai permission yang diminta oleh banyak aplikasi.

Selain untuk masalah privacy, XPrivacy ini berguna karena bisa memblok iklan. Untuk game yang jelas-jelas tidak butuh koneksi internet (misalnya game anak-anak), kita bisa blok akses internet untuk game tersebut, dan efek sampingnya adalah iklan jadi hilang (walau ada juga yang jadi menampilkan iklan default).

Banyak game yang berusaha menshare dirinya via facebook, bahkan game anak-anak. Dengan XPrivacy, kita bisa memblok aplikasi ini, sehingga jika anak tak sengaja memencet logo facebook, efeknya tidak ada.