Penelitian terbaru dari Citizen Lab kembali memicu perdebatan global tentang penyalahgunaan teknologi forensik digital oleh aparat negara. Unit riset interdisipliner yang berbasis di Munk School of Global Affairs & Public Policy, University of Toronto, menemukan indikasi kuat bahwa otoritas Kenya menggunakan alat ekstraksi forensik komersial untuk mengakses data dari ponsel seorang aktivis terkemuka. Kasus ini menambah daftar panjang dugaan penggunaan teknologi investigasi untuk menargetkan masyarakat sipil.
Perangkat yang menjadi sorotan adalah milik Boniface Mwangi, aktivis pro-demokrasi Kenya yang telah mengumumkan rencana mencalonkan diri sebagai presiden pada 2027. Menurut laporan tersebut, alat ekstraksi digital buatan perusahaan Israel, Cellebrite, digunakan terhadap ponsel Samsung miliknya ketika perangkat tersebut berada dalam tahanan polisi setelah penangkapannya pada Juli 2025. Analisis forensik menunjukkan dengan tingkat keyakinan tinggi bahwa teknologi tersebut dioperasikan sekitar 20 hingga 21 Juli 2025.
Ponsel itu dikembalikan hampir dua bulan kemudian, pada September 2025. Namun ada perubahan mencolok: perangkat tidak lagi dilindungi kata sandi dan dapat dibuka tanpa autentikasi. Temuan teknis mengindikasikan bahwa proses ekstraksi kemungkinan memungkinkan pengambilan seluruh isi perangkat, mulai dari pesan pribadi, dokumen sensitif, file pribadi, informasi keuangan, hingga kredensial dan kata sandi. Jika benar demikian, maka dampaknya jauh melampaui sekadar pelanggaran privasi, karena menyentuh aspek keamanan personal dan politik seorang tokoh publik.
Kasus di Kenya bukanlah insiden terisolasi. Bulan sebelumnya, laporan terpisah dari peneliti yang sama mengungkap dugaan penggunaan teknologi serupa oleh otoritas di Yordania terhadap aktivis dan pembela hak asasi manusia yang mengkritik Israel serta menyuarakan dukungan bagi warga Palestina di Gaza. Perangkat mereka disita selama proses penahanan dan interogasi antara akhir 2023 hingga pertengahan 2025 sebelum akhirnya dikembalikan. Pola ini memperlihatkan bagaimana teknologi forensik digital dapat digunakan dalam konteks yang sensitif secara politik.
Menanggapi temuan tersebut, juru bicara Cellebrite menyatakan kepada The Guardian bahwa teknologinya dirancang untuk mengakses data privat hanya sesuai proses hukum yang berlaku atau dengan persetujuan yang sah guna membantu investigasi setelah suatu peristiwa terjadi. Namun, laporan-laporan ini menambah akumulasi bukti yang menunjukkan adanya potensi penyalahgunaan oleh klien pemerintah di berbagai negara.
Perkembangan ini juga bersinggungan dengan ekosistem pengawasan digital yang lebih luas, termasuk penggunaan spyware komersial seperti Pegasus dan Predator. Dalam laporan terpisah, Amnesty International menemukan bukti bahwa iPhone milik Teixeira Cândido, seorang jurnalis dan advokat kebebasan pers asal Angola, berhasil ditargetkan oleh Predator pada Mei 2024 setelah ia membuka tautan infeksi yang dikirim melalui WhatsApp.
Saat itu perangkat menjalankan iOS 16.2, versi sistem operasi yang sudah usang dan memiliki celah keamanan yang diketahui publik. Meski eksploitasi spesifik yang digunakan belum teridentifikasi, infeksi tersebut memberi penyerang akses penuh tanpa batas terhadap perangkat korban. Laporan tambahan dari Recorded Future sebelumnya juga mencatat dugaan operasi Predator di Angola sejak 2024, menjadikan kasus ini sebagai konfirmasi forensik pertama penggunaan spyware tersebut terhadap masyarakat sipil di negara itu.
Infeksi pada perangkat Cândido berlangsung kurang dari satu hari dan terhapus ketika ponsel dihidupkan ulang pada malam 4 Mei 2024. Namun, antara 4 Mei hingga 16 Juni 2024, tercatat 11 upaya lanjutan untuk menginfeksi ulang perangkat melalui tautan berbahaya baru. Upaya-upaya ini gagal, kemungkinan karena tautan tidak dibuka. Fakta ini menunjukkan persistensi dan adaptasi operator dalam mencoba kembali mengeksploitasi target yang sama.
Analisis teknis dari perusahaan keamanan ofensif Prancis, Reverse Society, menggambarkan Predator sebagai produk spyware komersial yang dirancang untuk penyebaran jangka panjang dan andal. Operator dapat mengaktifkan atau menonaktifkan modul tertentu sesuai aktivitas target, sehingga pengawasan dapat dikendalikan secara real-time. Lebih lanjut, spyware ini dilengkapi mekanisme anti-analisis yang tidak terdokumentasi, termasuk sistem pelaporan crash untuk tujuan anti-forensik serta teknik hooking pada SpringBoard guna menyembunyikan indikator perekaman ketika mikrofon atau kamera diaktifkan.
Peneliti dari Jamf Threat Labs menyoroti bahwa sistem kode kesalahan pada Predator memberi operator visibilitas granular terhadap kegagalan penyebaran, memungkinkan mereka menyesuaikan pendekatan terhadap target tertentu. Dengan kata lain, kegagalan infeksi bukanlah akhir dari operasi, melainkan sumber data diagnostik yang meningkatkan efektivitas serangan berikutnya.
Rangkaian temuan ini memperlihatkan dinamika baru dalam lanskap keamanan digital global. Teknologi forensik dan spyware komersial, yang pada dasarnya dipasarkan untuk kebutuhan penegakan hukum, semakin sering muncul dalam konteks yang menyentuh aktivisme politik, kebebasan pers, dan hak asasi manusia. Bagi masyarakat sipil, risiko tidak lagi sebatas peretasan acak, melainkan pengawasan yang terarah, terstruktur, dan didukung teknologi dengan tingkat sofistikasi tinggi.