Awas, Ada 1.325 Aplikasi Android Mengakses Data Pengguna Tanpa Izin
Selasa, 09 Juli 2019 - 18:42 WIB
Awas, Ada 1.325 Aplikasi Android Mengakses Data Pengguna Tanpa Izin
A
A
A
JAKARTA - Kita mungkin berpikir telah menyimpan data pribadi dengan baik karena tidak memberikan izin tertentu ke aplikasi saat pertama kali menggunakannya. Ya, umumnya aplikasi meminta izin terlebih dahulu untuk mengakses sejumlah data saat kali pertama diunduh pengguanya.
Namun berdasarkan penelitian yang dipublikasikan laman CNET, ditemukan lebih dari 1.000 aplikasi Android yang menemukan cara menyiasati izin guna mengakses data lokasi dan informasi pribadi lainnya dari penggunanya. Institut Ilmu Komputer Internasional (ICSI) mengatakan, mereka menemukan sebanyak 1.325 aplikasi di Google Play Store yang mengumpulkan data tersebut dari pengguna yang telah menolak mereka untuk melakukannya. Studi ini dipresentasikan di PrivacyCon pada bulan lalu oleh Federal Trade Commission (FTC).
Studi ini melihat 88.000 aplikasi Android dan menyelidiki bagaimana mereka menangani data ketika izin ditolak. Apa yang ditemukan oleh penelitian ini adalah ada 1.325 aplikasi memiliki kode tertulis untuk mengambil data lokasi dari metadata yang disimpan dalam foto dan dari koneksi WiFi.Serge Egelman, Direktur Penelitian Keamanan dan Privasi yang Dapat Digunakan di ICSI, mempresentasikan data di konferensi. Dijelaskannya, Google telah diberitahu tentang ancaman ini pada September lalu. Perusahaan mengatakan, mereka akan mengatasi masalah tersebut dengan merilis Android Q yang diharapkan keluar kuartal ini.
Google berjanji akan menyembunyikan informasi lokasi di foto dari aplikasi. Ini juga akan membutuhkan aplikasi yang bekerja dengan WiFi untuk mendapatkan izin menerima data lokasi.
"Pada dasarnya, konsumen memiliki sedikit alat dan isyarat yang dapat mereka gunakan untuk secara wajar mengendalikan privasi mereka dan membuat keputusan tentang hal itu. Jika pengembang aplikasi dapat menghindari sistem, maka meminta izin kepada konsumen relatif tidak ada artinya," ungkap Serge Egelman seperti dilansir laman Phone Arena.
Diungkapannya juga, ada aplikasi yang bisa mengambil informasi pribadi dari aplikasi lain yang telah menerima izin untuk mendapatkannya. Aplikasi menolak izin mengakses informasi pribadi dari file yang tidak dilindungi pada kartu SD di mana itu disimpan oleh aplikasi lain yang diberikan izin untuk mengumpulkannya.
Disebutkan, ada 13 aplikasi Android yang menggunakan teknik ini untuk mencuri data pribadi. Fatalnya aplikasi ini diinstal lebih dari 17 juta kali, termasuk aplikasi Taman Baidu Hong Kong Disneyland Park.
Laporan juga menyebutkan, sebanyak 153 aplikasi mampu melakukan tindakan tak terpuji ini termasuk aplikasi Kesehatan dan Browser Samsung yang diinstal pada lebih dari 500 juta perangkat. Di antara data pribadi yang dapat dicuri dengan metode ini adalah nomor IMEI ponsel yang unik.
Aplikasi lain yang terhubung ke jaringan WiFi pengguna juga bisa untuk mencuri data lokasi. Aplikasi ini mendapatkan nomor MAC yang dapat mengidentifikasi adaptor jaringan di perangkat WiFi. Laporan tersebut mencatat, aplikasi yang digunakan sebagai kendali jarak jauh pintar sering melakukan hal ini, meskipun tidak ada alasan yang sah bagi mereka untuk memiliki data lokasi pengguna.
Bagaimana pencurian data itu berlangsung? Dicontohkan, aplikasi penerbitan gambar Shutterfly mengambil koordinat GPS dari foto dan mengirim data itu ke servernya bahkan jika pengguna tidak memberikan izin aplikasi untuk mendapatkan data lokasinya. Seorang juru bicara untuk aplikasi membantah ini dan mengatakan bahwa mereka mengumpulkan data lokasi hanya dengan izin pengguna.
"Seperti banyak layanan foto, Shutterfly menggunakan data ini untuk meningkatkan pengalaman pengguna dengan fitur-fitur seperti kategorisasi dan saran produk yang dipersonalisasi. Semuanya sesuai dengan kebijakan privasi Shutterfly serta perjanjian pengembang Android," kata Shutterfly mengklarifikasi ketidakbenaran mereka mencuri data para penggunanya.
Egelman mengatakan, pihaknya akan mengungkapkan nama-nama 1.325 aplikasi Android yang mengumpulkan data pribadi tanpa izin. Nama-nama itu bakal disajikan di konferensi Keamanan Usenix.
Anda mungkin ingat bahwa pada bulan Mei lalu, The Wall Street Journal mengungkap, bahwa dari 80 aplikasi yang terdaftar di App Store Apple, ada 79 aplikasi di antaranya berisi pelacak pihak ketiga yang mengumpulkan data pribadi pengguna iOS. Data dikumpulkan untuk iklan, analitik, dan tujuan pemasaran. Tidak tanggung-tanggung, rata-rata aplikasi memasang empat pelacak.
Namun berdasarkan penelitian yang dipublikasikan laman CNET, ditemukan lebih dari 1.000 aplikasi Android yang menemukan cara menyiasati izin guna mengakses data lokasi dan informasi pribadi lainnya dari penggunanya. Institut Ilmu Komputer Internasional (ICSI) mengatakan, mereka menemukan sebanyak 1.325 aplikasi di Google Play Store yang mengumpulkan data tersebut dari pengguna yang telah menolak mereka untuk melakukannya. Studi ini dipresentasikan di PrivacyCon pada bulan lalu oleh Federal Trade Commission (FTC).
Studi ini melihat 88.000 aplikasi Android dan menyelidiki bagaimana mereka menangani data ketika izin ditolak. Apa yang ditemukan oleh penelitian ini adalah ada 1.325 aplikasi memiliki kode tertulis untuk mengambil data lokasi dari metadata yang disimpan dalam foto dan dari koneksi WiFi.Serge Egelman, Direktur Penelitian Keamanan dan Privasi yang Dapat Digunakan di ICSI, mempresentasikan data di konferensi. Dijelaskannya, Google telah diberitahu tentang ancaman ini pada September lalu. Perusahaan mengatakan, mereka akan mengatasi masalah tersebut dengan merilis Android Q yang diharapkan keluar kuartal ini.
Google berjanji akan menyembunyikan informasi lokasi di foto dari aplikasi. Ini juga akan membutuhkan aplikasi yang bekerja dengan WiFi untuk mendapatkan izin menerima data lokasi.
"Pada dasarnya, konsumen memiliki sedikit alat dan isyarat yang dapat mereka gunakan untuk secara wajar mengendalikan privasi mereka dan membuat keputusan tentang hal itu. Jika pengembang aplikasi dapat menghindari sistem, maka meminta izin kepada konsumen relatif tidak ada artinya," ungkap Serge Egelman seperti dilansir laman Phone Arena.
Diungkapannya juga, ada aplikasi yang bisa mengambil informasi pribadi dari aplikasi lain yang telah menerima izin untuk mendapatkannya. Aplikasi menolak izin mengakses informasi pribadi dari file yang tidak dilindungi pada kartu SD di mana itu disimpan oleh aplikasi lain yang diberikan izin untuk mengumpulkannya.
Disebutkan, ada 13 aplikasi Android yang menggunakan teknik ini untuk mencuri data pribadi. Fatalnya aplikasi ini diinstal lebih dari 17 juta kali, termasuk aplikasi Taman Baidu Hong Kong Disneyland Park.
Laporan juga menyebutkan, sebanyak 153 aplikasi mampu melakukan tindakan tak terpuji ini termasuk aplikasi Kesehatan dan Browser Samsung yang diinstal pada lebih dari 500 juta perangkat. Di antara data pribadi yang dapat dicuri dengan metode ini adalah nomor IMEI ponsel yang unik.
Aplikasi lain yang terhubung ke jaringan WiFi pengguna juga bisa untuk mencuri data lokasi. Aplikasi ini mendapatkan nomor MAC yang dapat mengidentifikasi adaptor jaringan di perangkat WiFi. Laporan tersebut mencatat, aplikasi yang digunakan sebagai kendali jarak jauh pintar sering melakukan hal ini, meskipun tidak ada alasan yang sah bagi mereka untuk memiliki data lokasi pengguna.
Bagaimana pencurian data itu berlangsung? Dicontohkan, aplikasi penerbitan gambar Shutterfly mengambil koordinat GPS dari foto dan mengirim data itu ke servernya bahkan jika pengguna tidak memberikan izin aplikasi untuk mendapatkan data lokasinya. Seorang juru bicara untuk aplikasi membantah ini dan mengatakan bahwa mereka mengumpulkan data lokasi hanya dengan izin pengguna.
"Seperti banyak layanan foto, Shutterfly menggunakan data ini untuk meningkatkan pengalaman pengguna dengan fitur-fitur seperti kategorisasi dan saran produk yang dipersonalisasi. Semuanya sesuai dengan kebijakan privasi Shutterfly serta perjanjian pengembang Android," kata Shutterfly mengklarifikasi ketidakbenaran mereka mencuri data para penggunanya.
Egelman mengatakan, pihaknya akan mengungkapkan nama-nama 1.325 aplikasi Android yang mengumpulkan data pribadi tanpa izin. Nama-nama itu bakal disajikan di konferensi Keamanan Usenix.
Anda mungkin ingat bahwa pada bulan Mei lalu, The Wall Street Journal mengungkap, bahwa dari 80 aplikasi yang terdaftar di App Store Apple, ada 79 aplikasi di antaranya berisi pelacak pihak ketiga yang mengumpulkan data pribadi pengguna iOS. Data dikumpulkan untuk iklan, analitik, dan tujuan pemasaran. Tidak tanggung-tanggung, rata-rata aplikasi memasang empat pelacak.
(mim)
