Hati-hati Unduh Aplikasi Wajib Pengunjung Olimpiade Beijing 2022, Ini Konsekuensinya
loading...
Aplikasi Wajib Pengunjung Olimpiade Beijing 2022 memiliki kelemahan sehingga rentan disusupi peretas. Foto/Getty Images
A
A
A
JAKARTA - Untuk Anda yang ingin mengunjungi China dalam rangka menonton Olimpiade Musim Dingin Beijing 2022, diwajibkan pemerintah setempat untuk mengunduh aplikasi MY2022. Sayangnya, aplikasi ini rentan disusupi pencuri data yang bisa mengungkap data pribadi Anda.
Menurut laporan baru dari peneliti digital dengan Citizen Lab di University of Toronto, aplikasi ini sangat tidak aman sehingga dapat melanggar undang-undang keamanan data China sendiri.
Aplikasi ini juga mungkin melanggar Kebijakan Perangkat Lunak yang Tidak Diinginkan Google, yang membantu menyingkirkan aplikasi berbahaya di ekosistem Android, serta pedoman App Store Apple, catatan laporan tersebut.
Dilansir Gizmodo, Rabu (19/1/2022), para peneliti menemukan kekurangan aplikasi MY2022 ini untuk versi 2.0.0 untuk iOS dan versi 2.0.1 untuk Android dalam menangani enkripsi dan transmisi data.
Menurut Citizen Lab, aplikasi sering gagal memvalidasi sertifikat SSL, artinya aplikasi tidak memverifikasi di mana sebenarnya pengiriman data yang dikirimkannya.
"Ini membuat pengguna siap menghadapi potensi serangan siber man-in-the-middle, di mana penyerang dapat memalsukan koneksi ke situs web yang sah dan dengan demikian mencuri data yang dikirim oleh aplikasi," katanya.
Pada saat yang sama, para peneliti menemukan bahwa aplikasi tersebut juga mentransmisikan jenis metadata tertentu tanpa enkripsi SSL atau perlindungan keamanan lainnya sama sekali—membuatnya terbuka lebar untuk pemeriksaan publik dalam kasus-kasus tertentu.
Mereka mencatat bahwa banyak data yang dibiarkan rentan terhadap pencurian telah dikumpulkan secara terbuka oleh pemerintah China.
Laporan tersebut juga mencatat bahwa keamanan digital tidak begitu bagus di ekosistem aplikasi China secara keseluruhan. Untuk itu, mungkin saja pengembang MY2022 membuat aplikasi yang buruk, bukan licik.
Kendati temuan itu sudah dilaporkan sejak 3 Desember 2021, namun belum ada tanggapan dari Komite Olimpiade Beijing. Mereka malah mengeluarkan versi terbaru dari aplikasi MY2022 versi 2.0.5 untuk iOS.
Sayangnya, peneliti Citizen Lab juga melihat kalau versi terbaru yang dilengkapi fitur baru Green Health Code juga rentan disusupi. Padahal fitur itu dirancang untuk menyimpan dokumen perjalanan dan data kesehatan yang mengunduhnya.
Mengingat status China sebagai goliath pengawasan, Citizen Lab melihat desain keamanan yang buruk ini semacam rencana pemerintah China yang disengaja untuk menyedot informasi pengunjung.
“Kami percaya bahwa kurangnya keamanan yang meluas seperti itu kemungkinan kecil merupakan hasil dari konspirasi pemerintah yang luas,” tulis para peneliti, tentang kegagalan keamanan.
Menurut laporan baru dari peneliti digital dengan Citizen Lab di University of Toronto, aplikasi ini sangat tidak aman sehingga dapat melanggar undang-undang keamanan data China sendiri.
Aplikasi ini juga mungkin melanggar Kebijakan Perangkat Lunak yang Tidak Diinginkan Google, yang membantu menyingkirkan aplikasi berbahaya di ekosistem Android, serta pedoman App Store Apple, catatan laporan tersebut.
Dilansir Gizmodo, Rabu (19/1/2022), para peneliti menemukan kekurangan aplikasi MY2022 ini untuk versi 2.0.0 untuk iOS dan versi 2.0.1 untuk Android dalam menangani enkripsi dan transmisi data.
Menurut Citizen Lab, aplikasi sering gagal memvalidasi sertifikat SSL, artinya aplikasi tidak memverifikasi di mana sebenarnya pengiriman data yang dikirimkannya.
"Ini membuat pengguna siap menghadapi potensi serangan siber man-in-the-middle, di mana penyerang dapat memalsukan koneksi ke situs web yang sah dan dengan demikian mencuri data yang dikirim oleh aplikasi," katanya.
Pada saat yang sama, para peneliti menemukan bahwa aplikasi tersebut juga mentransmisikan jenis metadata tertentu tanpa enkripsi SSL atau perlindungan keamanan lainnya sama sekali—membuatnya terbuka lebar untuk pemeriksaan publik dalam kasus-kasus tertentu.
Mereka mencatat bahwa banyak data yang dibiarkan rentan terhadap pencurian telah dikumpulkan secara terbuka oleh pemerintah China.
Laporan tersebut juga mencatat bahwa keamanan digital tidak begitu bagus di ekosistem aplikasi China secara keseluruhan. Untuk itu, mungkin saja pengembang MY2022 membuat aplikasi yang buruk, bukan licik.
Kendati temuan itu sudah dilaporkan sejak 3 Desember 2021, namun belum ada tanggapan dari Komite Olimpiade Beijing. Mereka malah mengeluarkan versi terbaru dari aplikasi MY2022 versi 2.0.5 untuk iOS.
Sayangnya, peneliti Citizen Lab juga melihat kalau versi terbaru yang dilengkapi fitur baru Green Health Code juga rentan disusupi. Padahal fitur itu dirancang untuk menyimpan dokumen perjalanan dan data kesehatan yang mengunduhnya.
Mengingat status China sebagai goliath pengawasan, Citizen Lab melihat desain keamanan yang buruk ini semacam rencana pemerintah China yang disengaja untuk menyedot informasi pengunjung.
“Kami percaya bahwa kurangnya keamanan yang meluas seperti itu kemungkinan kecil merupakan hasil dari konspirasi pemerintah yang luas,” tulis para peneliti, tentang kegagalan keamanan.
(ysw)
Lihat Juga :
