Liputan6.com, Jakarta - Pengguna sering disarankan untuk membatasi izin akses aplikasi terhadap berbagai data di smartphone. Misalnya aplikasi edit foto tak diberikan akses ke kontak atau lokasi, dan lain-lain.
Tentu, tujuannya adalah melarang aplikasi-aplikasi tersebut dari mendapatkan data-data yang pribadi di smartphone, termasuk lokasi.
Namun baru-baru ini, peneliti mengungkapkan bahwa ribuan aplikasi Android memiliki cara untuk mencurangi sistem perizinan di . Selain mengambil data, aplikasi-aplikasi tersebut juga berpotensi melacak keberadaan smartphone pengguna.
Baca Juga
Advertisement
Sebagaimana dikutip dari The Verge, Selasa (9/7/2019), meskipun pengguna tak memberikan izin akses terhadap sebuah fitur kepada aplikasi A, tampaknya ada kemungkinan aplikasi B yang memiliki izin ke fitur tersebut membagikan ke aplikasi lainnya. Bahkan, aplikasi jahat pun berpotensi membaca data-data tersebut.
Menurut peneliti, meski aplikasi A dan B tidak terkait, penyebabnya adalah karena aplikasi-aplikasi itu dibangun dengan kit pengembangan perangkat lunak (SDK) yang sama.
Oleh karenanya, aplikasi bisa mengakses data tersebut, bahkan ada bukti bahwa pemilik SDK menerima data yang sama.
Peneliti mengibaratkan aplikasi ini seperti anak kecil yang meminta coklat ke ibunya, karena tak diberi, ia akhirnya meminta ke sang ayah.
Berdasarkan studi yang disebutkan di PrivacyCon2019, aplikasi-aplikasi yang dimaksud di antaranya milik Samsung dan Disney yang telah diunduh ratusan juta kali. Aplikasi-aplikasi ini dibangun menggunakan SDK yang dikembangkan oleh Baidu dan firma analitik bernama Salmonads.
SDK milik Baidu dan Salmonads ini rupanya bisa menyerahkan data dari satu ke aplikasi lain caranya dengan menyimpannya terlebih dahulu ke smartphone pengguna.
Peneliti melihat, sejumlah aplikasi yang memakai SDK Baidu mungkin diam-diam berupaya mendapatkan data ini untuk dipakai mereka sendiri.
Tak Hanya Ambil Data
Tidak hanya mengambil data, masalah lain yang ditemukan tim peneliti adalah bisa mengirim alamat MAC yang unik dari chip dan router, wireless access point, SSID, dan berbagai data lainnya.
Direktur riset keamanan dan privasi di International Computer Science Institute Serge Egelman mengatakan, "akses terhadap hardware di atas bisa mengetahui lokasi perangkat."
Bukan hanya itu, studi ini juga menyebut, aplikasi foto Shutterfly bisa mengirim koordinat GPS ke servernya. Padahal pengguna tak memberikan izin ke aplikasi untuk mengakses lokasi. Hal ini dilakukan dengan mengambil data lokasi dari metadata foto.
Perusahaan tersebut pun membantah bahwa mereka mengumpulkan data itu tanpa izin.
Sejauh ini, peneliti menyebut, sudah ada perbaikan atas masalah ini pada Android Q, setelah mereka memberi tahu ke Google tentang isu pengambilan data lokasi itu.
Sayangnya hal ini tentu tidak akan berdampak pada pengguna Android yang perangkatnya menggunakan OS di bawah versi Android Q.
Pasalnya, per Mei, hanya 10,4 persen perangkat Android yang telah menggunakan OS Android P, sementara, 60 persen sisanya masih pakai Android N.
Advertisement
Google Mesti Beri Update Keamanan
Para peneliti berpikir, Google harusnya melakukan upaya lebih. Misalnya, menggulirkan perbaikan lewat pembaruan keamanan, pasalnya tak hanya pengguna smartphone baru yang harus terproteksi.
"Google secara umum mengklaim, privasi bukanlah barang mewah, namun hal inilah yang terjadi sekarang," tutur Egelman.
Pihak Google sendiri menolak untuk berkomentar mengenai kerentanan tersebut.
Namun, kepada The Verge, Google menyebut, Android Q akan menyembunyikan informasi geolokasi dari aplikasi foto secara default.
Google juga akan mempersyaratkan kepada aplikasi foto untuk memberitahu ke Play Store bahwa aplikasinya mampu mengakses lokasi pada metadata foto.
(Tin/Isk)