INDAS.ID - Para peneliti mengatakan bahwa ribuan aplikasi telah menemukan cara untuk menipu sistem izin Android, menelepon ke rumah pengidentifikasi unik perangkat Anda dan data yang cukup berpotensi untuk mengungkapkan lokasi Anda.
Bahkan jika Anda mengatakan "tidak" pada satu aplikasi ketika meminta izin untuk melihat bit-bit data yang diidentifikasi secara pribadi. Aplikasi kedua dengan izin yang Anda setujui dapat membagikan bit-bit itu dengan yang lain atau membiarkannya penyimpanan bersama tempat aplikasi lain - bahkan berpotensi aplikasi jahat - dapat membacanya.
Kedua aplikasi tersebut mungkin tidak tampak terkait, tetapi para peneliti mengatakan bahwa karena mereka dibangun menggunakan kit pengembangan perangkat lunak (SDK) yang sama, mereka dapat mengakses data itu, dan ada bukti bahwa pemilik SDK menerimanya.
Menurut sebuah studi yang dipresentasikan di PrivacyCon 2019, dibicarakan tentang aplikasi dari orang-orang seperti Samsung dan Disney yang telah diunduh ratusan juta kali. Mereka menggunakan SDK yang dibuat oleh raksasa pencarian Cina Baidu dan sebuah perusahaan analitik bernama Salmonads yang dapat meneruskan data Anda dari satu aplikasi ke aplikasi lain (dan ke server mereka) dengan menyimpannya secara lokal di ponsel Anda terlebih dahulu. Para peneliti melihat bahwa beberapa aplikasi menggunakan Baidu SDK mungkin berusaha untuk diam-diam mendapatkan data ini untuk mereka gunakan sendiri.
Beberapa di antaranya dapat mengirim alamat MAC unik dari chip dan router jaringan Anda, titik akses nirkabel, SSID-nya, dan banyak lagi. "Sudah cukup terkenal sekarang bahwa pengganti yang cukup baik untuk data lokasi," kata Serge Egelman, direktur penelitian dari Grup Keamanan dan Privasi yang Dapat Digunakan di International Computer Science Institute (ICSI), ketika mempresentasikan penelitian di PrivacyCon.
Studi ini juga memilih Shutterfly aplikasi foto untuk mengirim koordinat GPS yang sebenarnya kembali ke servernya tanpa mendapatkan izin untuk melacak lokasi - dengan mengambil data itu dari metadata EXIF foto Anda - meskipun perusahaan membantah bahwa ia mengumpulkan data itu tanpa izin dalam pernyataan kepada CNET.
Ada perbaikan yang datang untuk beberapa masalah ini di Android Q, menurut para peneliti, yang mengatakan mereka memberi tahu Google tentang kerentanan September lalu. Namun, itu mungkin tidak membantu banyak ponsel Android generasi saat ini yang tidak akan mendapatkan pembaruan Android Q.
Para peneliti berpikir bahwa Google harus melakukan lebih banyak, mungkin meluncurkan perbaikan terbaru dalam pembaruan keamanan sementara itu karena seharusnya tidak hanya pembeli telepon baru yang mendapatkan perlindungan. "Google secara terbuka mengklaim bahwa privasi seharusnya tidak menjadi barang mewah, tapi itu tampaknya yang terjadi di sini," kata Egelman.
Google menolak untuk mengomentari kerentanan spesifik, tetapi itu menegaskan bahwa Android Q akan menyembunyikan info geolokasi dari aplikasi foto secara default, dan itu akan mengharuskan aplikasi foto untuk memberi tahu Play Store apakah mereka mampu mengakses metadata lokasi.
Sumber Artikel:
The Verge
