Sebuah perusahaan misterius di Panama membayar pengembang aplikasi Android untuk memasukkan kode yang ternyata mampu menyalin data sensitif dari ponsel pengguna.
Temuan ini diumumkan perusahaan keamanan AppCensus, Rabu (6/4/2022), hasil menelusuri kode—lazim disebut software development kit (SDK)—yang berjalan di sejumlah aplikasi Android dengan total unduhan lebih dari 46 juta kali di Google Play Store.
Setidaknya 11 aplikasi Android yang memuat kode dimaksud, di antaranya dua aplikasi bertema Quran, pemindai kode batang QR, aplikasi “Radar Kamera Kecepatan”, dan program untuk mengubah ponsel menjadi tetikus.
Pada Oktober 2021 silam, AppCensus telah melaporkan temuannya ke Google, dan “segera menghapus” aplikasi berisi SDK mencurigakan itu. Daftar tautan aplikasi yang terpengaruh ada dalam laporan AppCensus ini, misalnya Audio Quran, dan Qibla Compass.
Menurut jubir Google, Scott Westover, aplikasi terdampak dihapus dari Google Play Store pada 25 Maret. Dalam laporan The Wall Street Journal disebutkan aplikasi dapat aktif kembali jika kode yang melanggar telah dihapus. Beberapa memang sudah kembali di Google Play Store.
Bila Anda pengguna salah satu aplikasi dalam daftar temuan AppCensus sebelum 25 Maret 2022, sebaiknya meng-uninstall aplikasi tersebut. Bila ingin menggunakannya kembali, install ulang dengan versi aplikasi terbaru demi keamanan.
Aspek keamanan digital bagian penting dalam literasi digital. Ia menjadi satu kesatuan dalam melek media dan informasi (MIL), konseptualisasi tiga ranah: melek media, literasi informasi, dan literasi digital.
Apa yang dicuri?
Dr. Joel Reardon dari AppCensus bilang bahwa kode jahat tersebut bisa mengakses data yang disalin-tempel pengguna, lalu dikirim ke servernya. “Data tersebut pilihan pengguna, misalnya bila menginstal pengelola kata sandi, bisa menyalin-tempelnya ke aplikasi lain.”
Bukan hanya itu, kode di dalam aplikasi Android ini juga mengumpulkan informasi GPS yang akurat, bersama nomor telepon dan alamat email terkait perangkat. Selain itu, ia dapat mencoba menarik alamat MAC, atau alamat perangkat jaringan seperti router internet yang terhubung dengan ponsel.
Bila dapat mengakses router, maka dapat pula mengidentifikasi aktivitas pengguna selama daring. Metode pengumpulan dan jenis data yang dikumpulkan bervariasi, tergantung pada aplikasinya. Setiap aplikasi dapat mengirimkan jenis data yang bisa sama atau berbeda, dari SDK yang sama.
Tim AppCensus menyatakan belum menguji apa yang terjadi bila pada ponsel yang sama menginstal aplikasi WhatsApp. Mereka menduga kode ini memiliki kemampuan memindai beberapa bagian dari sistem file telepon, termasuk file yang disimpan di folder unduhan WhatsApp.
Siapa pengepul datanya?
Penelusuran AppCensus membawa mereka ke perusahaan misterius di Panama bernama Measurement Systems. Perusahaan ini membayar pengembang aplikasi Android untuk memasukkan SDK dimaksud. Situs webnya mengatakan telah membayar $2,1 juta kepada mitra, dan mengklaim ribuan aplikasi telah menggunakan SDK buatannya.
Mendaku sebagai “The Internet Measurement Authority”, situsnya terang-terangan mencantumkan ajakan, “Hasilkan lebih banyak uang dari aplikasi Anda dengan memonetisasi data pengguna tanpa gangguan UX (pengalaman pengguna selama menggunakan aplikasi)”.
Tren pengumpulan data lewat aplikasi sudah muncul sejak 2018. Nina Bohush, Head of Content dari sebuah platform monetisasi AppGrow, pernah menulis bahwa monetisasi data lewat aplikasi adalah proses yang melibatkan pengumpulan dan transfer data pengguna.
Lazimnya data ini anonim, dan ditransfer dari aplikasi ke pengumpul data (perusahaan pengepul data pengguna). Data seperti tipe perangkat beserta versinya, ukuran layar, operator internet, tipe jaringan (3G, 4G, atau 5G), menjadi incaran.
Adapun data pribadi tentang pengguna seperti nama, usia, jenis kelamin, minat, dan pendapatan seharusnya tetap aman dan anonim.
Measurement Systems pun mengklaim, pengembang aplikasi dapat mengubah informasi non-pribadi tentang pengguna menjadi pendapatan tanpa upaya tambahan. Padahal berdasarkan temuan AppCensus, mereka menyalin sejumlah data pribadi—yang tidak anonim.
“Database yang memetakan email dan nomor telepon ke riwayat lokasi GPS ini sangat menakutkan. Metode ini dapat digunakan untuk mencari riwayat lokasi seseorang hanya dengan mengetahui nomor telepon atau email mereka, dan dapat digunakan untuk menargetkan jurnalis, oposisi atau pesaing politik,” tulis Reardon dalam artikel blog AppCensus.
Mengalir sampai ke pemerintah
Laporan The Wall Street Journal mengungkap Measurement Systems memiliki hubungan dengan perusahaan kontraktor di bidang pertahanan di Virginia, AS, bernama Vostrom Holdings. Mereka ini kerap melakukan pekerjaan intelijen siber untuk badan-badan pemerintah AS.
“Measurement Systems mengatakan kepada pembuat aplikasi bahwa mereka menginginkan data terutama dari Timur Tengah, Eropa Tengah dan Timur dan Asia,” demikian laporan WSJ, mengutip dokumen internal dari perusahaan yang berhasil didapat.
Pihak Measurement Systems, kepada WSJ membantah temuan ini, menyatakan mereka tidak tahu menahu dan tak punya hubungan dengan perusahaan kontraktor AS ataupun Vostrom Holdings.
Serge Egelman, rekan Joel Reardon di AppCensus, mengatakan ada pelajaran lawas bagi pengembang aplikasi Android yang memasukkan kode Measurement Systems di aplikasi mereka untuk mencari uang.
“Ini tentang ‘pentingnya tidak menerima permen dari orang asing’,” katanya dikutip AndroidPolice. “Bagaimanapun, kode itu mungkin diracuni dengan perintah yang ingin memberi tahu pemerintah segala sesuatu yang dapat diketahui tentang Anda dan pengguna Anda.”
Kasus “pencurian” data pribadi seperti ini, barusan juga diungkap situs berita Motherboard. Diterbitkan pada 17 November 2020, artikel dimaksud mengangkat temuan penjualan data pribadi dari sejumlah aplikasi kepada pihak militer pemerintah AS.
Aplikasi Muslim Pro turut terlibat, aplikasi pengingat waktu shalat atau penentu arah kiblat yang telah diunduh 90-an juta kali. Puluhan juta pengguna itu tersebar di peranti berbasis Android dan iOS—di seluruh dunia.
*Photo by Matam Jaswanth on Unsplash