Banyak Aplikasi iOS yang Mengumpulkan Data Pribadi secara Tidak Sah

app-store-640

Analis keamanan telah menemukan setidaknya 256 aplikasi iOS di App Store yang diam-diam mengumpulkan alamat e-mail pemilik iPhone, nomor seri yang unik iPhone/iPad, dan informasi pribadi lainnya yang bisa digunakan untuk melacak pengguna.

Biasanya, Apple App store memiliki proses pemeriksaan dan kebijakan privasi yang sangat ketat terkait dengan pengumpulan data pribadi. Namun, perusahaan analis kemanan Source DNA mengatakan bahwa pengumpulan data dilakukan secara sembunyi-sembunyi sehingga bahkan pengembang individu dari aplikasi yang terkena dampak tidak mungkin tahu tentang hal tersebut karena informasi pribadi yang dikirim hanya untuk pembuat kit pengembangan perangkat lunak yang digunakan untuk memberikan iklan dalam aplikasi tersebut.

Pengembang perangkat lunak yang melakukan tindakan menyedot informasi pribadi ratusan ribu orang tersebut adalah perusahaan penyedia iklan mobile China yang disebut Youmi. Aplikasi terpengaruh kebanyakan berbasis di China, termasuk aplikasi resmi McDonalds untuk pengguna berbahasa China.

Nate Lawson, pendiri Source DNA mengatakan bahwa hal ini adalah pertama kalinya mereka menemukan aplikasi di App Store melanggar privasi pengguna dengan menarik data dari private API. Hal ini merupakan jenis pelanggaran yang harus ditangkap oleh Apple. Para peneliti memperkirakan sekitar satu juta orang telah mendownload aplikasi yang mengoleksi data pribadi secara diam-diam tersebut secara total.

Beberapa aplikasi iOS gratis yang mengumpulkan data pengguna sebagai bentuk pembayaran, yang kemudian mereka jual kepada pengiklan. Misalnya, aplikasi Flashlight yang ditemukan mengumpulkan dan menjual lokasi pengguna dan aplikasi kebugaran Endomondo yang berbagi tanggal lahir dan lokasi dengan pengiklan. Namun demikian, sebanyak 256 aplikasi terdeteksi oleh Source DNA, mengakses data yang secara eksplisit dilarang oleh aturan Apple App Store.

Menanggapi temuan ini Apple mengeluarkan pernyataan yang mengkonfirmasi keberadaan aplikasi yang secara diam-diam mengoleksi data pribadi pengguna tersebut. Apple  sudah mengidentifikasi sekelompok aplikasi yang menggunakan third-party advertising SDK yang dikembangkan oleh Youmi, penyedia iklan mobile, menggunakan private API untuk mengumpulkan informasi pribadi, seperti alamat email pengguna dan nomor pengenal perangkat, dan mengarahkan data ke server mereka.

Apple mengatakan bahwa hal tersebut adalah pelanggaran pedoman keamanan dan privasi Apple. Aplikasi yang menggunakan SDK Youmi akan dihapus dari App Store dan setiap aplikasi baru diserahkan ke App Store yang menggunakan SDK Youmi akan ditolak.

Temuan ini hanya selang beberapa minggu setelah puluhan aplikasi populer di Apple App Store di China di-hack menggunakan kode berbahaya, yang dikenal sebagai Xcode Ghost, dalam upaya untuk mencuri data pengguna. Daftar aplikasi yang terinfeksi mencakup beberapa aplikasi yang paling populer di China, Didi Kuaidi dan WeChat yang memiliki sekitar 500 juta penggunaa

Sumber: The Telegraph

Sumber Foto: Rantgizmo