internetsehat.id

Merawat Kolaborasi Literasi Digital Indonesia

Infodemi Privasi & Data Pribadi

Aplikasi Pelacakan Kontak: Ponsel Android Bocorkan Data Sensitif

Internet Sehat : Ratusan aplikasi pihak ketiga di perangkat Android diberi akses ke data sensitif yang dicatat oleh aplikasi pelacakan kontak yang dibangun di Google dan API Apple. Hal ini diungkapkan oleh peneliti keamanan beberapa waktu yang lalu.

AppCensus, perusahaan rintisan yang berbasis di AS yang mengkhususkan diri dalam menganalisis praktik privasi aplikasi Android, diberikan dana hampir 200.000 dollar AS oleh Departemen Keamanan Dalam Negeri awal tahun ini untuk menguji dan memvalidasi keandalan aplikasi pelacakan kontak.

Peneliti AppCensus menemukan bahwa ponsel Android mencatat data dari aplikasi yang menggunakan Google dan Apple’s Exposure Notifications System (ENS), merekam informasi pelacakan kontak utama dalam log sistem perangkat yang digunakan untuk tujuan debugging dan biasanya tempat aplikasi menerima informasi tentang analitik pengguna dan laporan kerusakan.

Tidak semua aplikasi dapat membaca log sistem, namun di Android, Google mengizinkan beberapa produsen perangkat keras, operator jaringan, dan mitra komersial untuk memasang aplikasi dengan hak istimewa terlebih dahulu. Bagian dari hak istimewa ini adalah akses ke log sistem.

Dalam ponsel Xiaomi Redmi Note 9 (stok), misalnya, 54 aplikasi diizinkan untuk membaca log sistem, sementara ini kasus 89 aplikasi di Samsung Galaxy A11. Mereka sekarang menerima informasi medis dan sensitif pengguna lainnya sebagai hasil dari penerapan Google.

Google dan Apple bersama-sama merilis ENS tahun lalu, sebagai cara membantu otoritas kesehatan di seluruh dunia dalam membangun aplikasi pelacakan kontak yang kompatibel dengan keharusan privasi yang, menurut kedua perusahaan, menopang ekosistem Android dan iOS.

API yang dikembangkan oleh Apple dan Google memungkinkan pemerintah membuat aplikasi pelacakan kontak terdesentralisasi yang mengandalkan sinyal Bluetooth.

Sejumlah besar pengguna kini telah mengunduh aplikasi pelacakan kontak yang dibuat berkat Apple dan Google ENS. Di Inggris, aplikasi NHS COVID-19 diunduh lebih dari 21 juta kali, misalnya, sementara aplikasi CoronaWarn Jerman digunakan oleh lebih dari 25 juta penduduk.

Temuan AppCensus sekarang menunjukkan bahwa janji privasi yang dibuat oleh kedua raksasa teknologi tersebut memiliki beberapa kekurangan. AppCensus timnya menemukan bahwa RPI yang disiarkan dan yang didengar dapat ditemukan di log sistem ponsel Android dan untuk RPI yang didengar, perangkat juga mencatat alamat MAC Bluetooth saat ini dari perangkat pengirim.

Meskipun RPI dan alamat MAC Bluetooth acak dan anonim, AppCensus mengidentifikasi beberapa cara agar data dapat digunakan dan dihitung untuk melakukan serangan privasi.

Dikombinasikan dengan kumpulan data yang berbeda, RPI dapat digunakan untuk mengetahui apakah pengguna telah dites positif COVID-19, apakah mereka telah melakukan kontak dengan orang yang terinfeksi, atau bahkan – dengan akses ke beberapa log sistem pengguna apakah dua orang bertemu satu sama lain.

Dalam kasus ini, perbaikannya mudah, yang diperlukan Google adalah menghentikan ENS dari pencatatan data di log sistem perangkat.Joel Reardon dari AppCensus menekankan bahwa masalahnya bukanlah cacat yang melekat pada pelacakan kontak, melainkan kesalahan implementasi dalam sistem.

Sumber : ZDNet