Aplikasi Android Bisa Melacak Ponsel, Meskipun Kamu Menolak Izin Akses

Saat kita menginstall aplikasi pada Android yang kita miliki, sering kali kita mendapatkan notifikasi untuk memberikan akses atau mengklik “Allow” terhadap ponsel kita untuk membuka aplikasi tersebut. Dan tentu saja kita lebih memilih menolak akses tersebut demi kenyamanan dan privasi ponsel kita.

Ketika kita sudah mengklik dan memberi tahu aplikasi Android pilihan “Tidak, Anda tidak memiliki izin untuk melacak ponsel saya,” maka tentu saja besar harapan bahwa aplikasi tersebut tidak lagi memiliki kemampuan untuk melacak ponsel kita.

Ternyata, itu salah dan kita tidak bisa terselamatkan dari aplikasi yang bisa melacak ponsel kita tersebut. Para peneliti mengatakan bahwa ada ribuan aplikasi android yang sudah menemukan cara untuk menipu izin Android, menelepon ke rumah pengidentifikasi unik perangkat kita dan menipu data yang cukup untuk berpotensi mengungkapkan lokasi kita.

Bahkan ketika kita sudah mengatakan “tidak” pada satu aplikasi yang ingin mendapatkan akses ke ponsel kita sementara pada aplikasi kedua sudah kita beri izin dan disetujui sehingga hal tersebut bisa memungkinkan aplikasi yang diberi akses berbagi dengan aplikasi lainnya dalam media penyimpanan yang sama sehingga juga bisa berpotensi adanya aplikasi jahat bisa membacanya.

Mungkin kedua aplikasi tersebut terlihat tidak memiliki kaitan, namun para peneliti mengatakan hal itu dapat terjadi karena aplikasi tersebut dibangun menggunakan Software Development Kits (SDK) yang sama, mereka bisa mengakses data tersebut dan ada bukti bahwa pemilik SDK menerimanya. Ini bisa kita umpamakan ketika anak kecil yang meminta makanan namun kita mengatakan “tidak” dan dia berusaha meminta kepada orang lain yang sudah memilikinya.

Menurut sebuah penelitian yang dipresentasikan di PrivacyCon 2019 , kita berbicara tentang aplikasi dari orang-orang seperti Samsung dan Disney yang telah diunduh ratusan juta kali. Mereka menggunakan SDK yang dibuat oleh raksasa pencarian Cina Baidu dan sebuah perusahaan analitik bernama Salmonads yang dapat meneruskan data kita dari satu aplikasi ke aplikasi lain (dan ke server mereka) dengan menyimpannya secara lokal di ponsel kita terlebih dahulu. Para peneliti melihat bahwa beberapa aplikasi menggunakan Baidu SDK mungkin berusaha untuk diam-diam mendapatkan data ini untuk mereka gunakan sendiri.

Hal itu terjadi di samping kerentanan saluran yang ditemukan tim, beberapa diantaranya dapat mengirim kembali alamat MAC unik dari chip dan router jaringan kita, titik akses nirkabel, SSID-nya dan bahkan banyak lagi.

Studi ini juga memilih Shutterfly aplikasi foto dalam mengirim kembali ke server tanpa adanya izin untuk melacak lokasi. Data yang digunakan dari metadata Exif foti kita, meskipun perusahaan membantah bahwa ia mengumpulkan data itu tanpa izin dalam pernyataan kepada CNET  yang dilansir dari TheVerge.

Menurut para peneliti yang mengatakan bahwa mereka menginformasikan kepada Google tentang kerentanan pada Android Q tersebut september lalu, kini sudah ada perbaikan terhadap kerentanan Android tersebut.

Namun, itu mungkin tidak membantu banyak ponsel Android generasi saat ini yang tidak akan mendapatkan pembaruan Android Q. (Per Mei , hanya 10,4 persen perangkat Android yang memasang Android P terbaru, dan lebih dari 60 persen masih berjalan di Android N. yang hampir tiga tahun).

Para peneliti berpikir bahwa Google harus melakukan lebih banyak, mungkin meluncurkan perbaikan terbaru dalam pembaruan keamanan sementara itu karena seharusnya tidak hanya pembeli telepon baru yang mendapatkan perlindungan. Google secara terbuka mengklaim bahwa privasi seharusnya tidak menjadi barang mewah, tapi itu tampaknya yang terjadi di sini, kata Egelman yang dilansir dari Theverge (09/07/19).

Google menolak untuk mengomentari kerentanan spesifik, tetapi itu menegaskan kepada The Verge bahwa Android Q akan menyembunyikan info geolokasi dari aplikasi foto secara default, dan itu akan mengharuskan aplikasi foto untuk memberi tahu Play Store apakah mereka mampu mengakses metadata lokasi.

#GarudaCyber23Juli