Lebih dari 1.300 Aplikasi Android Tertangkap Mengumpulkan Data Bahkan Jika Anda Menyangkal Izin - Otak Kita

Lebih dari 1.300 Aplikasi Android Tertangkap Mengumpulkan Data Bahkan Jika Anda Menyangkal Izin



Otak Kita - Ponsel pintar adalah tambang emas data sensitif, dan aplikasi modern berfungsi sebagai penggali yang terus-menerus mengumpulkan setiap informasi yang mungkin dari perangkat Anda.

Model keamanan sistem operasi seluler modern, seperti Android dan iOS, terutama didasarkan pada izin yang secara eksplisit menentukan layanan sensitif, kemampuan perangkat, atau informasi pengguna yang dapat diakses aplikasi, memungkinkan pengguna memutuskan aplikasi apa yang dapat diakses.

Namun, temuan baru oleh tim peneliti di International Computer Science Institute di California mengungkapkan bahwa pengembang aplikasi seluler menggunakan teknik teduh untuk memanen data pengguna bahkan setelah mereka menolak izin.

Dalam pembicaraan mereka " 50 Cara untuk Menuangkan Data Anda " [ PDF ] di PrivacyCon yang diselenggarakan oleh Komisi Perdagangan Federal Kamis lalu, para peneliti mempresentasikan temuan mereka yang menguraikan bagaimana lebih dari 1.300 aplikasi Android mengumpulkan data geolokasi yang tepat dan pengidentifikasi telepon pengguna bahkan ketika mereka Sudah secara eksplisit menolak izin yang diperlukan.

    "Aplikasi dapat menghindari model izin dan mendapatkan akses ke data yang dilindungi tanpa persetujuan pengguna dengan menggunakan saluran rahasia dan samping," tulis para peneliti.
    "Saluran ini terjadi ketika ada cara alternatif untuk mengakses sumber daya yang dilindungi yang tidak diaudit oleh mekanisme keamanan, sehingga membuat sumber daya tidak terlindungi." 


Para peneliti mempelajari lebih dari 88.000 aplikasi dari Google Play store, 1.325 di antaranya ditemukan melanggar sistem izin dalam sistem operasi Android dengan menggunakan solusi tersembunyi yang memungkinkan mereka untuk mencari data pribadi pengguna dari sumber seperti metadata yang disimpan dalam foto dan Wi-Fi koneksi.

Data Lokasi - Misalnya, peneliti menemukan aplikasi pengeditan foto, yang disebut Shutterfly, yang mengumpulkan data lokasi perangkat dengan mengekstraksi koordinat GPS dari metadata foto, sebagai saluran samping, bahkan ketika pengguna menolak memberikan izin aplikasi untuk akses data lokasi.

"Kami mengamati bahwa aplikasi Shutterfly (com.shutterfly) mengirimkan data geolokasi yang tepat ke servernya sendiri (apcmobile.thislife.com) tanpa memegang izin lokasi."

Selain itu, perlu dicatat bahwa jika suatu aplikasi dapat mengakses lokasi pengguna, maka semua layanan pihak ketiga yang tertanam dalam aplikasi itu juga dapat mengaksesnya.

Pengidentifikasi Telepon - Selain itu, para peneliti menemukan 13 aplikasi lain dengan lebih dari 17 juta instalasi yang mengakses IMEI ponsel, pengidentifikasi telepon persisten, disimpan tanpa perlindungan pada kartu SD ponsel oleh aplikasi lain.

    "Android melindungi akses ke IMEI ponsel dengan izin READ_PHONE_STATE. Kami mengidentifikasi dua layanan online pihak ketiga yang menggunakan berbagai saluran rahasia untuk mengakses IMEI ketika aplikasi tidak memiliki izin yang diperlukan untuk mengakses IMEI." 


Menurut peneliti, perpustakaan pihak ketiga yang disediakan oleh dua perusahaan China, Baidu dan Salmonads juga menggunakan teknik ini sebagai saluran rahasia untuk mengumpulkan data yang seharusnya tidak mereka akses.

Alamat Mac - Aplikasi lain ditemukan menggunakan alamat MAC dari titik akses Wi-Fi untuk mengetahui lokasi pengguna. Aplikasi yang berfungsi sebagai remote control pintar, yang jika tidak memerlukan informasi lokasi berfungsi, ditemukan mengumpulkan data lokasi dengan cara ini.

    "Kami menemukan perusahaan yang mendapatkan alamat MAC dari BTS Wi-Fi yang terhubung dari cache ARP. Ini dapat digunakan sebagai pengganti untuk data lokasi. Kami menemukan 5 aplikasi yang mengeksploitasi kerentanan ini dan 5 dengan kode terkait untuk melakukannya," peneliti menulis.
    "Selain itu, mengetahui alamat MAC dari router memungkinkan seseorang untuk menautkan berbagai perangkat yang berbagi akses Internet, yang dapat mengungkapkan hubungan pribadi oleh pemiliknya masing-masing, atau mengaktifkan pelacakan lintas-perangkat." 


Dalam studi mereka, para peneliti berhasil menguji aplikasi ini pada versi instrumen Android Marshmallow dan Android Pie.

Para peneliti melaporkan temuan mereka ke Google September lalu, dan perusahaan membayar bug kepada timnya untuk mengungkapkan masalah secara bertanggung jawab, tetapi sayangnya, perbaikannya akan diluncurkan dengan rilis Android Q, yang dijadwalkan akhir musim panas ini.

Pembaruan Android Q akan mengatasi masalah dengan menyembunyikan data lokasi dalam foto dari aplikasi pihak ketiga serta membuatnya wajib bagi aplikasi yang mengakses Wi-Fi untuk memiliki izin untuk mengakses data lokasi.

Sampai saat itu, pengguna disarankan untuk tidak mempercayai aplikasi pihak ketiga dan mematikan pengaturan lokasi dan izin ID untuk aplikasi yang sebenarnya tidak membutuhkannya agar berfungsi. Copot pemasangan aplikasi apa pun yang tidak Anda gunakan secara teratur.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel