Opini  

Mencegah Penyalahgunaan Data dan Privasi Oleh Aplikasi

Dr (Cand) Yudi Prayudi SSi M.Kom, Kepala Pusat Studi Forensika Digital FTI UII

BERNASNEWS.COM – RATA-rata pengguna smartphone saat ini memiliki antara 60 sampai dengan 90 aplikasi yang terpasang di perangkat mereka. Sebagian besar aplikasi ini meminta informasi tentang Anda dan perangkat yang Anda gunakan. Secara sederhana, setiap aplikasi barangkali ingin mendapatkan informasi riil tentang penggunanya seperti hal nama, alamat email, nomor handphone atau bahkan alamat nyata Anda.

Namun di balik itu, apabila sebuah aplikasi telah terpasang pada smartphone, maka mereka juga bisa mendapatkan lebih banyak informasi dari itu, seperti lokasi persis Anda. Bahkan beberapa aplikasi akan meminta akses ke daftar kontak, kamera atau mikrofon perangkat. Dalam hal ini perkembangan pesat dari aplikasi mobile telah memunculkan titik lemah baru yang sulit dikendalikan terhadap adanya aktivitas pencurian data pribadi dan privasi.

Secara sadar, melalui term and condition yang disampaikan pada saat awal instalasi, semua aktivitas akses aplikasi tersebut sebenarnya telah mendapat persetujuan pengguna. Istilah next generation adalah guyonan yang diberikan kepada pengguna pada umumnya, dimana lebih senang untuk segera meng-klik tombol next ketika proses instalasi tanpa membaca dengan seksama detail dari term and condition yang disampaikan oleh aplikasi.

Anda mungkin terkejut dengan tingkat akses yang dimiliki beberapa aplikasi ke data pribadi. Data dari Syamantec menunjukkan bahwa 45 persen aplikasi Android paling populer dan 25 persen aplikasi iOS paling populer ternyata meminta akses untuk pelacakan lokasi (Current Location) serta meminta izin untuk mengakses kamera. Beberapa aplikasi Android bahkan meminta akses ke pesan SMS dan log panggilan telepon Anda.

Sebuah penelitian telah dilakukan oleh perusahaan Symantec pada bulan Mei 2018. Dalam penelitian tersebut dilakukan pengujian terhadap aplikasi gratis yang muncul dalam daftar 100 aplikasi gratis di Google Play Store and Apple App Store.

Beberapa temuan dari penelitian tersebut adalah informasi pribadi yang umumnya diminta oleh aplikasi adalah

prosentasi permintaan akses kepada informasi yang beresiko terhadap privasi. Jenis akses beresiko yang diminta oleh aplikasi.

Kepentingan dari aplikasi untuk mengakses informasi lainnya yang beresiko sebenarnya tergantung dari fungsi aplikasi itu sendiri. Aplikasi semacam Gojek / Grab tentunya sangat berkepentingan untuk akses terhadap lokasi pengguna karena akan berhubungan langsung dengan layanan aplikasinya. Tentunya aplikasi semacam Gojek / Grab menjadi sangat tidak relevan ketika meminta akses kedalam gallery foto pengguna karena tidak ada hubungannya dengan layanan aplikasinya itu sendiri.

Penelitian dari infosecurity-magazine terhadap sejumlah aplikasi VPN menunjukkan data bahwa 60 persen dari aplikasi VPN yang tersedia di Playstore ternyata mengindikasikan adanya dangerous permissions terhadap data dan privacy yang tidak terkait langsung dengan fungsi dan layanan VPN itu sendiri.

Salah satu contoh lainnya adalah sebuah aplikasi zodiac/horoscope ternyata memiliki kemampuan untuk akses terhadap beberapa fitur data yang sebenarnya tidak ada kaitannya dengan layanan zodiac. Dalam hal ini adalah akses terhadap precise user location, Access to user’s contacts, Send and receive SMS messages, Receive MMS messages, Permission to directly call phone numbers, Permission to reroute outgoing calls, Access to phone call logs, Access to camera, Read/write contents of USB storage, Read phone status and identity.

Untuk itu maka setidaknya ada 3 hal yang harus diperhatikan oleh setiap pengguna aplikasi ketika mendapatkan permintaan akses terhadap data pribadinya, yaitu memahami dan menyadari apa saja data dan hak akses yang diminta oleh aplikasi.

Sejauh mana pengguna sendiri yakin dan nyaman dengan sharing data dan pemberian hak akses tersebut. Apakah data dan hak akses yang diminta benar-benar relevan dengan fungsi dan layanan dari aplikasi tersebut.

Security policy dari sebuah aplikasi seharusnya dapat diinformasikan kepada pengguna sejak awal, yaitu data apa saja yang dihimpun, dimana menyimpannya dan digunakan untuk apa saja. Aplikasi yang tidak memiliki security policy yang jelas tentunya sangath diragukan kominmennya dalam menjaga keamanan dan privasi data dari pengguna.

Salah satu model pemberian data dan hak akses yang harus diwaspadai adalah terhadap aplikasi-aplikasi yang menerapkan konsep integrasi akun untuk akses terhadap aplikasinya. Untuk mempermudah proses pendaftaran pengguna serta login, maka banyak aplikasi yang memanfaatkan layanan yang diberikan oleh sejumlah aplikasi lainnya untuk melakukan sharing data, istilahnya memanfaatkan ketersediaan application programming interface (API). Misalnya seseorang bisa memiliki akun di Instagram secara mudah dengan cara mengintegrasikannya dengan akun Facebook. Melalui model ini maka secara tidak sadar banyak aplikasi yang mampu mendapatkan informasi lainnya yang telah tersedia dalam aplikasi utamanya tanpa disadari oleh si pemilik akun itu sendiri. Kasus pencurian data Facebook oleh Cambridge Analytica merupakan salah satu contoh dari kasus ini.

Pada penelitian Symantec didapat data bahwa 47 percent dari Android apps dan 29 percent dari iOS apps menerapkan Google integration service, sementara 41 percent dari Android apps dan 26 percent dari iOS apps memanfaatkan Facebook Graph API service untuk proses pendaftaran dan login ke aplikasinya.

Hal yang kemudian sulit untuk diprediksi dan dikontrol adalah keterlibatan pihak ketiga dalam aplikasi yang kita gunakan. Beberapa aplikasi memerlukan aplikasi lainnya agar layanannya bisa berfungsi maksimal atau untuk menambah layanan aplikasinya. Keterlibatan pihak ketiga sangat menentukan sejauh mana data dan hak akses yang telah kita berikan pada aplikasi tersebut dishare kepada pihak lainnya. Tentunya pihak ketiga ini memiliki kebijakan tersendiri dalam hal data dan privasi.

Dalam banyak kasus, sebagian besar aplikasi melepaskan diri dari tanggung jawab penggunaan data oleh pihak ketiga. Misalnya, ketika kita menjalankan aplikasi Facebook, maka tersedia pilihan untuk bermain game yang dikelola oleh pihak lainnya. Sejauh mana informasi milik kita yang di share kepada pihak ketiga serta kemampuan pihak ketiga dalam mengumpulkan data-data yang berada pada aplikasi lainnya umumnya tidak dapat dikontrol langsung oleh pengguna. Karena itu sangatlah penting untuk berhati-hati dalam mengkoneksikan aplikasi kita dengan aplikasi pihak ketiga.

Pada penelitian Symantec menujukkan bahwa dari aplikasi berbasis android yang meminta akses terdapat data dan hak beresiko ternyata 40% diantaranya terkoneksi dengan aplikasi pihak ketiga. Sementara untuk iOS hanya 16%. Penelitian dari Oxford bahkan menyampaikan analisa bahwa hampir 90% apps memiliki kemampuan untuk melakukan transfer data kepada pihak ketiga yang berlokasi di USA, kemudian 5% pihak ketiga yang berlokasi di China dan 3% berlokasi di Rusia.

Langkah praktisi untuk mengamankan data dan privasi dari aplikasi yang akan diintall adalah membaca dengan cermat permission yang diperlukan untuk menjalankan aplikasi tersebut. Berpikir dengan baik, apakah data dan permission yang diminta oleh aplikasi terkait langsung dengan fungsi dan layanan aplikasi tersebut atau tidak. Bila ternyata terdapat permintaan data dan akses yang tidak relevan maka sebaiknya aplikasi tersebut tidak dilanjutkan proses instalasinya.

Pelajari dengan baik statemen tentang security dan privacy policy. Apa saja data yang dihimpun, dimana dan digunakan untuk apa saja menjadi ukuran sejauh mana pengembang aplikasi tersebut memiliki komitmen dalam hal menjaga data dan privasi penggunanya. Bila informasi ini tidak ditemukan maka sebaiknya proses instalasi aplikasi tersebut dihentikan.

Harus diakui bahwa sebagian besar pengguna umumnya tidak pernah membaca dengan baik policy dari sebuah aplikasi. Salah satu alasannya adalah pada sulitnya memahani makna Bahasa yang dituliskan dalam pernyataan term and condiyion dari sebuah aplikasi.

Selanjutnya, bila sejumlah aplikasi telah terinstal dalam perangkat kita, maka hal yang dapat dilakukan untuk menjaga privasi adalah mMelalui menu system, dapat dilihat permission apa saja yang telah diberikan kepada aplikasi. Pada menu ini pengguna dapat mengubah permission yang telah diberikan sebelumnya. Pastikan agar setiap permission memang sesuai dengan kebutuhan aplikasi tersebut. Aplikasi yang baik akan meminta request kepada pengguna setiap fungsi akses ayng diperlukan akan dijalankan. Namun aplikasi yang tidak baik umumnya ketika permission”berubah akan menyebabkan aplikasinya tidak dapat berjalan lagi.

Bila terdapat aplikasi yang telah terinstall namun jarang digunakan atau bahkan tidak lagi digunakan, maka segera lakukan uninstall terhadap aplikasi tersebut.

Sebagai tindakan preventif, maka langkah berikut juga menjadi salah satu langkah yang perlu diperhatikan, yaitu: bila akan membuat akun pada sebuah aplikasi, maka sebaiknya jangan masuk ke aplikasi tersebut menggunakan akun situs media sosial yang kita miliki. Jikapun tetap akan menggunakan akun dari situs medsos, maka periksa data apa saja yang akan diterima aplikasi tersebut dari akun media social kita. Periksa juga sejauh mana profil public kita akan dishare kepada aplikasi tersebut, serta sejauh mana pula data dan informasi dari aplikasi tersebut dapat diakses oleh aplikasi medsos kita. Hal ini akan menjadi salah satu cara untuk mempersempit tersebarnya jejak digital kita di ruang siber.

Selain hal tersebut di atas, yang dapat menjadi indikator bahwa telah terjadi aktivitas illegal yang kemungkinan berkaitan dengan data dan privacy kita adalah dari indikator power device kita. Bila setelah melakukan instalasi aplikasi ternyata ada notifikasi yang mengarah pada menurunnya performance battery dari biasanya serta meningkatnya bandwidth internet, maka hal ini dapat menjadi salah satu indikasi awal adanya aktivitas di luar kontrol dari pengguna. Aktivitas tersebut bisa jadi mengarah pada data serta akses berlebih terhadap device kita.

Dalam hal ini Sophos pernah melakukan kajian pada bulan Desember 2018 dan menemukan 22 aplikasi yang terdaftar pada Google Playstore yang ketika aplikasi tersebut terinstal ternyata berdampak langsung pada performance battery dan diduga karena adanya penggunaan data berlebih yang diindikasi mengarah pada Fraud.

Walaupun didalam list aplikasi resmi seperti pada Google Playstore ataupun Apps Store sendiri tidak ada jaminan 100 persen bahwa aplikasi tersebut dapat dipercaya dan tidak melakukan tindakan yang mengarah pada penggunaan data illegal maupun pelanggatan privacy, namun hal itu jauh lebih aman dibandingkan dengan mengunduh aplikasi dari sumber lainnya.

Secara umum Playstore maupun Apps store memiliki mekanisme yang cukup ketat untuk menjaminkan bahwa aplikasi yang terdaftar padanya memenuhi standard dalam hal proteksi data dan privacy. Sehingga men-download aplikasi dari sumber resmi tetap jauh lebih aman daripada menggunakan aplikasi yang tidak terdaftar didalamnya. Aplikasi yang terdaftar pada situs yang tidak resmi menjadi salah satu sumber dari tersebarnya ransomware, malware, trojan serta aplikasi lainnya yang mengarah pada pelanggaran data dan privasi.

Tujuan marketing dan personalised advertising atau targeted customer, location based advertising adalah merupakan penggunaan terbesar dari data yang dihimpun oleh sebuah aplikasi. Tidaklah heran apabila kita menggunakan aplikasi free, maka banyaknya iklan yang muncul adalah dampak langsung dari ketidak nyamanan yang harus dibayar sebagai kompensasi dari pengguna. Hal ini tentunya menjadi pertimbangan penting ketika kita akan menggunakan aplikasi yang sifatnya free.

Bermuara pada big data

Ibarat sungai dan lautan, maka sekian banyak aplikasi yang tersedia di situs resmi Playstore ataupun App Store ataupun situs tidak resmi lainnya, ibaratnya hanyalah seperti aliran sungai saja. Ada sungai kecil, sungai besar, namun yang jelas muara dari semua sungai adalah lautan yang luas. Semua aplikasi, ibaratnya adalah sungai data, sementara muaranya adalah perusahaan big data.

Perusahaan China yang bergerak pada bisnis Big Data, yaitu Talking Data ternyata terdeteksi menjadi pihak ketiga yang menjadi target berbagai aplikasi untuk memberikan layanan primiun data yang dihimpunnya. Hal ini sama sebenarnya dilakukan pula oleh perusahaan yang bergerak pada bisnis Big Data seperti halnya perusahaan Alphabet Inc yang menjadi holding dari berbagai aplikasi produk dari Google.

Penelitian dari The Financial Times menunjukkan data bahwa salah satu pihak ketiga yang memanfaatkan data dari FaceApp yang sedang heboh ternyata adalah perusahaan Alphabet. Tidak hanya FaceApp, ternyata terdapat 848.373 aplikasi lainnya yang mengoneksikan data yang dikoleksinya untuk perusahaan Alphabet ini.

Hal sama diyakini dilakukan pula oleh aplikasi lainnya seperti halnya Facebook, Twitter, Verizon, Microsoft dan Amazon. Perusahaan big data inilah yang kemudian mengolah semua data yang didapatnya untuk kemudian dimanfaatkan ulang oleh berbagai perusahaan lainnya. Perusahaan konsultan yang memberikan layanan untuk pembukaan bisnis baru, cabang bisnis, lokasi pemasaran adalah salah satu perusahaan yang sangat berkepentingan dengan data-data yang telah diolah oleh perusahaab big data tersebut sehingga dapat memberikan rekomendasi yang tepat terhadap kliennya. (Dr (Cand) Yudi Prayudi SSi M.Kom, Kepala Pusat Studi Forensika Digital FTI UII)

Leave a Reply

Your email address will not be published. Required fields are marked *