Sebuah studi menyeluruh dari 17.260 aplikasi Android mengungkapkan bahwa sementara beberapa aplikasi secara tidak sengaja mengambil screenshot layar pengguna dan mengunggahnya secara online, tidak ada bukti yang menunjukkan bahwa aplikasi diam-diam menyalakan mikrofon atau kamera ponsel untuk memata-matai pemilik perangkat di balik layar mereka.
Penelitian yang dilakukan oleh akademisi dari Northwestern University dan University of California, Santa Barbara, menganalisis perilaku aplikasi populer yang tersedia di Google Play Store resmi juga toko aplikasi pihak ketiga.
Lebih tepatnya, tim peneliti melihat 15.627 aplikasi dari Google Play Store resmi, 510 aplikasi dari AppChina, 528 aplikasi dari Mi.com, dan 285 aplikasi dari portal Anzhi.
Peneliti menganalisis setiap kode dan perilaku aplikasi untuk mendeteksi:
- Apa dan berapa banyak aplikasi yang meminta izin untuk mengakses kamera dan mikrofon ponsel
- Aplikasi apa saja yang menyertakan kode yang memanggil fungsi-fungsi API khusus untuk koleksi multimedia (kode yang memanggil ke API audio, API kamera, atau API penangkap layar)
- Dan apa referensi API ini (jika ada) ada dalam kode dari pengembang aplikasi atau di library pihak ketiga yang ada di dalam aplikasi.
Sebagian besar aplikasi memiliki hak akses tanpa menggunakannya
Apa yang ditemukan peneliti adalah bahwa sejumlah besar aplikasi meminta izin untuk mengakses sumber daya multimedia secara umum, tetapi hanya sebagian kecil yang benar-benar memanggil metode yang menggunakan izin tersebut.
“Ketidakkonsistenan ini meningkatkan potensi risiko privasi bagi pengguna: izin yang sebelumnya tidak digunakan dapat dimanfaatkan oleh kode pihak ketiga baru yang termasuk pengembang dalam suatu aplikasi,” kata para peneliti. “Selanjutnya, kode pihak ketiga yang tidak memiliki izin untuk menggunakan multimedia dalam satu versi aplikasi dapat mulai mengeksploitasi izin yang diberikan untuk versi aplikasi yang akan datang untuk tujuan yang tidak-tidak.”
Tetapi kabar baiknya adalah bahwa dari 17.260 aplikasi yang mereka analisis, tim peneliti mengatakan hanya menemukan 21 yang merekam dan mengirim data multimedia melalui koneksi jaringan mereka.
Dari 21 ini, 12 aplikasi membocorkan data baik dengan mengirimkan informasi dalam plaintext (HTTP) atau dengan kesalahan pengkodean yang mengambil screenshot layar pengguna dan mengunggahnya secara online.
Sisa dari sembilan kebocoran adalah kasus di mana aplikasi mengunggah gambar ke server cloud untuk tujuan pengeditan tetapi tidak secara khusus mengungkapkan hal ini kepada pengguna (masih dianggap kebocoran).
Secara keseluruhan, jumlah kebocoran rendah dibandingkan dengan kumpulan data yang dianalisis, dan peneliti tidak menemukan bukti perilaku berbahaya, seperti merekam audio secara diam-diam melalui mikrofon atau video melalui izin kamera dan kemudian secara diam-diam mengunggahnya secara daring.
Library pihak ketiga adalah tempat bahayanya
Namun para peneliti memang memperingatkan masalah lain. Salah satunya adalah peningkatan penggunaan kode library pihak ketiga. Dalam makalahnya, para peneliti mengatakan bahwa banyak risiko terutama berasal dari library pihak ketiga, yang sering menyalahgunakan izin yang diperoleh aplikasi dari pengguna.
“Kami menemukan risiko privasi yang tidak dilaporkan sebelumnya dari library pihak ketiga. Yaitu, mereka dapat merekam layar dari aplikasi di mana mereka disematkan tanpa memerlukan izin,” kata peneliti. “Aplikasi sering menampilkan informasi sensitif, jadi ini memaparkan pengguna ke pemindaian tersembunyi dan tidak diungkapkan oleh pihak ketiga.”
Para peneliti merilis analisis mereka di situs web Panoptispy, yang juga menjadi homepage salinan makalah penelitian mereka yang berjudul “Panoptispy: Characterizing Audio and Video Exfiltration from Android Applications.”
Loading...
Reload document
Open in new tab 
