Bagaimana Aplikasi Secara Diam-diam Memata-matai Anda Dengan Pelacak Pihak Ketiga

Saat Anda menginstal suatu aplikasi, aplikasi itu mulai mencari dan mengganggu data Anda. Ia meminta izin untuk mengakses internal ponsel Anda, meminta Anda mendaftarkan beberapa informasi pribadi — Anda pasti tahu caranya.

Namun, tidak peduli seberapa hemat dan waspada Anda dalam setiap langkah, masih ada satu cara sebagian besar aplikasi akhirnya secara diam-diam menambang data Anda.

Setiap aplikasi dikemas dengan serangkaian apa yang secara teknis disebut Perangkat Pengembangan Perangkat Lunak (SDK). Untuk memahami hal ini dengan lebih baik, bayangkan sebuah aplikasi sebagai rumah Lego — dengan setiap blok bertindak sebagai satu modul kunci.

Pengembang memprogram blok-blok yang unik untuk aplikasi mereka, seperti desain dan fungsinya. Namun komponen seperti periklanan dan analitik biasanya tidak dibuat sendiri. Untuk itu, mereka beralih ke pihak ketiga yang sudah menawarkan layanan tersebut. Yang perlu dilakukan pengembang hanyalah menyambungkannya ke aplikasi mereka.

SDK dirancang, seperti yang Anda asumsikan, untuk mempercepat pengembangan dan menghilangkan upaya yang berlebihan. Namun akhir-akhir ini, entitas kecil ini telah berkembang menjadi celah penting dalam pencarian privasi karena perusahaan telah menyalahgunakannya untuk menyedot data pribadi pengguna meskipun mereka tidak seharusnya melakukannya.

Merugikan privasi

Sebuah Studi Universitas Oxford menemukan bahwa hampir sepertiga dari semua aplikasi di Play Store ditautkan ke setidaknya 10 SDK pihak ketiga dan satu di lima orang berbagi data pengguna dengan 20 SDK. Angka tersebut meningkat secara eksponensial pada aplikasi gratis berskala besar. Misalnya, sesuai Sinyal Perkasa, sebuah perusahaan intelijen seluler, Tinder terhubung dengan 51 SDK, Airbnb memiliki 41, dan ESPN memiliki 40.

Mayoritas SDK mengumpulkan data yang biasanya tidak Anda anggap penting. Mereka melacak apa yang Anda ketuk di dalam aplikasi, area di mana Anda menghabiskan sebagian besar waktu Anda, iklan mana yang berinteraksi dengan Anda, dan banyak lagi. Namun praktik yang tampaknya tidak berbahaya ini bisa sangat merugikan privasi Anda jika Anda melihat bagaimana semua data tersebut sesuai dengan gambaran yang lebih luas.

Studi Oxford juga mengungkapkan bahwa 88% aplikasi yang diteliti dapat mengirimkan data ke perusahaan-perusahaan yang pada akhirnya dimiliki oleh Alphabet (induk Google) dan 43% ke layanan milik Facebook.

Perusahaan seperti Facebook dan Google sudah mengetahui sedikit tentang Anda, dan dengan memanfaatkan ratusan ribu aplikasi melalui SDK, mereka dapat menyempurnakan profil digital Anda di database mereka dan melayani Anda sesuai target iklan. Misalnya, jika Anda sedang hamil dan telah menginstal aplikasi terkait kehamilan, Google atau Facebook berpotensi mulai menampilkan iklan produk bayi kepada Anda berdasarkan informasi baru ini.

Data pribadi ditambang

Pengembang cenderung membenarkan semua SDK ini dengan mengklaim bahwa data disimpan secara anonim dan informasi pribadi seperti nomor telepon Anda tidak pernah dibagikan.

Namun kenyataannya, bisnis besar memiliki kemampuan untuk memasukkan data terkecil sekalipun ke profil digital Anda. Aplikasi ini mungkin tidak memberi tahu SDK nama atau alamat email Anda, namun perusahaan teknologi dapat mengetahuinya sendiri dengan melakukan pemrosesan silang menggunakan pengetahuan yang mereka miliki.

Aplikasi tidak selalu hanya membagikan data anonim dengan SDK. Peneliti Kaspersky Lab, Roman Unuchek ditemukan 4 juta Android aplikasi mengirimkan data profil pengguna yang tidak terenkripsi – termasuk nama, pendapatan, nomor telepon, alamat email, dan, misalnya, koordinat GPS – ke server pengiklan.

Beberapa minggu yang lalu, investigasi Electronic Frontier Foundation (EFF). menemukan bahwa empat perusahaan analitik dan pemasaran mengumpulkan informasi seperti nama, alamat IP pribadi, operator jaringan seluler, pengidentifikasi persisten, dan data sensor dari Amazon Aplikasi dering.

Dua SDK yang disoroti EFF – Appsflyer dan Facebook Graph – dapat ditemukan di banyak aplikasi, dan para ahli mengatakan kemungkinan besar mereka juga mengumpulkan kumpulan data serupa dari aplikasi lain.

Dalam sebuah pernyataan, juru bicara Appsflyer mengatakan perusahaan tersebut bukanlah broker data dan “tidak membangun penargetan profil, tidak menjual data, dan tidak menggunakan data pribadi pengguna aplikasi apa pun untuk tujuannya sendiri.”

“Beberapa perusahaan analitik memberi pengembang aplikasi kendali yang baik atas informasi apa yang disampaikan, namun sepertinya ini merupakan asumsi yang bagus untuk aplikasi lain akan memberikan jumlah data sensitif yang sama jika mereka menyertakan perpustakaan yang sama,” William Budington, penulis investigasi EFF, mengatakan kepada Digital Tren.

Sejumlah SDK yang saat ini memainkan peran penting dalam pengembangan aplikasi sering kali tidak menyatakan dengan jelas cara mereka menangani data pengguna. Dalam beberapa kasus, pengembang mengabaikan dan melewatkan pemeriksaan cara kerja SDK, sehingga membahayakan keamanan pengguna.

“Sayangnya, sebagian besar pengembang mungkin tidak tahu … betapa mengganggunya SDK tertentu ketika membuat perangkat lunak mereka sendiri, sementara pengguna sama sekali tidak menyadarinya. fakta bahwa, ketika menjalankan aplikasi seluler, mungkin ada lusinan organisasi lain yang berpotensi mengumpulkan data sensitif dan pribadi,” kata Narseo Vallina-Rodriguez, seorang ilmuwan peneliti di divisi Jaringan dan Keamanan Institut Ilmu Komputer Internasional dan anggota tim yang dikembangkan lumen, sebuah aplikasi itu monitor ke SDK mana ponsel Anda mengirimkan data.

Informasi penting terkubur

Hambatan lain yang memungkinkan SDK mengamuk adalah bahwa persetujuan mereka umumnya terkubur jauh di dalam diri mereka Kebijakan Privasi suatu aplikasi dan sering kali, pengembang gagal menggarisbawahi secara eksplisit apa yang diberikan pengguna ke atas. Selain itu, pengaturan keamanan aplikasi tidak berlaku untuk SDK pihak ketiga, sehingga pengguna tidak mempunyai pilihan lain.

“Faktanya, terdapat bukti yang menunjukkan bahwa apa yang dilaporkan oleh banyak aplikasi mengenai kebijakan privasi mereka menawarkan hal tersebut gambaran yang tidak lengkap tentang runtime aktual dan perilaku pengumpulan datanya,” tambah Narseo Vallina-Rodriguez.

Hingga Android 10, SDK bahkan dapat berbagi izin antara dua aplikasi yang tidak terkait. Oleh karena itu, katakanlah aplikasi A memiliki izin lokasi dan B tidak dan keduanya dilengkapi dengan SDK yang sama, ada kemungkinan besar B dapat memanfaatkan izin lokasi A dan mengumpulkan data GPS Anda.

Berbeda dengan browser, Anda juga tidak bisa begitu saja memblokir pelacak aplikasi. Satu-satunya pilihan Anda adalah melalui pengaturan aplikasi dan pastikan untuk menghapus centang Kumpulkan data untuk analisis kotak jika ada.

Anda juga dapat mulai menggunakan aplikasi web di ponsel Anda melalui browser, yang memungkinkan Anda memblokir pelacak dengan alat bawaan browser. Sebagian besar aplikasi terkemuka seperti Instagram dan Tinder menawarkan aplikasi web serupa yang sebagian besar berfungsi seperti aplikasi seluler biasa. Dalam prosesnya, Anda juga akan menghemat banyak penyimpanan dan RAM.

Privasi Anda hanya sekuat tautan terlemah di seluruh rantai aplikasi, dan di ponsel, tautan tersebut adalah SDK. Dan sayangnya, Anda tidak dapat melakukan apa pun selain beralih ke aplikasi yang menjanjikan keamanan lebih untuk data Anda. Mudah-mudahan, di versi Android dan iOS mendatang, Google dan Apple akan memperkenalkan perlindungan yang lebih baik terhadap pelacak pihak ketiga.

Rekomendasi Editor

• Aplikasi penipuan licik ini membuktikan bahwa Mac tidak antipeluru
• Chip M1 Apple memiliki kekurangan, tetapi Anda tidak perlu khawatir
• Aplikasi ini menggunakan A.I. untuk mengotomatiskan hidup Anda dan menghemat waktu Anda
• Microsoft memperbarui aplikasi Outlook-nya untuk meningkatkan kinerja di luar jam kerja
• Aplikasi Office baru Microsoft mengisyaratkan potensi Surface Duo