Cyberthreat.id – Peneliti menemukan kerentanan pada aplikasi Guardian milik Truecaller yang diluncurkan minggu lalu. Kerentanan itu dapat membocorkan data lokasi langsung (real time) penggunanya.

Guardian merupakan aplikasi terbaru yang diluncurkan oleh Truecaller pada 3 Maret lalu. Aplikasi ini dimaksudkan agar pengguna dapat membagikan lokasi secara real time dengan seseorang yang terpercaya ketika mereka sedang dalam bahaya. Kontak yang dipilih dari daftar nomor telepon di ponsel ini semacam "pengawal pribadi" secara langsung dari jarak jauh saat dibutuhkan.

Dikutip dari ET CISO, tak lama setelah diluncurkan, seorang peneliti keamanan asal Bengaluru, India, bernama Anand Prakash melaporkan adanya celah keamanan pada aplikasi itu.

Prakash yang juga pendiri startup keamanan siber Pingsafe, mengatakan, kerentanan yang ada pada Guardians memungkinkan penyerang potensial bisa masuk ke akun korban hanya dengan menggunakan nomor telepon mereka.

Setelah itu, penyerang dapat mengambil kendali penuh atas akun dan data yang terkait dengannya, bahkan dapat menambahkan kontaknya sendiri atau siapa pun sebagai kontak terpercaya ke profil target. Peretas juga dapat mengakses informasi terkait lokasi langsung keluarga atau kontak darurat, tanggal lahir korban, dan foto profil.

Setelah menemukan kerentanan tersebut, Prakash langsung melaporkannya pada 4 Maret. Menurut Prakash, kerentanan itu mungkin terjadi karena kesalahan API (antarmuka pemograman aplikasi) dasar. Di mana, jika ada masalah dengan API, data dapat diakses di dalam situs web dan perangkat lunak yang biasanya tidak dapat diakses secara terbuka.

“Saat diluncurkan, saya langsung mulai melihat-lihat aplikasinya. Dalam beberapa menit, saya dapat menemukan masalah ini di aplikasi. Saya memilih 'API Masuk' pada aplikasi dan memasukkan nomor telepon orang lain dan dapat masuk ke akun orang tersebut. Kami mereplikasi masalah ini pada nomor lain dan melaporkannya ke Truecaller. Mereka mengakuinya dan kami mendapat konfirmasi yang mengatakan bahwa masalah tersebut telah diperbaiki,” ungkap Prakash.

Prakash mengkategorikan masalah tersebut sebagai kerentanan "Referensi Objek Langsung yang Tidak Aman" dalam istilah teknologi. Hal tersebut seringkali terjadi karena perusahaan cenderung melewatkan masalah mendasar seperti itu bahkan setelah penilaian keamanan yang ketat. Dampak dari masalah tersebut sangat besar dan berdampak pada privasi pelanggan.

Sementara itu, juru bicara Truecaller, telah mengonfirmasi kerentanan tersebut dan telah memperbaikinya.

“Kami sangat peduli dengan keamanan di Guardians dan kami menyambut baik setiap komentar atau saran untuk perbaikan. Kadang-kadang, peneliti keamanan seperti Anand Prakash menghubungi kami jika mereka menemukan sesuatu yang salah dan kami memastikan untuk memverifikasi setiap kiriman tersebut dengan sangat hati-hati. Dalam hal ini, masalah terjadi karena konfigurasi pengembangan yang diluncurkan secara tidak sengaja selama fase peluncuran,” ungkap juru bicara Truecaller.

Juru bicara Truecaller menambahkan, perbaikan sudah dilakukan untuk memastikan keamanan pengguna. Pihaknya juga secara rutin melakukan pengujian ekstensif untuk memastikan pengguna dan datanya tetap aman.[]

Editor: Yuswardi A. Suud