Cyberthreat.id -  Aplikasi pinjaman online (pinjol) AdaKami yang telah mendapat predikat sebagai "pinjol legal dan berizin" dari Otoritas Jasa Keuangan (OJK), ternyata meminta akses untuk mencegah penggunanya mematikan ponsel. Permintaan ini tidak lazim ditemukan pada aplikasi pinjol lain.

Hal itu diketahui saat Cyberthreat.id menguji aplikasi tersebut pekan ini.

Seperti umumnya pinjaman online lain, saat hendak diinstal, AdaKami memunculkan permintaan untuk membaca identitas dan status ponsel, ambil gambar dan video, rekam audio, akses lokasi, akses jaringan, dan sambungan Wi-Fi.

Setelah itu, calon peminjam akan diminta untuk mengisi data-data pribadi termasuk mengirim KTP dan foto diri.

Setelah data-data itu diisi, muncul lagi permintaan baru. Pengguna diminta ke menu "Pengaturan" ponsel untuk memberi izin. Namun, tidak disebutkan secara spesifik izin apa yang dimaksud.

"Untuk memperlancar proses peminjaman dan meningkatkan tingkat keberhasilan approval, pastikan untuk mengotorisasi izin (Lihat Penggunaan Aplikasi). Berikut langkah-langkahnya: (1) Klik [ikon AdaKami] di 'Pengaturan Izin'; (2). Pilih (Izinkan), (3). Kembali ke APP untuk melanjutkan meminjam," demikian bunyi pesan yang muncul di layar.

Saat menu 'Pengaturan' dipencet, muncul menu yang judulnya tidak lengkap. Layar ponsel hanya memunculkan kalimat terpotong "Aplikasi yang memiliki otorita...". Di bawahnya muncul beberapa logo termasuk logo AdaKami, namun dalam posisi off. Pengguna diminta untuk menyalakannya. Di luar aplikasi sistem, AdaKami satu-satunya aplikasi yang berada dalam daftar aplikasi yang meminta otorisasi di menu tersebut.

Saat fitur itu hendak dihidupkan, layar ponsel memunculkan peringatan "Izinkan melihat? Jika Anda mengizinkan aplikasi ini untuk melihat data penggunaan, dia akan bisa melihat informasi konvensional yang berkaitan dengan aplikasi pada perangkat Anda, seperti frekuensi penggunaan aplikasi ini."

Sebagai catatan, Google saja selaku pemilik sistem Android, mematikan fitur itu sejak dari setelan pabrik.  

Lantaran di sana tidak disebutkan secara gamblang izin apa yang diminta, pengecekan dilanjutkan ke akses apa saja yang diminta oleh AdaKami di menu 'Pengaturan' ponsel. Ternyata, di luar izin yang diminta pada saat aplikasi diinstal, ada satu akses lagi yang tak lazim terjadi, yaitu izin untuk mencegah ponsel menjadi tidak aktif.  

Jika tidak mengizinkan aplikasi mengakses fitur itu, pengguna tidak dapat mengajukan pinjaman. Saat aplikasi tersebut dibuka lagi keeesokan harinya, AdaKami kembali memunculkan permintaan untuk otorisasi izin.  

Pada Oktober 2020 lalu, Cyberthreat.id menemukan aplikasi AdaKami meminta penggunanya mengunduh  aplikasi lain bernama Sakuget. Pesan dan tautan untuk mengunduh aplikasi baru itu dikirim lewat WhatsApp setelah calon peminjam mengisi data pribadi termasuk nomor ponsel.

Pengecekan  lewat Virustotal.com menemukan aplikasi lain yang diminta untuk diunduh itu mengandung malware. Belakangan, setelah diberitakan Cyberthreat.id, AdaKami tidak lagi mengirimkan pesan untuk mengunduh aplikasi lain yang mengandung malware itu. (Lihat: Menguji Keamanan Aplikasi yang Diminta Unduh Setelah Mendaftar di Pinjol AdaKami, Terdeteksi Ada Malware)

Respon Ketua Satgas Waspada Investasi
Ketua Satgas Waspada Investasi Tongam L Tobing yang dimintai komentarnya oleh Cyberthreat.id mengatakan aplikasi pinjaman online yang legal dan berizin hanya diizinkan untuk mengakses Kamera, lokasi, dan suara.

"Selain itu dilarang," kata Tongam, Rabu (14 Juli 2021).

Ditanya apakah ada sanksi untuk aplikasi yang melanggar aturan itu, Tongam menjawab,"Segera dilaporkan ke asosiasi AFPI (Asosiasi Fintech Pendanaan Bersama Indonesia) dan OJK (konsumen@ojk.go.id) untuk ditindak."

Saat ditanya kembali apakah Satgas Waspada Investasi di bawah pimpinannya punya tim khusus untuk mengaudit aplikasi pinjaman, Tongam tak lagi merespon.

Upaya Konfirmasi ke AdaKami
Cyberthreat.id menghubungi Jaka Dibya Satari dari  bagian Legal AdaKami untuk mengonfirmasi temuan tersebut. Dia kemudian meminta untuk dikirimkan pertanyaan dalam bentuk email ke manajemen, namun belum mendapat balasan hingga berita ini ditayangkan.

"Noted, kami coba pelajari ya," kata Jaka setelah diberitahu email pertanyaan telah dikirim.

Pendapat Pakar Keamanan Siber
Pakar keamanan siber Alfons Tanujaya dari Vaksincom yang dimintai komentarnya mengatakan masih perlu mempelajari izin terselubung yang diminta oleh aplikasi AdaKami.

Terkait adanya permintaan untuk mencegah ponsel dimatikan, Alfons menduga itu semacam deep sleep yang bertujuan supaya ponsel tetap dapat dilacak sekalipun sudah dimatikan.

"Apa pun tujuannya, yang jelas itu melanggar aturan OJK karena hak akses yang dibolehkan hanya kamera. Kalau minta lebih dari itu memang sudah pantas dilaporkan ke OJK dan mendapatkan tindakan," tegas Alfons.[]

Update:
Respon Dirut AdaKami Soal Pemberitaan Izin Akses Terselubung di Aplikasi Pinjolnya