Cyberthreat.id – Selama ini yang menjadi fokus peneliti keamanan siber adalah aplikasi seluler yang diinstal di ponsel pintar (smartphone). Sangat jarang ada yang meneliti bagaimana sistem operasi (OS) ponsel pintar bekerja, termasuk aplikasi sistem bawaan (pra-instal).

Padahal, sistem operasi seluler selalu berkomunikasi dengan server vendor untuk memeriksa pembaruan. Juga, aplikasi pra-instal dapat diberikan izin yang ditingkatkan yang tidak dimiliki aplikasi biasa yang diinstal pengguna. Aplikasi pra-instal juga kadang disediakan oleh pihak ketiga, seperti paket aplikasi Google, Microsoft, Facebook, dan lain-lain.

Peneliti menemukan bahwa perangkat yang dikonfigurasi secara minimal, bahkan ketika perangkat dalam keadaan diam (idle), ternyata varian Android yang dikembangkan Samsung, Xiaomi, Huawei, dan Realme, “mengirimkankan sejumlah besar informasi ke pengembang sistem operasi dan pihak ketiga (Facebook, Google, Microsoft, LinkedIn dll) yang memiliki aplikasi sistem yang telah diinstal sebelumnya,” tutur peneliti.

Pengumpulan data itu tetap berjalan meski pengguna telah memilih keluar (opt out) dari pengumpulan data/telemetri/analisis dan tidak menggunakan layanan yang ditawarkan vendor. Data ini ditandai dengan long-lived identifiers yang mengikatnya ke perangkat, termasuk di seluruh pengaturan ulang pabrik.

Penelitian gabungan itu dilakukan oleh Haoyu Liu dan Paul Patras dari Universitas Edinburg dan Douglas J. Leith dari UK Trinity College Dublin di Irlandia.

Hasil riset tersebut diterbitkan pada 6 Oktober lalu dengan judul “Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets” (cek PDF). Selama riset mereka menggunakan perangkat yang dijual di Eropa. Oleh karenanya, kata peneliti, kemungkinan ada perbedaan pengumpulan data pada model perangkat di negara lain.

---

---

Peneliti mengatakan dalam praktik pengumpulan data sulit membedakan antara diagnostik untuk perangkat lunak yang ada dan pengujian beta untuk fitur/perangkat lunak baru/diperbarui.

“Perlu dicatat, sulit untuk melihat mengapa pengumpulan data untuk diagnostik tidak dapat dilakukan dengan cara sepenuhnya anonim, tap menggunakan long-lived identifiers,” tulis peneliti.

Data yang dikumpulkan

Peneliti mengatakan secara umum ada tiga kategori data yang dikumpulkan, yaitu (1) pengidentifikasi perangkat/pengguna, (2) data konfigurasi perangkat, dan (3) data pencatatan peristiwa/telemetri.

“Kami mengamati bahwa sebagian besar koneksi dari perangkat ditandai semacam pengenal...jenis pengidentifikasi ini bersifat sementara, berumur pendek, sulit untuk dihubungkan ke perangkat tertentu dan membawa sedikit risiko privasi,” tutur peneliti.

Namun, ada pula pengidentifikasi perangkat yang dapat disetel ulang dan dapat ditautkan kembali ke perangkat, jenis yang satu ini besifat umur panjang.

Kedua, data konfigurasi perangkat. Umumnya, kata peneliti, membawa sedikit risiko privasi. Data ini diperlukan saat memeriksa pembaruan perangkat lunak dan memiliki versi aplikasi yang tepat untuk dipasang.

Namun, vendor mengetahui  detail semua aplikasi yang diinstal pada perangkat. “Ini berpotensi menjadi informasi sensitif karena kumpulan aplikasi yang diinstal cenderung unik untuk setiap perangkat dan karenanya bertindak sebagai sidik jari perangkat (bila dikombinasikan dengan data konfigurasi perangkat keras/sistem,” kata peneliti.

“Tidak jelas mengapa pengumpulan data ini diperlukan (jikah hanya memeriksa pembaruan aplikasi atau untuk memindai malware, maka ini dapat dilakukan secara anonim dan tanpa mengungkap set lengkap aplikasi yang diinstal di perangkat).”

Ketiga, data pencatatan peristiwa/telemetri. Menurut peneliti, Samsung dan Xiaomi sama-sama mencatat data interaksi pengguna dengan perangkat, begitu pula aplikasi sistem pihak ketiga (Google dan Microsoft).

“Beberapa pencatatan peristiwa mungkin masuk akal, misal, untuk memungkinkan deteksi dini masalah kinerja aplikasi (pengosongan baterai yang berlebihan, pengoperasian yang lambat, dll.),” peneliti menjelaskan.

“Tetapi, pencatatan aktivitas secara mendetail yang sedang berlangsung di handset, khususnya aktivitas pengguna, dapat dengan cepat menjadi mengganggu dan menjadi masalah privasi yang serius.”

Peneliti menyebut Xiaomi mengumpulkan data ini begitu besar meski saat pengiriman dienkripsi dua kali: pertama data dienkripsi AES, lalu saat pengiriman menggunakan koneksi HTTPS. Namun, peneliti berhasil mendekripsinya dan menemukan data dicap sesuai waktu dan urutan kejadian. Contoh, peristiwa setiap pembukaan dan penutupan jendela aplikasi.

Sementara, keyboard Swiftkey Microsoft pada perangkat Huawei mencatat telemetri, terutama ketika keyboard digunakan dalam aplikasi—maka nama aplikasi, jumlah karakter, dan stempel waktu dikirim.

Dengan cara ini, misalnya, ketika digunakan di bilah pencarian, aplikasi kontak dan perpesanan juga dicatat dan dengan demikian dapat dengan mudah mengungkapkan informasi terperinci tentang penggunaan handset pengguna, tulis peneliti.

Beberapa aplikasi sistem Samsung menggunakan Google Analytics untuk mencatat peristiwa interaksi pengguna, termasuk jendela/aktivitas yang dilihat plus durasi dan stempel waktu.

Selain meneliti Android OS keempat vendor terkemuka itu, peneliti juga memeriksa varian Android sumber terbuka LineageOS dan /e/OS. Hasilnya, LineageOS tetap mengirimkan volume data yang serupa ke Google. Sementara, /e/OS tidak mengirimkan informasi ke Google atau pihak ketiga lain, atau tidak mentransfer data apa pun kepada pengembang /e/OS.

Latar belakang peneliti meneliti sistem operasi didasarkan oleh apakah aplikasi seluler mengungkapkan informasi sensitif (profil pengguna, pelacakan lokasi, profil perilaku, dll) ke peladen (server) back-end terkait.

“Kami mencegat dan menganalisis lalu lintas data yang dikirim Android OS, termasuk oleh aplikasi sistem yang telah diinstal sebelumnya, dalam beberapa skenario,” tulis peneliti.

Dalam riset tersebut, ponsel yang diteliti tidak ditambah oleh aplikasi lain, artinya ponsel masih dalam kondisi dengan aplikasi bawaan.[]