Luna VPN, salah satu aplikasi Sensor Tower
Luna VPN, salah satu aplikasi Sensor Tower
Cyberthreat.id - Sensor Tower, platform analitik populer untuk pengembang dan investor teknologi, diam-diam mengumpulkan data dari jutaan orang yang telah menginstal VPN populer dan aplikasi pemblokiran iklan untuk Android dan iOS.
Dilansir dari Buzfeednews, Senin (9 Maret 2020), aplikasi-aplikasi yang telah diunduh lebih dari 35 juta kali itu, tidak mengungkapkan koneksi mereka ke perusahaan. Tak pula memberi tahu pengguna bahwa data mereka disuplai ke Sensor Tower.
Sejak 2015, Sensor Tower telah memiliki setidaknya 20 aplikasi Android dan iOS. Empat di antaranya - Free and Unlimited VPN, Luna VPN, Mobile Data, dan Adblock Focus -- baru-baru ini masih tersedia di Google Play Store (amatan Cyberthreat.id, Luna VPN di Google Play Store terdaftar dengan nama pengembang Emban Networks).
Sementara Apple telah menghapus Adblock Focus dan Luna VPN setelah diberitahu oleh Buzzfeed.
Sensor Tower diketahui menjalankan bisnis utama berupa penjualan data untuk perusahaan bisnis. Salah satu layanannya disebut App Inteligence.
"Dengan App Intelligence, pantau semua aspek etalase global aplikasi Anda, lacak, uji, dan optimalkan strategi kata kunci, dan awasi ketat pesaing Anda," tulis situs resmi Sensor Tower.
Setelah diinstal, aplikasi buatan Sensor Tower meminta pengguna untuk menginstal sertifikat root, file kecil yang memungkinkan pembuat aplikasi mengakses semua lalu lintas dan data yang terhubung ke telepon selular pengguna.
Perusahaan mengatakan kepada BuzzFeed News bahwa mereka hanya mengumpulkan data penggunaan dan analitik anonim, yang diintegrasikan ke dalam produknya. Platform intelijen aplikasi Sensor Tower digunakan oleh pengembang, pemodal ventura, penerbit, dan lainnya untuk melacak popularitas, tren penggunaan, dan pendapatan aplikasi.
Armando Orozco, seorang analis Android untuk Malwarebytes, mengatakan memberikan hak akses root ke aplikasi membuat pengguna berada dalam risiko tinggi.
"Pengguna tipikal Anda akan melalui ini dan berpikir, Oh, saya memblokir iklan, dan tidak benar-benar menyadari betapa invasifnya hal ini," katanya.
Randy Nelson, kepala wawasan seluler Sensor Tower, mengatakan perusahaan tidak mengungkapkan kepemilikan aplikasi karena alasan kompetitif.
"Ketika Anda mempertimbangkan hubungan antara jenis aplikasi ini dan perusahaan analitik, itu sangat masuk akal - terutama mengingat sejarah kami sebagai startup," katanya, seraya menambahkan bahwa perusahaan awalnya memulai dengan tujuan membangun pemblokir iklan.
Nelson mengatakan aplikasi perusahaan tidak mengumpulkan data sensitif atau informasi yang dapat diidentifikasi secara pribadi dan bahwa "sebagian besar aplikasi ini yang terdaftar sekarang mati (tidak aktif) dan beberapa sedang dalam proses evaluasi."
Dalam kebanyakan kasus, aplikasi tidak lagi tersedia karena dihapus karena pelanggaran kebijakan. Juru bicara Apple mengatakan sebelumnya telah menghapus selusin aplikasi Sensor Tower dari iOS App Store karena pelanggaran kebijakan.
Setelah Buzzfeed memberi tahu kasus terbaru ini, Apple menghapus Adblock Focus dan mengatakan sedang menyelidiki Luna VPN.
Google sedang menyelidiki aplikasi tetapi tidak menetapkan batas waktu.
“Kami menjalankan panduan app store dengan sangat serius dan melakukan upaya bersama untuk mematuhinya, bersama dengan setiap perubahan pada aturan ini yang terjadi dari waktu ke waktu,” kata Nelson.
Apple dan Google membatasi hak istimewa sertifikat root karena risiko keamanan bagi pengguna. Aplikasi Sensor Tower melewati batasan dengan mendorong pengguna untuk menginstal sertifikat melalui situs web eksternal setelah aplikasi diunduh.
Luna VPN, misalnya, menawarkan kemampuan untuk memblokir iklan di YouTube jika pengguna menambahkan ekstensi Adblock, produk SensorTower lainnya. Jika dilakukan, ini akan memulai proses yang menghasilkan instalasi sertifikat root.
"Aplikasi kami tidak melacak, meminta, atau menyimpan data pengguna yang sensitif seperti kata sandi, nama pengguna, dan lain-lain dari pengguna atau aplikasi lain pada perangkat pengguna, termasuk browser web," kata Nelson.
BuzzFeed News menemukan aplikasi itu terkait dengan Sensor Tower setelah mendeteksi bahwa aplikasi mengandung kode yang ditulis oleh pengembang yang bekerja untuk perusahaan itu.
Resume online salah satu pengembang Sensor Tower, yang nama pengguna GitHub-nya ada dalam kode beberapa aplikasi, mengatakan ia membangun "aplikasi Android untuk memberi daya pada platform analytics Tower Sensor."Situs web pribadi pengembang Sensor Tower lain mengatakan dia "Bekerja pada Proyek iOS rahasia yang luar biasa."
Mirip kasus Avast Antivirus
Modus pengumpulan data yang dilakukan sensor Tower ini mirip dengan yang pernah dilakukan Avast Antivirus dan terungkap pada akhir Januari lalu.
Investigasi bersama oleh Motherboard dan PCMag mengungkapkan bagaimana Avast, pemilik AVG antivirus, melacak informasi terperinci tentang apa yang dilakukan banyak penggunanya secara online, tanpa sepengetahuan orang yang dilacak. Data yang dipanen lalu dijual ke perusahaan produsen dan industri periklanan.
Avast mengklaim memiliki lebih dari 435 juta pengguna aktif per bulan, dan Jumshot mengatakan memiliki data dari 100 juta perangkat.
Data yang dikumpulkan dari aktivitas pengguna itu dikirim ke Jumpshot yang merupakan anak perusahaan Avast, lalu dikemas ulang dan menawarkannya kepada klien dalam bentuk paket yang disebut "All Click Feed." Data itu dipasarkan dengan tagline,"The Power of 100 Million Shoppers."
"Ini dia, data yang sangat terperinci dari 100 juta pembeli online global dan 20 juta pengguna aplikasi global. Analisis sesuai keinginan anda. Lacak apa yang dicari pengguna, bagaimana mereka berinteraksi dengan merek atau produk tertentu, dan apa yang mereka beli. Lihat ke dalam katagori, negara, atau domain apa pun," demikian bunyi penawaran data dari Jumpshot.
Sebuah dokumen internal yang diperoleh Motherboard dan PCMag menyebut dua lusin nama klien, termasuk perusahaan besar Home Depot, Google, Microsoft, Pepsi, Unilever, Nestle, Yelp, Revlon, Omnicom Media Group dan McKinsey.
Setelah heboh, Dewan Direksi Avast memutuskan menghentikan pengumpulan data sekaligus membekukan operasional Jumpshot sebagaimana disampaikan CEO Avast Ondrej Vleok dalam sebuah postingan di situs resmi Avast bertanggal 29 Januari 2020 dengan judul,"A message from Avast CEO Ondrej Vlcek."
Dalam surat itu, Vlcek mengatakan pemberitaan terbaru tentang penjualan data pengguna Avast lewat anak perusahaannya Jumpshot,"telah menyakiti perasaan banyak dari Anda, dan secara wajar mengangkat sejumlah pertanyaan --termasuk pertanyaan mendasar tentang kepercayaan."
"Sebagai CEO Avast, saya merasa bertanggung jawab secara pribadi dan saya ingin meminta maaf kepada semua pihak," tulis Ondrej Vleck.[]
Berita terkait:
Share:
