Ribuan aplikasi Android dapat melacak telepon Anda

Ketika Anda secara eksplisit memberi tahu aplikasi Android, “Tidak, Anda tidak memiliki izin untuk melacak ponsel saya,” Anda mungkin berharap itu tidak akan memiliki kemampuan yang memungkinkannya melakukannya. Tetapi para peneliti mengatakan bahwa ribuan aplikasi telah menemukan cara untuk menipu sistem izin Android, menelepon ke rumah pengidentifikasi unik perangkat Anda dan data yang cukup untuk berpotensi mengungkapkan lokasi Anda juga.

Bahkan jika Anda mengatakan “tidak” pada satu aplikasi ketika meminta izin untuk melihat bit-bit data yang diidentifikasi secara pribadi, itu mungkin tidak cukup: aplikasi kedua dengan izin yang Anda setujui dapat membagikan bit-bit itu dengan yang lain atau membiarkannya penyimpanan bersama tempat aplikasi lain – bahkan berpotensi aplikasi jahat – dapat membacanya. Kedua aplikasi tersebut mungkin tidak tampak terkait, tetapi para peneliti mengatakan bahwa karena mereka dibangun menggunakan kit pengembangan perangkat lunak (SDK) yang sama, mereka dapat mengakses data itu, dan ada bukti bahwa pemilik SDK menerimanya. Ini seperti anak kecil yang meminta makanan pencuci mulut yang diberitahu “tidak” oleh satu orang tua, jadi mereka bertanya kepada orang tua lainnya.

Menurut sebuah studi yang dipresentasikan di PrivacyCon 2019, kami berbicara tentang aplikasi dari orang-orang seperti Samsung dan Disney yang telah diunduh ratusan juta kali. Mereka menggunakan SDK yang dibuat oleh raksasa pencarian Cina Baidu dan sebuah perusahaan analitik bernama Salmonads yang dapat meneruskan data Anda dari satu aplikasi ke aplikasi lain (dan ke server mereka) dengan menyimpannya secara lokal di ponsel Anda terlebih dahulu. Para peneliti melihat bahwa beberapa aplikasi menggunakan Baidu SDK mungkin berusaha untuk diam-diam mendapatkan data ini untuk mereka gunakan sendiri.

SALURAN SAMPUL DAN SALURAN SAMPING
Itu di samping sejumlah kerentanan saluran samping yang ditemukan tim, beberapa di antaranya dapat mengirim pulang alamat MAC unik dari chip dan router jaringan Anda, titik akses nirkabel, SSID-nya, dan banyak lagi. “Sudah cukup terkenal sekarang bahwa pengganti yang cukup baik untuk data lokasi,” kata Serge Egelman, direktur penelitian dari Grup Keamanan dan Privasi yang Dapat Digunakan di International Computer Science Institute (ICSI), ketika mempresentasikan penelitian di PrivacyCon.

Studi ini juga memilih Shutterfly aplikasi foto untuk mengirim koordinat GPS yang sebenarnya kembali ke servernya tanpa mendapatkan izin untuk melacak lokasi – dengan mengambil data itu dari metadata EXIF ​​foto Anda – meskipun perusahaan membantah bahwa ia mengumpulkan data itu tanpa izin dalam pernyataan kepada CNET.

Ada perbaikan yang datang untuk beberapa masalah ini di Android Q, menurut para peneliti, yang mengatakan mereka memberi tahu Google tentang kerentanan September lalu. (Mereka menunjuk ke halaman Google resmi ini.) Namun, itu mungkin tidak membantu banyak ponsel Android generasi saat ini yang tidak akan mendapatkan pembaruan Android Q. (Per Mei, hanya 10,4 persen perangkat Android yang memasang Android P terbaru, dan lebih dari 60 persen masih berjalan di Android N. yang hampir tiga tahun).

Para peneliti berpikir bahwa Google harus melakukan lebih banyak, mungkin meluncurkan perbaikan terbaru dalam pembaruan keamanan sementara itu karena seharusnya tidak hanya pembeli telepon baru yang mendapatkan perlindungan. “Google secara terbuka mengklaim bahwa privasi seharusnya tidak menjadi barang mewah, tapi itu tampaknya yang terjadi di sini,” kata Egelman.

Google menolak untuk mengomentari kerentanan spesifik, tetapi itu menegaskan kepada The Verge bahwa Android Q akan menyembunyikan info geolokasi dari aplikasi foto secara default, dan itu akan mengharuskan aplikasi foto untuk memberi tahu Play Store apakah mereka mampu mengakses metadata lokasi.

Sumber :THEVERGE