Punya pertanyaan seputar keamanan aplikasi contact tracing yang kini dikembangkan banyak negara terkait pandemi COVID-19? Ini kata pakar.
Berbagai negara, termasuk Indonesia, mengembangkan aplikasi contact tracing dalam upaya mencegah penyebaran COVID-19. Apa itu aplikasi contact tracing? Apakah aplikasi berpotensi membahayakan privasi?
Niels Schweisshelm, Technical Program Manager, HackerOne, menjawab pertanyaan penting seputar aplikasi contact tracing dan potensi keamanannya.
Bagaimana aplikasi contact tracing bekerja?
Melalui aplikasi contact tracing, pengguna dapat mengunggah hasi tes COVID-19. Menggunakan teknologi Bluetooth, aplikasi ini memungkinkan pengguna melihat dengan siapa saja ia sudah melakukan kontak fisik. Kemudian orang-orang yang pernah melakukan kontak fisik akan diberi notifikasi tentang kemungkinan terpapar virus corona. Pengguna juga akan memperoleh notifikasi jika dalam waktu dekat pernah kontak fisik dengan orang yang positif terinfeksi COVID-19.
Apa saja informasi atau data yang dilacak aplikasi ini?
Selain melacak dan menyimpan lokasi pengguna, aplikasi ini juga menyimpan Personal Identifiable Information (PII) seperti nama dan nomor telpon, serta informasi medis. Aplikasi ini juga akan melacak dan menyimpan data individu yang pernah kontak fisik dengan pengguna. Aplikasi akan melakukan cross-check data pergerakan individu dengan data medis untuk menentukan jika pengguna pernah kontak fisik dengan individu yang dinyatakan positif terinfeksi COVID-19, dan begitu pula sebaliknya.
Apa potensi implikasi terhadap keamanan atau privasi pengguna?
Data pada aplikasi ini tergolong data yang sangat berharga bagi threat actors. Mengantongi PII, data lokasi, dan data rekam medis milik orang lain memungkinkan penjahat maya melancarkan serangan spear phishing yang akan sulit dibedakan dengan informasi medis resmi. Data-data ini pun dapat digunakan untuk tujuan yang berbeda, misalnya melihat sekiranya pengguna berada di sekitar area tempat terjadinya satu tindak kriminal.
Apa aplikasi alternatifnya? Bisakah pelacakan dilakukan secara manual menggunakan perangkat?
Aplikasi alternatif, misalnya Simmel. Aplikasi yang tidak tersentralisasi ini menyimpan data sensitif seperti data pribadi dan rekam medis secara lokal sampai user mengaktifkan fungsi sharing. Namun harus tetap diwaspadai karena aplikasi alternatif ini berbasis Bluetooth. Ketika ada kerentanan pada protokol Bluetooth, penjahat maya bisa saja mengakses data sensitif yang tersimpan di perangkat.
Apa saran-saran untuk pengguna aplikasi contact tracing?
Sudah saatnya kita memperlakukan ponsel seperti halnya laptop atau komputer desktop. Selalu pasang security patch terbaru, gunakan kata sandi untuk mengunci perangkat, dan gunakan tool device finder untuk melacak lokasi dan atau menghapus data ketika ponsel hilang. Jangan lupa untuk selalu berhati-hati ketika memasang dan memberikan ijin (permission) terhadap aplikasi apapun.