Mengantisipasi kebijakan baru Google terkait keamanan aplikasi yang akan diunggah ke Play Store, pakar keamanan sarankan ini untuk pengembang aplikasi.
Google belum lama ini mengumumkan rencananya untuk menerapkan kebijakan baru tentang informasi privasi pada semua aplikasi Android di Play Store.
Mulai disosialisasikan di kuartal pertama tahun 2022, kebijakan ini akan mengharuskan pengembang aplikasi Android (termasuk Google) secara terbuka memberikan informasi tentang data yang dikumpulkan dan disimpan oleh aplikasi tersebut, juga bagaimana data-data tersebut digunakan (misalnya personalisasi aplikasi). Informasi terkait safety ini akan ditempatkan di satu bagian (section) tersendiri.
Bukan hanya penggunaan data, kebijakan baru Google ini juga akan menampilkan informasi lain terkait keamanan dan privasi, misalnya apakah aplikasi menerapkan keamanan seperti enkripsi data, apakah aplikasi memungkinkan pengguna meminta data mereka dihapus jika aplikasi dihapus. Menurut Google, kebijakan baru ini akan diberlakukan pada kuartal kedua tahun 2022.
Jonathan Knudsen, Senior Security Strategist, Synopsys Software Integrity Group memandang Google telah mengambil langkah yang tepat dalam melindungi pengguna. Menurut Jonathan Knudsen, tantangannya akan terletak pada penerapan kebijakan tersebut.
"Jika sebuah aplikasi ternyata menyimpan lebih banyak data pengguna daripada yang diklaim si aplikasi, pelanggaran ini akan sulit dideteksi tanpa pemeriksaan manual," ujar Knudsen.
Menjalankan app store memang sangat sulit. Persoalannya adalah memastikan aplikasi bekerja sesuai yang diklaim pengembangnya, dan aplikasi tidak melakukan hal-hal yang buruk atau jahat. "Tapi mendefinisikan 'buruk' ini sulit, dan memahami apa yang benar-benar dilakukan oleh aplikasi sangatlah sulit," ujarnya.
Aplikasi biasanya merupakan bagian dari sistem aplikasi yang lebih besar. "Cara terbaik untuk menjaga keamanan (aplikasi) adalah para pengembang aplikasi menggunakan Secure Development Life Cycle, di mana keamanan adalah bagian di setiap fase pengembangan, mulai dari fase desain hingga implementasi, testing, dan pemeliharaan (aplikasi)," saran Jonathan Knudsen.
Menurutnya lagi, satu bagian penting dalam secure development yang dapat berdampak pada data dan privasi user adalah mengelola penggunaan komponen open source.
Dalam laporan yang dirilis Synopsis, Synopsys CyRC berjudul "Peril in a Pandemic", hampir dua pertiga dari aplikasi populer di Play Store mengandung kerentanan (vulnerabilities) yang bersumber dari komponen open source. Namun 94% dari kerentanan itu memiliki perbaikan yang terdokumentasi secara publik. Artinya, kerentanan dapat diatasi jika pengembang memastikan bahwa aplikasinya selalu diperbarui agar komponen open source versi terbaru lah yang terpasang di aplikasi.