Data pribadi ratusan juta pengguna aplikasi Android terekspos akibat kecerobohan para pengembang aplikasi. Begini saran para pakar keamanan.
Temuan ini terungkap dalam penelitian yang dilakukan Check Point Research (CPR) baru-baru ini terhadap 23 aplikasi Android di Google Play.
Data pribadi lebih dari 100 juta pengguna dalam bahaya akibat berbagai kesalahan konfigurasi yang dilakukan pengembang aplikasi mobile saat menggunakan layanan cloud pihak ketiga. CPR mencatat sejumlah developer salah menggunakan layanan seperti real-time database,
notification manager, dan cloud storage. Walhasil, pengungkapan data ini tidak saja membahayakan pengembang tapi juga pengguna aplikasi.
Data yang ditemukan CPR dalam kondisi terekspos ada dalam real-time database yang tidak terproteksi yang digunakan oleh aplikasi (dengan jumlah unduhan antara 10.000 sampai 10 juta). Sementara data pribadi yang terungkap mencakup email, isi pesan chat, lokasi, password, dan foto. Data-data semacam itu, ketika berada di tangan peretas, dapat berujung pada aktivitas fraud, pencurian identitas, dan service swipes.
"Sebagian besar aplikasi yang kami teliti sampai saat ini masih mengekspos data. Pengumpulan data, terutama oleh aktor jahat, adalah hal yang sangat serius. Pada akhirnya, korban menjadi lemah menghadapi berbagai vektor serangan, seperti pencurian identitas, phishing, penyamaran, dan service swipe," komentar Aviran Hazum, Manager of Mobile Research, Check Point Software Technologies.
Menurutnya, riset yang dilakukan CPR mengungkapkan kenyataan pahit di mana para pengembang aplikasi telah membahayakan data miliknya bahkan data pribadi pengguna aplikasi. "Puluhan juta data user terekspos akibat pengembang tidak mengikuti best practice ketika mereka melakukan konfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke aplikasi yang mereka buat," imbuhnya.
Ia berharap hasil riset ini menjadi pesan bagi komunitas developer agar ekstra hati-hati dalam menggunakan dan mengkonfigurasi layanan cloud milik pihak ketiga. Aviran menganjurkan agar para developer memindai kerentanan aplikasi seperti direkomendasikan CPR.
Menurut Jonathan Knudsen, Senior Security Strategist, Synopsys Software Integrity Group, kesalahan konfigurasi ini bukan hal yang mengejutkan. Namun yang sangat mengkhawatirkan adalah terungkapnya informasi pribadi pengguna aplikasj, seperti nama, alamat email, tanggal lahir, data pesan-pesan, lokasi, password, informasi pembayaran, dan banyak lagi.
"Cara terbaik untuk menjaga keamanan adalah para developer menggunakan Secure Development Life Cycle, di mana keamanan menjadi bagian dalam setiap tahap pengembangan, mulai dari tahap desain, sampai implementasi, testinf, dan pemeliharaan aplikasi," Jonathan menganjurkan.
Terkait isu miskonfigurasi, Jonathan menambahkan, bagian terpenting--namun kerap dilupakan--dalam pengembangan yang aman yang dapat berdampak pada data dan privasi user adalah pengelolaan penggunaan komponen open source.
Laporan Synopsys CyRC yang berjudul, 'Peril in a Pandemic', mengungkapkan bahwa hampir dua pertiga aplikasi terpopuler di Play Store mengandung kerentanan yang berasal dari komponen open source.
"Dari sejumlah aplikasi tersebut, 94% dari kerentanannya sudah ada perbaikannya yang didokumentasikan secara publik. Artinya, kerentanan ini dapat dieliminasi jika si pengembang memperbarui aplikasinya agar aplikasi tersebut menggunakan komponen open source versi terbaru," tutup Jonathan Knudsen.