Dua Aplikasi Android Baidu Diduga Kumpulkan Informasi Sensitif Ponsel

aplikasi-baidu-search-box-baidu-maps

Dua aplikasi Baidu Search Box dan Baidu Maps secara resmi sudah dihapus oleh Google Play Store karena teridentifikasi mengumpulkan informasi sensitif pengguna seperti data lokasi dan informasi ponsel yang sedang digunakan. Penghapusan ini tercatat pada tanggal 28 Oktober 2020.

Menurut data dari Google Play Store, aplikasi Baidu Search Box sudah di unduh lebih dari 5 juta pengguna di seluruh dunia dan Baidu Maps sudah lebih dari 1 juta pengguna. Selain itu, Palo Alto juga menemukan aplikasi serupa yang mengumpulkan informasi sensitif, yaitu Homestyler - Interior Design.

Peneliti keamanan Palo Alto mengatakan bahwa temuan itu di identifikasi melalui devinfo yang ada pada Android push SDK milik Baidu sebagai pemberitahuan pesan yang muncul di ponsel. SDK inilah yang digunakan di kedua aplikasi Baidu Search Box dan Baidu Maps.

Hasil penelitian yang ditemukan bahwa kedua aplikasi tersebut terbukti mengumpulkan informasi sensitif, diantaranya mendeteksi model ponsel, screen resolution, mendeteksi MAC address, informasi provider, deteksi jaringan Wi-Fi, 2G, 3G, 4G, 5G, menangkap data IMEI dan IMSI.

"Informasi screen resolution ataupun model ponsel ini tidak terlalu bahaya melainkan data International Mobile Subscriber Identity (IMSI) dapat digunakan untuk melacak pengguna secara unik meskipun pengguna tersebut sudah mengganti ponsel. Sedangkan informasi IMEI hanya sebagai pengenal identitas perangkat ponsel seperti tanggal pembuatan hingga spesifikasi perangkat keras.

Google Android merespon atas temuan tim peneliti Palo Alto terkait pengumpulan informasi sensitif oleh Baidu. Dalam laporan ini, Google Android merespon dan mengkonfirmasi kepada Palo Alto atas "pelanggaran yang tidak ditentukan" dan secara cepat kedua produk itu dihapus.

Cara kerja dari IMSI umumnya mengindentifikasi pengguna secara unik kepada jaringan seluler yang sudah dikaitkan ke nomor telepon. IMSI juga dapat ditransfer antar perangkat, kebergunaannya dapat melacak lokasi pengguna melalui jaringan seluler miliknya.

Jika informasi IMSI dan IMEI disalahgunakan oleh penjahat dunia maya, maka ia dapat membuat akun sosial media dengan data pribadi milik korban. Jika nomor IMEI ponsel itu diketahui oleh penjahat dunia maya, mereka biasanya akan melaporkan bahwa ponsel itu telah dicuri kepada provider dan kemungkinan saja provider akan menanggapinya dan memutus jaringan seluler.

Menanggapi laporan dari Palo Alto, juru bicara Baidu langsung konfirmasi dan mengatakan bahwa pengumpulan data informasi tersebut sudah di izinkan berdasarkan perilaku pengguna yang menyetujui pemberitahuan koleksi informasi data.

Palo Alto juga mengidentifikasi sebanyak 37.500 aplikasi pengembang raksasa di China menggunakan ShareSDK dan mendukung 40 platform media sosial. Penggunaan ShareSDK ditujukan untuk memperoleh informasi pengguna dan memudahkan pendaftaran media sosial.

Mengumpulkan informasi pengguna memang hal yang wajar bagi pengembang aplikasi. Namun, kita tidak akan pernah tahu data-data informasi itu digunakan untuk hal apa terlebih lagi jika data tersebut jatuh kepada penjahat dunia maya yang mungkin saja dapat mengeksploitasinya untuk berbuat sewenang-wenang.

Ada dua opsi ketika sedang melakukan pemasangan aplikasi, yaitu "izinkan akses" atau "tolak akses" keduanya adalah pemberitahuan bahwa aplikasi tersebut membutuhkan izin dari pengguna. Jika ditolak maka hasil yang diberikan aplikasi kepada pengguna akan terbatas hal seperti ini yang mengharuskan pengguna mengizinkan sebuah aplikasi berjalan normal dengan menyetujui "izinkan akses". Jadi, berhati-hatilah dalam menginstall aplikasi.