Pengguna bisnis berisiko kehilangan data melalui 78% aplikasi seluler

Banyak aplikasi seluler dilengkapi dengan banyak iklan, kemampuan untuk terhubung ke media sosial, atau keduanya. Ini mungkin tampak seperti add-on yang tidak berbahaya, ditempatkan di aplikasi untuk tujuan keuntungan bagi pengembang aplikasi. Namun, fitur-fitur ini mungkin memiliki kemampuan untuk mengakses PII pengguna, atau informasi yang dapat diidentifikasi secara pribadi. Kemampuan add-ons untuk mengakses informasi sensitif berbahaya tidak hanya karena fungsinya dapat mengumpulkan informasi sensitif setelah pengguna menyetujui izin aplikasi, tetapi informasi tersebut juga dapat diekspos tanpa sepengetahuan pengguna.

Sebuah studi oleh Mojave Networks, sebuah startup keamanan teknologi yang berbasis di San Mateo, California, menggunakan Threat Labs mereka untuk menguji 11 juta URL yang mengirim dan menerima data di lebih dari 2000 aplikasi yang diinstal oleh pelanggannya, dengan studi yang berfokus pada pengguna bisnis. URL ini kemudian dimasukkan ke dalam kategori berdasarkan koneksi mereka ke salah satu dari tiga perpustakaan: jaringan iklan, API media sosial, atau API analitik. Hasilnya menunjukkan bahwa 78 persen aplikasi yang diunduh terhubung ke salah satu dari tiga kelompok, yang membuat pengguna berisiko terhadap akses yang tidak diketahui ke informasi pribadi mereka atau bahkan lebih buruk, kehilangan data pribadi atau bisnis.

Kurangnya Akuntabilitas

Yang lebih mengejutkan adalah bagaimana perpustakaan ini diimplementasikan. Mereka digunakan oleh pengembang, yang menerima kode dari pihak ketiga. Kode-kode ini terutama digunakan untuk membantu mengumpulkan pendapatan iklan, melacak statistik pengguna, atau mengintegrasikan dengan media sosial. Laporan tersebut menyebutkan bahwa ada ribuan perpustakaan ini tersedia, dan sebagian besar, kode pihak ketiga ini biasanya tidak mengumpulkan PII. Namun, tidak semuanya bisa dipercaya. Dalam kebanyakan kasus, pengembang biasanya akan mengimplementasikan kode dengan sedikit atau tanpa ulasan tentang apa yang terkandung di dalamnya, membuat Anda memiliki keputusan untuk mempercayai penilaian pengembang secara membuta dan mengambil risiko kesempatan untuk membiarkan perpustakaan ini mengakses data Anda tanpa sepengetahuan Anda.

Lebih buruk lagi, pengguna terikat oleh kebijakan khusus perpustakaan hanya dengan mengunduh dan menginstal aplikasi tanpa pernah melihat rincian kebijakan. Dari sudut pandang bisnis, ini dapat mengakibatkan kurangnya akuntabilitas dan menyulitkan administrator TI untuk memutuskan aplikasi mana yang menimbulkan risiko keamanan.

Rata-rata, setiap aplikasi memiliki sekitar sembilan izin. Lima dari mereka dianggap sangat berbahaya karena mereka dapat memberikan akses ke informasi yang seharusnya dirahasiakan. Misalnya, Airpush, salah satu perpustakaan iklan teratas dalam penelitian ini, mengumpulkan data berikut:

• ID Android
• Pembuatan dan model perangkat
• Jenis dan versi peramban seluler
• alamat IP
• ID yang dihasilkan Airpush
• Daftar aplikasi seluler yang diinstal di ponsel.
• "Data teknis lainnya tentang perangkat Anda."

Jika Anda mengizinkannya, Airpush juga dapat mengumpulkan:

• Lokasi geografis yang tepat termasuk negara dan kode ZIP.
• ID perangkat termasuk nomor International Mobile Equipment Identity (IMEI), nomor seri perangkat, dan alamat Media Access Control (MAC).
• Riwayat peramban dan lainnya.

Pengguna dapat memilih keluar dari beberapa pengumpulan data seperti daftar aplikasi seluler yang diinstal dan riwayat browser.

Jika Anda memasang aplikasi yang menggunakan Airpush, itu dapat memperoleh akses ke semua informasi ini tanpa sepengetahuan Anda. Bagian terburuknya adalah akses luas ke informasi pribadi ini tipikal, dan tidak ada yang baru di pasar aplikasi seluler.

Pencegahan Pengguna

Hanya ada begitu banyak yang dapat dilakukan pengguna dalam hal membolehkan dan menolak izin untuk setiap aplikasi, terutama jika mereka ingin mendapatkan potensi penuh aplikasi. Untungnya, ada dua aplikasi hebat yang berurusan dengan mendeteksi potensi pelanggaran ini.

Jika Lookout menentukan bahwa jaringan iklan bertindak sendiri, tanpa persetujuan pengguna, itu mengklasifikasikan jaringan sebagai adware. Selain itu ia memberikan informasi tentang adware termasuk identifikasi, fungsinya, dan potensi bahaya bagi pengguna. viaProtect adalah alat hebat lainnya, menyediakan grafik visual tentang ke mana data pengguna pergi dalam hal jaringan dan negara dan berapa banyak yang dienkripsi. Ini memungkinkan pengguna untuk membuat keputusan berdasarkan informasi apakah akan menghapus aplikasi tertentu atau tidak yang memberikan terlalu banyak informasi.

Keamanan sangat penting di era digital. Aplikasi seperti Lookout dan viaProtect memungkinkan pengguna mengetahui apakah data mereka berisiko, tetapi masih sulit untuk mencegah perpustakaan untuk dapat mengakses PII pengguna. Untuk saat ini, membaca cetakan kecil dan membuat keputusan berdasarkan informasi adalah cara terbaik untuk melawan akses yang tidak diinginkan pada perangkat seluler.