Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko

Cyberthreat,id - Beberapa hari lalu Kementerian Komunikasi dan Informatika mengumumkan tenaga kesehatan bisa mengecek di situs PeduliLindugi.id apakah dirinya termasuk yang berhak menerima vaksin tahap pertama atau tidak, sebelum nanti meluas ke kelompok masyarakat lain. Caranya, mereka diminta memasukkan Nomor Induk Kependudukan (NIK) atau nomor KTP di sana.

Pada saat hampir bersamaan, sekelompok peneliti dari The Citizen Lab di Universitas Toronto, Kanada, mengumumkan bahwa aplikasi PeduliLindungi yang awalnya dibuat untuk pelacakan Covid-19, mengumpulkan terlalu banyak data yang berpotensi membahayakan pemilik data jika terjadi kebocoran.

Seperti diketahui, aplikasi PeduliLindungi dibuat oleh Telkom bekerja sama dengan Kementerian Komunikasi dan Informatika (Kominfo) Republik Indonesia.

Dikutip dari website resmi milik The Citizen Lab , berdasarkan penelitian berjudul  "Unmasked II An Analysis of Indonesia and the Philippines’ Government-launched COVID-19 Apps"  yang dipublikasikan pada 21 Desember 2020, aplikasi PeduliLindungi bersama aplikasi serupa milik pemerintah Filipina mengumpulkan terlalu banyak data dan izin akses yang tidak memiliki korelasi dengan Covid-19. (Versi lebih ringkas dalam Bahasa Indonesia bisa dilihat di sini.)

Disebutkan, aplikasi PeduliLindungi mengumpulkan dan mengaitkan koordinat geolokasi pengguna dengan nama, nomor telepon, dan pengenal perangkat mereka. Aplikasi itu juga mengumpulkan alamat MAC WIFI dan alamat IP lokal pengguna, yang sebenarnya tidak diperlukan untuk membuat fitur utama aplikasi berfungsi.

Selain itu, Citizen Lab menyebutkan, aplikasi meminta beberapa izin akses berbahaya, termasuk  izin lokasi yang mampu merekam geolokasi, izin kamera yang mampu mengambil foto dan merekam video, serta izin penyimpanan perangkat yang mampu membaca foto pengguna dan file lainnya.

Izin Lokasi
Untuk izin lokasi, Citizen Lab menemukan bahwa aplikasi meminta izin lokasi termasuk akses backgroud location, akses coarse location, dan akses fine location. Akses tersebut memungkinkan aplikasi memperoleh informasi lokasi dari sistem operasi, dan izin pertama memungkinkan aplikasi melakukannya bahkan di latar belakang ketika aplikasi tidak sedang digunakan. Akibatnya, aplikasi dapat melacak geolokasi fisik perangkat setiap saat.

"Kebijakan privasi PeduliLindungi mengatakan bahwa aplikasi mengumpulkan data lokasi untuk mendukung fitur Zonasi COVID-19, dan akan memberikan informasi secara real time tanpa pengguna membuka aplikasi," ungkap Citizen Lab dalam laporannya.

Terkait dengan lokasi ini, peneliti juga menemukan, PeduliLindungi mengirim koordinat geolokasi perangkat pengguna ke dua titik endpoint yaitu di https://api.pedulilindungi.id/zone/v2 dan https://oat.udata.id/addTrackingPLLive.php

Endpoint pertama digunakan untuk menentukan apakah pengguna saat ini berada di zona merah COVID-19 berdasarkan koordinat geolokasi mereka saat ini. Sedangka endpoint kedua merupakan endpoint analitik yang diselenggarakan oleh PT Telekomunikasi Indonesia Tbk. (Telkom Indonesia).

"Selain geolokasi pengguna dan alamat MAC WIFI, nama lengkap dan nomor telepon setiap pengguna juga dikirim ke titik endpoint kedua," tambah Citizen Lab.

Menurut para peneliti, sebenarnya pengiriman koordinat geolokasi ke server pusat tidak diperlukan untuk contact tracing, karena aplikasi menggunakan bluetooth untuk mendeteksi pengguna PeduliLindungi terdekat, termasuk yang positif COVID-19, dan untuk mengidentifikasi area keramaian.

"Item data yang dikirim ke titik akhir analitik Telkom Indonesia, termasuk geolokasi pengguna, pengenal perangkat, nama lengkap, dan nomor telepon, tidak memiliki tujuan yang jelas dalam melindungi pengguna dari COVID-19," tulis Citizen Lab.

Peneliti menilai, tidak jelas maksud dari kebijakan privasi PeduliLindungi, termasuk item data ini dikirim ke Telkom Indonesia, bagaimana penggunaannya oleh Telkom Indonesia, dan apakah digunakan untuk iklan digital.

2. Izin akses Kamera

Peneliti juga menyelidiki bagaimana izin kamera digunakan  oleh aplikasi karena izin ini berpotensi dapat digunakan untuk mengambil foto atau merekam video pengguna. Dengan menganalisis deskripsi media berita

Pada fitur ini, peneliti menemukan bahwa penggunaan izin kamera dapat dijelaskan oleh dua fitur aplikasi yang berbeda. Fitur pertama adalah pemindai kode QR. Fitur ini digunakan untuk fungsi "buku harian digital" yang mencatat daftar lokasi yang dikunjungi oleh pengguna, terutama saat pengguna memindai kode QR yang disediakan pemerintah.

Sedangkan fitur kedua adalah teknologi pengenalan wajah, yang digunakan untuk mengukur suhu pengguna dan untuk menentukan apakah masker atau penutup wajah dipasang sebelum pengguna memasuki ruang publik atau gedung.

3. Izin akses penyimpanan perangkat
Terkait dengan penyimpanan perangkat, peneliti menemukan, PeduliLindungi meminta dua izin untuk mengakses penyimpanan eksternal, yakni membaca dan mengubah di penyimpanan perangkat.

Penyimpanan eksternal di Android mengacu pada ruang penyimpanan yang dapat diakses langsung oleh pengguna (biasanya untuk menyimpan file pengguna, seperti dokumen dan media) dan digunakan bersama di antara semua aplikasi.

Jika pengguna memberikan akses aplikasi PeduliLindungi ke penyimpanan eksternal, aplikasi akan memiliki akses ke file yang dibuat oleh pengguna atau aplikasi lain, termasuk file sensitif yang disimpan di perangkat pengguna. Pada Android 10 dan yang lebih baru, implikasi dari akses tersebut dikurangi dengan fitur sistem "penyimpanan terbatas" yang baru diperkenalkan, yang mengurangi cakupan file yang dapat diakses aplikasi di penyimpanan eksternal.

"Dengan rekayasa balik PeduliLindungi, kami menemukan bahwa aplikasi tersebut menyertakan kode untuk secara berkala mengekspor riwayat kontak Bluetooth lokalnya ke penyimpanan eksternal sebagai file bernama “pedulindungi.json” (sic). Namun, kami tidak mengamati perilaku ini ketika benar-benar mencoba menggunakan aplikasi, yang mungkin karena kondisi pengujian kami tidak memicu pencadangan semacam itu," tambah Citizen Lab.

Tidak diketahui dengan jelas alasan mengapa aplikasi itu diharuskan untuk mengekspor informasi tersebut ke penyimpanan eksternal. Selain itu, dengan menyimpan data kontak Bluetooth di penyimpanan eksternal, aplikasi lain dengan izin penyimpanan eksternal juga akan memiliki akses untuk membaca data ini di versi Android lebih awal dari 10.

Tak hanya itu, saat memeriksa kode sumber PeduliLindungi peneliti menemukan kode sumber berisi pustaka deteksi "root" yang disebut RootBeer. Saat menjalankan aplikasi menggunakan ponsel yang di-rooting, muncul pesan yang mengatakan perangkat yang di-rooting tidak didukung, maka aplikasi itu tidak dapat digunakan.

"Deteksi root adalah metode umum yang digunakan pengembang untuk mempersulit rekayasa balik. Kami harus menggunakan lapisan tambahan modifikasi sistem dengan Frida dan skrip bypass deteksi root untuk menggunakan aplikasi pada ponsel yang di-rooting."

Berdasarkan data dari LSM Privasi asal Prancis, Exodus Privacy, jika dibandingkan dengan aplikasi sejenis lainnya, aplikasi PeduliLindungi mengakses terlalu banyak data. Misalnya, aplikasi TraceTogether versi 2.3.8 buatan pemerintah Singapura yang hanya meminta akses lokasi. Lalu aplikasi NZ COVID Tracer bikinan pemerintah Selandia Baru yang hanya meminta akses kamera. Aplikasi COVID Alert di Kanada bahkan tidak meminta akses apapun, dan hanya mengumpulkan kode acak dari ponsel pengguna selama 14 hari.

Karena itu, Citizen Lab menyarankan pengembang aplikasi mengikuti prinsip “minimisasi data,” di mana aplikasi atau alat “harus mengumpulkan informasi sesedikit mungkin” yang diperlukan untuk mencapai tujuannya. Hanya mengumpulkan informasi yang sangat relevan dapat membantu mengurangi risiko keamanan yang dihasilkan dari pengumpulan data besar bervolume tinggi.

Pengembang aplikasi disarankan merujuk pada pedoman etika untuk aplikasi COVID-19 yang dirancang oleh organisasi / lembaga berikut:

• World Health Organization
• Electronic Frontier Foundation (EFF)
• Amnesty International
• Oxford Internet Institute

Editor: Yuswardi A. Suud