Waspada! 1 Juta Aplikasi AI Android Bocorkan 730 TB Data Pengguna

PENELITI keamanan dari Cybernews merilis hasil studi pada akhir Agustus mengenai kondisi keamanan aplikasi kecerdasan buatan atau AI di Google Play Store. Penelitian tersebut menemukan sebanyak 730 juta Terabyte (TB) data pengguna terekspos. Parahnya, sebagian di antaranya menjadi sasaran serangan peretas. 

Kebocoran tersebut mencakup data keuangan sensitif yang dapat memungkinkan peretas menguras dompet digital. Hal ini disebabkan berbagai aplikasi AI di Android memiliki keamanan yang tidak memadai, sehingga secara tidak sengaja membocorkan data dari server cloud Google.

Sebagian besar aplikasi AI di Google Play Store menggunakan teknik enkripsi yang tidak aman yang disebut "hardcoding", yang berarti bahwa informasi sensitif (seperti kunci API dan kata sandi) disimpan langsung di dalam kode sumber aplikasi. Terungkap 72% aplikasi AI yang diperiksa memiliki setidaknya satu "rahasia" yang terprogram secara hard-coded di dalam kodenya.

Baca juga : 12 Kebiasaan Praktis yang Bisa Melindungi Data Pribadi & Bisnis: Keamanan Siber untuk Pemula

Rahasia Google Paling Banyak Bocor

Lebih dari 81% dari semua rahasia yang terdeteksi memiliki keterkaitan dengan proyek Google Cloud. Secara total, telah teridentifikasi 197.092 rahasia unik, dengan rata-rata 5,1 per aplikasi, dan hanya 0,96 yang tidak terhubung dengan Google.

Kondisi ini diperparah dengan temuan ratusan aplikasi AI sebenarnya sudah berhasil ditembus peretas. Kebocoran pada layanan penyimpanan seperti Firebase dan Google Cloud Storage telah menyebabkan lebih dari 200 juta berkas pengguna tersebar luas, dengan total hampir 730 TB data pengguna.

Baca juga : Discord Konfirmasi Kebocoran Data, Informasi Pribadi dan Verifikasi Usia Pengguna Terdampak

Fenomena ini banyak ditemukan pada aplikasi-aplikasi baru yang muncul hanya untuk mengikuti tren AI saat ini. Karena ingin cepat menguasai pasar dan bersaing dengan kompetitor, banyak pengembang terburu-buru merilis aplikasi mereka ke Google Play Store tanpa sempat membangun sistem keamanan yang kuat. Selain data pengguna Android, juga ditemukan bahwa banyak data milik klien Facebook yang ikut tersebar akibat kelalaian ini.

Risiko Bagi Pengguna

Data yang bocor ini menimbulkan risiko khusus ketika terhubung dengan layanan yang memproses data keuangan, analitik, atau pelanggan. Kunci API seperti Twitter, Braze, dan Intercom dapat digunakan, misalnya, untuk bertindak atas nama pengguna, memanipulasi akun, atau memalsukan riwayat transaksi.

Meski demikian, Anda tidak perlu cemas mengenai percakapan pribadi dengan LLM seperti ChatGPT karena perusahaan pengembangnya tidak menggunakan teknik penyimpanan data yang berisiko tersebut. Namun, hal yang perlu diwaspadai adalah banyak pengembang aplikasi kecil tetap tidak memperbaiki sistem mereka meskipun kebocoran sudah terdeteksi, sehingga celah serangan tetap terbuka hingga saat ini.

Masalah Serupa Ditemukan pada Aplikasi iOS

Para peneliti juga menyatakan bahwa bukan hanya aplikasi Android yang terdampak masalah ini. Aplikasi di iOS App Store juga menunjukkan tren berbahaya yang sama, yaitu rahasia yang diprogram secara hardcoded ke dalam aplikasi. Namun, dengan ukuran sampel yang jauh lebih kecil, dengan hanya 156.000 aplikasi iOS yang diperiksa (di mana sekitar 70% di antaranya juga mengandung setidaknya satu rahasia hardcoded).

Agar tidak mengalami kebocoran data, Anda harus selalu berhati-hati saat menginstal aplikasi baru dari Google Play Store, terutama jika mereka mengharuskan Anda memberikan data sensitif tentang diri Anda. Anda tidak pernah tahu seberapa baik pengembang telah mengamankan kode mereka sendiri. (Cybernews/PCWorld/Z-2)