Jutaan Aplikasi Android Bocorkan Data Pengguna Skala Besar
UPBERITA.COM - Sebuah analisis mendalam terhadap 1,8 juta aplikasi Android di Google Play Store yang memiliki fitur kecerdasan buatan (AI) mengungkap kerentanan keamanan yang mengkhawatirkan. Riset ini menemukan bahwa mayoritas aplikasi tersebut menyimpan informasi sensitif secara tidak aman, berpotensi mengekspos jutaan pengguna.
Temuan utama dari penelitian ini menunjukkan bahwa hampir tiga perempat (72%) dari aplikasi AI Android yang diperiksa mengandung setidaknya satu "rahasia" yang disematkan langsung dalam kode aplikasi. Rata-rata, setiap aplikasi yang terdampak membocorkan 5,1 rahasia, sebuah angka yang jauh melebihi perkiraan awal.
Kerentanan Keamanan di Jantung Aplikasi AI Android
Secara total, para peneliti mengidentifikasi 197.092 rahasia unik di seluruh kumpulan data, mengindikasikan praktik pengkodean yang tidak aman masih merajalela meskipun telah ada peringatan sejak lama. Lebih dari 81% dari semua rahasia yang terdeteksi terkait dengan infrastruktur Google Cloud, termasuk ID proyek, kunci API, database Firebase, dan bucket penyimpanan.
Dari endpoint Google Cloud yang terdeteksi, sebanyak 26.424 diidentifikasi, meskipun sekitar dua pertiganya menunjuk ke infrastruktur yang sudah tidak ada. Di antara endpoint yang masih ada, 8.545 bucket penyimpanan Google Cloud masih memerlukan otentikasi, dan ratusan lainnya dikonfigurasi secara keliru sehingga dapat diakses publik. Hal ini berpotensi mengekspos lebih dari 200 juta file, dengan total hampir 730TB data pengguna.
Studi tersebut juga mengidentifikasi 285 database Firebase tanpa kontrol otentikasi sama sekali, secara kolektif membocorkan setidaknya 1,1GB data pengguna. Dalam 42% dari database yang terekspos ini, peneliti menemukan tabel yang diberi label sebagai bukti konsep, menunjukkan adanya kompromi sebelumnya oleh penyerang. Database lain berisi akun administrator yang dibuat dengan alamat email bergaya penyerang, menunjukkan bahwa eksploitasi bukanlah teori tetapi sudah dalam proses.
Banyak dari database ini tetap tidak aman bahkan setelah ada tanda-tanda intrusi yang jelas, menunjukkan pemantauan yang buruk daripada kesalahan satu kali. Meskipun ada kekhawatiran seputar fitur AI, kebocoran kunci API model bahasa besar (LLM) relatif jarang terjadi; hanya sejumlah kecil kunci yang terkait dengan penyedia utama seperti OpenAI, Google Gemini, dan Claude yang terdeteksi di seluruh kumpulan data. Dalam konfigurasi tipikal, kebocoran kunci semacam itu akan memungkinkan penyerang untuk mengajukan permintaan baru tetapi tidak akan memberikan akses ke percakapan yang tersimpan, prompt historis, atau respons sebelumnya.
Beberapa eksposur paling parah melibatkan infrastruktur pembayaran langsung, termasuk kebocoran kunci rahasia Stripe yang mampu memberikan kontrol penuh atas sistem pembayaran. Kredensial lain yang bocor memungkinkan akses ke platform komunikasi, analitik, dan data pelanggan, yang memungkinkan peniruan aplikasi atau ekstraksi data yang tidak sah. Kegagalan ini tidak dapat dimitigasi oleh alat dasar seperti firewall atau alat penghapus malware setelah eksposur terjadi. Skala data yang terekspos dan jumlah aplikasi yang sudah terkompromi menunjukkan bahwa penyaringan toko aplikasi saja belum mengurangi risiko sistemik.
Sumber : techradar.com
