Jakarta (PARADE.ID)- Sebanyak 56 aplikasi iOS, termasuk TikTok, teridentifikasi bisa mengancam privasi para pengguna iPhone.
Ini lantaran aplikasi-aplikasi itu bisa mengakses data-data sensitif, seperti kata sandi, alamat dompet cryptocurrency, tautan pengaturan ulang akun, dan pesan pribadi yang disimpan di clipboard iPhone atau iPad.
Serangan privasi tersebut, menurut Arstechnica, diakses Selasa (30 Juni 2020), karena aplikasi berulang kali membaca teks apa pun yang berada di clipboard—biasa digunakan di komputer dan smartphone untuk menyimpan teks.
Masalah itu ditemukan pertama kali oleh peneliti Talal Haj Bakry dan Tommy Mysk pada Maret lalu. Menurut peneliti, aplikasi-aplikasi itu dengan sengaja mengambil teks dari clipboardpengguna tanpa alasan yang jelas.
Peneliti mengkhawatirkan pembacaan clipboarditu bisa membuka kemungkinan lain, yaitu membaca data sensitif clipboard pada perangkat lain yang terkoneksi.
“Ini sangat berbahaya,” kata Mysk.
“Aplikasi-aplikasi ini membaca clipboard dengan tidak ada alasan untuk melakukannya. Aplikasi yang tidak memiliki bidang teks untuk memasukkan teks, tidak memiliki alasan untuk membaca teks clipboard,” ia menambahkan.
Pekan lalu, Apple baru saja menerbitkan iOS 14 versi beta. Ternyata, fitur baru yang ditambahkan pada iOS14 bisa mendeteksi atau menangkap masalah-masalah pembacaan teks pada clipboard. Apple memberikan peringatan banner setiap kali aplikasi membaca konten clipboard.
Dari puluhan aplikasi, TikTok termasuk yang paling menjadi sorotan dalam kasus ini. Ini lantaran media sosial video ini memiliki pengguna yang sangat besar di dunia.
Sejauh pengamatan Mysk, apalikasi TikTok tidak pernah menghentikan pemantauan clipboard. Pembacaan clipboard terjadi setiap kali pengguna TikTok memasukkan tanda baca atau mengetuk bilah spasi saat menulis komentar.
“Itu berarti pembacaan clipboard dapat terjadi setiap detik atau lebih, kecepatan yang jauh lebih agresif daripada yang didokumentasikan dalam penelitian Maret lalu, yang menemukan pemantauan terjadi ketika aplikasi dibuka atau dibuka kembali,” tulis Arstechnica.
Menanggapi temuan itu, TikTok mengatakan, persoalan itu dipicu oleh fitur yang dirancang memang untuk mengidentifikasi perilaku berulang yang bersifat spam.
TikTok mengklaim telah mengirimkan pembaruan ke App Store. Sementara, untuk Android, TikTok mengklaim tidak pernah menerapkan fitur anti-spam.
TikTok mengatakan sangat berkomitmen untuk melindungi privasi pengguna dan bersikap transparan dengan cara kerja platformnya.
Pengembang aplikasi 10% Happier: Meditation juga berjanji untuk menghentikan perilaku itu dan segera menindaklanjutinya.
Apakah wajar?
Dalam beberapa kasus aplikasi, kata peneliti, membaca data clipboard memang dapat membuat aplikasi jauh lebih efektif bekerja.
Aplikasi UPS iPhone, misalnya, menarik teks dari clipboard, dan, jika teks cocok dengan karakteristik nomor pelacakan, aplikasi meminta pengguna untuk melacak paket yang sesuai.
Google Chrome juga menarik teks dan, jika itu URL, akan meminta pengguna untuk menjelajahinya. Aplikasi edit foto, Pixelmator,hanya membaca data jika itu adalah gambar. Jika ya, Pixelmator akan meminta pengguna untuk membukanya untuk diedit.
Dalam ketiga kasus, pembacaan data memiliki penggunaan yang jelas dan transparan, kata peneliti.
Hal itu berbeda dengan 56 aplikasi tersebut yang mengakses clipboard tanpa alasan yang jelas dan tanpa indikasi bahwa aplikasi melakukan akses itu.
Mysk menghargai fitur notifikasi Apple (khusus iOS 14 versi beta) sehingga pengguna mengetahui ada pembacaan clipboard.
Namun, ia berharap Apple dan Google juga harus berbuat lebih banyak dengan menetapkan izin standar akses ke clipboard, seperti halnya akses ke mikrofon atau kamera.
Untuk saat ini, pengguna diminta untuk hati-hati menyimpan data apa pun di clipboard , kata peneliti.
Selain TikTok, peneliti menemukan bahwa aplikasi iOS berikut membaca data clipboardpengguna setiap kali aplikasi dibuka:
News (keterangan nama aplikasi—BundleID)
- ABC News — com.abcnews.ABCNews
- Al Jazeera English — ajenglishiphone
- CBC News — ca.cbc.CBCNews
- CBS News — com.H443NM7F8H.CBSNews
- CNBC — com.nbcuni.cnbc.cnbcrtipad
- Fox News — com.foxnews.foxnews
- News Break — com.particlenews.newsbreak
- New York Times — com.nytimes.NYTimes
- NPR — org.npr.nprnews
- ntv Nachrichten — de.n-tv.n-tvmobil
- Reuters — com.thomsonreuters.Reuters
- Russia Today — com.rt.RTNewsEnglish
- Stern Nachrichten — de.grunerundjahr.sternneu
- The Economist — com.economist.lamarr
- The Huffington Post — com.huffingtonpost.HuffingtonPost
- The Wall Street Journal — com.dowjones.WSJ.ipad
- Vice News — com.vice.news.VICE-News
Games
- 8 Ball Pool™ — com.miniclip.8ballpoolmult
- AMAZE!!! — com.amaze.game
- Bejeweled — com.ea.ios.bejeweledskies
- Block Puzzle —Game.BlockPuzzle
- Classic Bejeweled — com.popcap.ios.Bej3
- Classic Bejeweled HD—com.popcap.ios.Bej3HD
- FlipTheGun — com.playgendary.flipgun
- Fruit Ninja — com.halfbrick.FruitNinjaLite
- Golfmasters — com.playgendary.sportmasterstwo
- Letter Soup — com.candywriter.apollo7
- Love Nikki — com.elex.nikki
- My Emma — com.crazylabs.myemma
- Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
- Pooking – Billiards City — com.pool.club.billiards.city
- PUBG Mobile — com.tencent.ig
- Tomb of the Mask — com.happymagenta.fromcore
- Tomb of the Mask: Color — com.happymagenta.totm2
- Total Party Kill — com.adventureislands.totalpartykill
- Watermarbling — com.hydro.dipping
Social Networking
- TikTok — com.zhiliaoapp.musically
- ToTalk — totalk.gofeiyu.com
- Tok — com.SimpleDate.Tok
- Truecaller — com.truesoftware.TrueCallerOther
- Viber — com.viber
- Weibo — com.sina.weibo
- Zoosk — com.zoosk.Zoosk
Lainnya
- 10% Happier: Meditation—com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner — com.smartestapple.50radiofree
- Accuweather — com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App — com.alibaba.iAliexpress
- Bed Bath & Beyond — com.digby.bedbathbeyond
- Dazn — com.dazn.theApp
- Hotels.com — com.hotels.HotelsNearMe
- Hotel Tonight — com.hoteltonight.prod
- Overstock — com.overstock.app
- Pigment – Adult Coloring Book — com.pixite.pigment
- Recolor Coloring Book to Color — com.sumoing.ReColor
- Sky Ticket — de.sky.skyonline
- The Weather Network — com.theweathernetwork.weathereyeiphone
(Cyberthreat/PARADE.ID)