Bahaya! Peretas gunakan iklan di aplikasi seperti Candy Crush dan Tinder untuk simpan lokasi pengguna

Mendompleng aplikasi untuk mendapatkan data pengguna ponsel pintar oleh peretas bukan hal yang baru. Namun biasanya, para peretas membuat aplikasi palsu atau menyuntikkan kode berbahaya ke sebuah aplikasi populer untuk melaksanakan skema berbahaya mereka.

Tapi, dalam sebuah laporan terbaru, para peretas menemukan cara yang lebih efektif dan lebih efisien dalam melancarkan serangan mereka. Kali ini, mereka memanfaatkan iklan untuk melakukan pengumpulan data lokasi sensitif dalam skala besar.

Ribuan aplikasi dilaporkan telah menjadi sasaran mereka. Bukan hanya aplikasi yang kurang populer saja, melainkan aplikasi populer mulai dari game populer seperti Candy Crush hingga aplikasi kencan populer seperti tinder menjadi korban.

Yang menemukan masalah tersebut adalah perusahaan data lokasi Gravy Analytics. Mereka menyebut, karena jenis serangan ini tidak dimasukkan ke dalam aplikasi secara langsung, melainkan melalui ekosistem iklan, jadi hal ini sulit untuk terdeteksi.

Bukan hanya pengguna saja yang tergocek terhadap serangan ini, namun bahkan Google dan Apple sebagai distributor aplikasi dan bahkan para pengembang aplikasi itu sendiri tidak dapat menyadari hal tersebut.

"Untuk pertama kalinya di depan publik, kami akhirnya memiliki bukti bahwa salah satu pialang data terbesar yang menjual data kepada klien komersial dan pemerintah tampaknya memperoleh data mereka dari iklan daring, bukan dari kode yang disematkan ke dalam aplikasi itu sendiri,” kata Zach Edwards, analis ancaman senior di perusahaan keamanan siber Silent Push seperti dilansir dari laman 404 Media (10/1).

Data tersebut memberikan pandangan langka ke dalam dunia penawaran waktu nyata (RTB). Biasanya, perusahaan data lokasi membayar pengembang aplikasi untuk menyertakan kumpulan kode yang mengumpulkan data lokasi pengguna mereka. 

Banyak perusahaan beralih ke sumber informasi lokasi melalui ekosistem periklanan, tempat perusahaan mengajukan penawaran untuk menempatkan iklan di dalam aplikasi. Namun, efek sampingnya adalah pialang data dapat mendengarkan proses tersebut dan mengumpulkan lokasi ponsel orang.

"Ini adalah skenario mimpi buruk bagi privasi, karena pelanggaran data ini tidak hanya berisi data yang diambil dari sistem RTB, tetapi ada beberapa perusahaan di luar sana yang bertindak seperti tengkulak global, melakukan apa pun yang diinginkannya dengan setiap bagian data yang masuk," kata Edwards.

Data Gravy mengatakan, puluhan juta data lokasi yang diambil sebagian besar terletak di AS, Rusia, dan Eropa. Daftar tersebut mencakup situs kencan Tinder dan Grindr, game populer seperti Candy Crush, Temple Run, Subway Surfers, dan Harry Potter: Puzzles & Spells, aplikasi transportasi seperti Moovit, My Period Calendar & Tracker, aplikasi pelacak haid dengan lebih dari 10 juta unduhan, aplikasi kebugaran populer MyFitnessPal, jejaring sosial Tumblr, klien seperti email Yahoo, aplikasi kantor Microsoft 365, dan pelacak penerbangan Flightradar24. 

Daftar tersebut juga menyebutkan beberapa aplikasi yang berfokus pada agama seperti aplikasi doa Muslim dan Alkitab Kristen, berbagai pelacak kehamilan, dan banyak aplikasi VPN, yang ironisnya dapat diunduh oleh beberapa pengguna sebagai upaya untuk melindungi privasi mereka.

Beberapa peneliti keamanan telah menerbitkan daftar aplikasi lain yang disertakan dalam data, dengan ukuran yang bervariasi. Meskipun kumpulan data ini tampaknya berasal dari Gravy, tidak jelas apakah Gravy sendiri yang mengumpulkan data lokasi ini atau mengambilnya dari perusahaan lain, atau perusahaan lokasi mana yang akhirnya memilikinya atau memiliki lisensi untuk menggunakannya.

Sebagian besar data lokasi yang dilampirkan pada nama-nama aplikasi ini tidak memiliki cap waktu. Namun, ada indikasi bahwa data tersebut berasal dari tahun 2024. Salah satu aplikasi yang tercantum adalah Call of Duty: Mobile, dan khususnya di musim kelima yang diluncurkan pada bulan Mei 2024 .

Gravy adalah perusahaan yang menggerakkan sebagian besar industri data lokasi lainnya. Perusahaan ini mengumpulkan data lokasi ponsel dari berbagai sumber, lalu menjualnya ke perusahaan komersial atau, melalui anak perusahaannya Venntel, ke lembaga pemerintah AS. 

Menanggapi pemberitaan tersebut, sebagian besar pengembang aplikasi dan perusahaan yang tercantum dalam daftar itu tidak menanggapi permintaan komentar. Flightradar24 mengatakan dalam sebuah email bahwa mereka belum pernah mendengar tentang Gravy, tetapi mereka memang menampilkan iklan, yang diklaim "membantu menjaga Flightradar24 tetap gratis".

Di sisi lain, Tinder mengatakan dalam sebuah email bahwa "Tinder sangat memperhatikan keselamatan dan keamanan. Kami tidak memiliki hubungan dengan Gravy Analytics dan tidak memiliki bukti bahwa data ini diperoleh dari aplikasi Tinder". Tapi mereka tidak menjawab pertanyaan tentang iklan di dalam aplikasi.

Muslim Pro, salah satu aplikasi salat Muslim yang termasuk dalam daftar tersebut, mengatakan dalam sebuah email bahwa mereka tidak mengetahui keberadaan Gravy. 

“Ya, kami menampilkan iklan melalui beberapa jaringan iklan untuk mendukung versi gratis aplikasi kami. Namun, seperti yang disebutkan di atas, kami tidak mengizinkan jaringan ini untuk mengumpulkan data lokasi pengguna kami,” kata perwakilan perusahaan.

Sementara Grindr mengatakan kepada 404 Media melalui email, "Grindr tidak pernah bekerja sama atau memberikan data kepada Gravy Analytics. Kami tidak membagikan data dengan agregator atau broker data dan tidak membagikan lokasi geografis dengan mitra iklan selama bertahun-tahun.”

“Transparansi merupakan inti dari program privasi kami, oleh karena itu pihak ketiga dan penyedia layanan yang bekerja sama dengan kami tercantum di sini di situs web kami," lanjut mereka. Grindr sebelumnya diketahui telah mengizinkan broker data untuk memperoleh data lokasi penggunanya.