Kerentanan aplikasi keyboard ancam keamanan data pengguna
Kebanyakan aplikasi keyboard ini menawarkan fitur prediksi berbasis cloud yang mengirimkan ketukan tombol ke server yang berlokasi di tempat lain.
Sebuah temuan mengejutkan diungkap oleh laboratorium penelitian Citizen Lab, mengidentifikasi kerentanan pada aplikasi keyboard yang digunakan oleh satu miliar pengguna. Kerentanan ini terutama ditemukan pada aplikasi keyboard untuk penulisan karakter Tionghoa dengan sistem pinyin yang populer.
Dikutip dari Phone Arena (29/4), kerentanan ditemukan dalam aplikasi dari sembilan perusahaan terkemuka, termasuk Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo, dan Xiaomi. Analisis dilakukan pada perangkat yang dijual di wilayah Tiongkok. Menurut temuan, aplikasi Samsung Keyboard tidak melakukan enkripsi, dan sebagian besar aplikasi lainnya tidak mengimplementasikan kriptografi asimetris.
Kebanyakan aplikasi keyboard ini menawarkan fitur prediksi berbasis cloud yang mengirimkan ketukan tombol ke server yang berlokasi di tempat lain. Hal ini membuka celah keamanan di mana ketukan tombol dapat diakses oleh pihak ketiga tanpa sepengetahuan pengguna.
Dari seluruh aplikasi keyboard pinyin yang diteliti oleh Citizen Lab, hanya aplikasi milik Huawei yang tidak menunjukkan adanya kerentanan. Kerentanan pada aplikasi lainnya memungkinkan pihak yang tidak bertanggung jawab untuk melihat input dari pengguna. Kerentanan ini berpotensi mengubah keyboard berbasis cloud menjadi alat keylogging.
Menurut penelitian, kerentanan ini bisa dieksploitasi oleh penyadap jaringan pasif tanpa mengganggu saluran komunikasi, membuatnya sulit untuk dideteksi. Fakta ini menambah potensi risiko, karena para pelaku dapat memonitor dan merekam semua ketukan tanpa diketahui oleh pengguna.
Kerentanan ini sangat mengkhawatirkan karena dapat menarik perhatian berbagai pihak, termasuk agen intelijen pemerintah. Para peneliti menyatakan keprihatinan bahwa kerentanan ini mungkin sudah dieksploitasi untuk tujuan pengawasan sebelum mereka menemukannya.
Citizen Lab telah melaporkan temuan ini kepada semua vendor terkait, dan sebagian besar telah mengambil langkah untuk memperbaiki kerentanan tersebut. Penelitian ini juga menekankan bahwa aplikasi keyboard dari Apple dan Google tidak mengirimkan ketukan tombol ke server cloud.
Untuk menghindari risiko kebocoran data pribadi melalui ketukan tombol, disarankan bagi pengguna untuk menggunakan keyboard yang hanya beroperasi di perangkat dan memastikan bahwa sistem operasi serta aplikasi mereka selalu diperbarui.