1 Juta Aplikasi AI di Android Bocorkan 700 TB Data Sensitif Pengguna

- Peneliti keamanan di media keamanan siber Cybernews menerbitkan studi baru.

Riset itu menemukan bahwa aplikasi AI yang beredar di toko aplikasi platform Android Google Play Store, ternyata tidak memiliki keamanan yang memadai. Kerentanan itu membuat data sensitif pengguna terekspos.

Setelah meneliti sekitar 1,8 juta aplikasi AI Android di PlayStore, peneliti menemukan sebanyak 730 TB data pengguna di server cloud Google bocor.

Informasi sensitif itu termasuk data keuangan yang memungkinkan hacker menguras dompet digital. Kebocoran ini terjadi melalui serangan siber yang ditargetkan.

Menurut peneliti, sebagian besar aplikasi AI di Play Store menggunakan teknik enkripsi yang tidak aman, yakni "hardcoding". Hardcode atau hardcoded secret berarti bahwa data sensitif seperti kunci API dan password disimpan langsung ke kode sumber aplikasi.

Dari total aplikasi yang dianalisis, 72 persen di antaranya mengandung setidaknya satu hardcoded secret. Artinya, ada sekitar 1,2 juta aplikasi AI di Play Store yang rentan. Rata-rata, satu aplikasi AI membocorkan 5,1 kode rahasia.

Sebanyak 81 persen dari kode rahasia yang terungkap, berkaitan dengan identifier Google Cloud Project, endpoint, dan API key. Artinya, semua data rahasia yang bocor di aplikasi AI, sebagian besar berhubungan dengan akses ke layanan Google Cloud, lebih tepatnya di sistem kredensial backend.

Celah ini bisa dieksploitasi melalui serangan yang bersifat otomatis.

Dampak bagi pengguna

Kebocoran data ini bisa menimbulkan risiko ketika dikaitkan dengan layanan yang memproses data keuangan, analitik atau data pelanggan.

Sebab, data seperti kunci API bisa dimanfaatkan untuk memungkinkan hacker bertindak atas nama pengguna, memanipulasi akun, maupun memalsukan riwayat transaksi.

Tidak sepenuhnya jelas bagaimana aplikasi AI yang memiliki keamanan tidak memadai ini bisa lolos dan dipajang di Play Store.

Namun umumnya praktik ini terjadi karena tekanan waktu, mengingat aplikasi di bidang AI dikembangkan dengan cepat dan segera diedarkan demi mengikuti tren.

Cybernews tak merinci aplikasi AI apa yang terkait dengan kebocoran ini. Yang jelas, aplikasi AI ternama seperti ChatGPT, Gemini, Claude, dan lainnya tidak termasuk dalam kebocoran itu karena tidak didesain dengan teknik hardcoding.

Meski demikian, para peneliti menegaskan bahwa keamanan chatbot sejenis belum ditingkatkan.

Peneliti juga memperingatkan pengguna untuk selalu berhati-hati ketika menginstal aplikasi baru dari Play Store, terutama ketika aplikasinya meminta data sensitif.

Menutup laporannya, para peneliti menyatakan bahwa kebocoran ini tidak hanya berdampak pada aplikasi berbasis Android. Sebab, aplikasi AI berbasis iOS di App Store juga menunjukkan risiko yang sama dengan penggunaan enkripsi terintegrasi hardcoding.

Hanya saja, sampelnya jauh lebih kecil, hanya sekitar 156.000 aplikasi. Sekitar 70 persen di antaranya juga ditemukan mengandung setidaknya satu tahasia yang dikodekan, dihimpun KompasTekno dari PC World dan Cybernews.

Google belum memberikan tanggapan terkait temuan ini.

Tag: #juta #aplikasi #android #bocorkan #data #sensitif #pengguna