Cara mengelola izin aplikasi
"Hai @Aeromexico, kenapa kamu mencoba menggunakan kamera ponselku?" Dengan tweet ini, jurnalis Inggris Duncan Tucker bertanya kepada maskapai itu beberapa minggu yang lalu mengapa ia mencoba mengakses kamera ponsel ketika, di samping itu, ia memiliki izin yang sesuai dinonaktifkan. Hampir semua aplikasi di pasar mengumpulkan data pengguna dan memiliki akses ke izin tertentu. Tetapi dalam banyak kesempatan, pengguna melarikan diri ketika aplikasi menggunakannya dan jika mereka melakukannya secara legal. Apakah mungkin untuk mengetahui kapan aplikasi mengakses kamera, foto, atau mikrofon ponsel? Berikut adalah beberapa tips untuk mengelola izin aplikasi.
Javier Tallon, anggota Kelompok Keamanan dan Pertahanan Komputer Dewan Perguruan Tinggi Teknik Komputer, menjelaskan dengan merujuk pada kasus Tucker bahwa akses ke kamera oleh maskapai Meksiko dapat legal dalam beberapa situasi. Misalnya, jika digunakan untuk membaca kode uang kertas. Tetapi, dilihat dari tweet jurnalis, aplikasi mencoba mengakses izin ini pada saat itu tidak berlaku.
Tucker mengetahui tentang niat maskapai Meksiko itu karena ia telah mengaktifkan "monitor izin aplikasi" pada ponsel cerdasnya. Ini adalah fungsi yang hanya tersedia untuk beberapa terminal Samsung yang memungkinkan Anda untuk memberikan izin sesuai permintaan untuk setiap aplikasi dan tahu kapan itu digunakan. "Terima pemberitahuan saat aplikasi yang berjalan di latar belakang menggunakan izin yang telah Anda pilih," dilaporkan ketika Anda mengaktifkan fitur di pengaturan telepon. Selain itu, semua aktivitas ini direkam dalam riwayat yang dapat ditinjau pengguna kapan saja.
Monitor izin, dalam hal ini, mengingatkan niat dan tidak begitu banyak eksekusi, menurut Tallón, yang juga co-founder dan direktur teknis dan operasi JT detik Beyond IT Security: "Kita bisa memikirkan itu ketika kita berurusan dengan penerapan Dengan menggunakan kamera, monitor izin mendeteksi perilaku mencurigakan dan mengeluarkan peringatan. Namun, aplikasi tidak pernah dapat mengakses kamera perangkat karena izinnya dinonaktifkan. "
Informasi apa yang diizinkan oleh setiap aplikasi?
Biasanya, pengguna dapat mengetahui daftar izin yang diperlukan suatu aplikasi pada saat instalasi. Aplikasi umumnya meminta pengguna untuk rata-rata tiga hingga empat izin, menurut Tallon. Izin yang paling banyak diminta, katanya, adalah akses ke file pengguna, kamera perangkat, dan layanan lokasi. Dan aplikasi yang cenderung meminta izin paling banyak adalah yang terkait dengan media sosial dan belanja online.
"Setelah aplikasi diinstal, kita dapat mengetahui pertama kali bahwa ia menggunakan setiap izin, karena itu akan meminta eksekusi oleh pengguna", menjelaskan Ismael Morales, anggota CCII Defense Security Group dan CCI dan manajer teknis keamanan cyber di Wellness TechGroup . Kemudian, aplikasi tidak akan memerlukan persetujuan pengguna setiap kali mereka menggunakan izin yang diterima sebelumnya: "Mulai saat ini, pengguna tidak lagi tahu kapan aplikasi menggunakan izin".
Faktanya, fitur ponsel Tucker hanya tersedia di beberapa ponsel Samsung dan tidak umum di terminal lain. "Sulit bagi pengguna umum untuk mengetahui informasi apa yang dapat diakses oleh suatu aplikasi atau perangkat, di luar kendali izin," kata Tallon. Untuk melindungi diri mereka sendiri, para ahli berkonsultasi merekomendasikan hanya menginstal aplikasi yang benar-benar diperlukan dan memeriksa sebelum melakukannya jika izin yang diminta dapat kasar. Morales menginformasikan bahwa dalam hal memiliki beberapa alternatif saat memasang aplikasi yang menawarkan fungsi yang sama, lebih baik untuk menginstal izin minimum yang kami anggap kasar untuk diminta.
Alat
Peneliti ICSI, Serge Egelman menjelaskan bahwa ada banyak situs web dan alat yang menampilkan izin yang diminta oleh aplikasi, tetapi tidak melaporkan apakah izin tersebut benar-benar digunakan dalam praktik atau waktu yang tepat digunakan: "Ketahuilah bahwa izin adalah itu tidak sama dengan mengetahui bahwa itu sebenarnya digunakan. "
Untuk mendeteksi izin apa yang digunakan aplikasi dan kapan aplikasi itu, seperti yang disebutkan, sistem operasi harus dimodifikasi. Ini telah dilakukan dengan sekelompok peneliti dan telah menciptakan AppCensus, sebuah perusahaan yang bertanggung jawab untuk memverifikasi perilaku berbagai aplikasi Android. “Selama beberapa tahun, kami telah membangun versi Android kami sendiri yang disesuaikan yang mencakup instrumentasi untuk memantau akses aplikasi ke data pribadi. Karena ini memerlukan modifikasi pada sistem operasi, itu tidak dapat dilakukan dalam aplikasi yang diinstal dari Play Store, ”katanya.
AppCensus memberikan informasi tentang perilaku berbagai aplikasi di pasar di situs webnya sehingga pengguna dapat mengetahui data apa yang mereka akses dan jika dibagikan kepada pihak ketiga. Menurut Egelman, ini adalah satu dari sedikit cara konsumen memahami implikasi privasi dari aplikasi yang mereka gunakan. Dia menekankan bahwa sebelum hanya ada dua cara untuk mengetahui: membaca kebijakan privasi dan memeriksa lalu lintas jaringan. “Kita semua tahu tentang masalah dengan kebijakan privasi. Mereka ambigu, memakan waktu dan sulit dibaca. Kedua, mengharapkan pengguna rata-rata untuk memantau dan menganalisis lalu lintas jaringan benar-benar tidak masuk akal, dan itu berarti bahwa ketika mendeteksi perilaku buruk, itu sudah terjadi, "tambahnya.
Joel Reardon, seorang profesor di Universitas Calgary dan arsitek AppCensus lainnya, mempertanyakan kegunaan alat yang terus-menerus memberi tahu pengguna bahwa aplikasi akan menggunakan izin mereka. Baginya, akan berguna jika pengguna dapat, misalnya, menolak akses ke lokasi, mikrofon atau kamera ketika layar terminal atau audio dimatikan.
Baik Egelman dan Reardon menekankan bahwa beberapa aplikasi mencari cara untuk mengakses informasi tertentu bahkan jika pengguna telah secara eksplisit menolak izin. Keduanya telah berpartisipasi dalam penyelidikan yang dilakukan oleh tim pakar keamanan cyber, yang telah mengungkapkan bahwa hingga 12.923 aplikasi telah menemukan cara untuk terus mengumpulkan informasi pribadi meskipun secara eksplisit menolak mereka. Jumlah pengguna potensial yang dipengaruhi oleh temuan ini, kata mereka, adalah "ratusan juta."
TIPS UNTUK MELINDUNGI DIRI ANDA SEBAGAI PENGGUNA
Pengembang aplikasi dan bahkan produsen terminal sering mengumpulkan informasi pengguna tanpa persetujuan mereka. Hal ini dinyatakan oleh Tallón, yang menunjukkan bahwa ada perbedaan yang cukup besar dalam kualitas smartphones dari produsen yang berbeda: “Meskipun trennya adalah untuk berpikir bahwa produsen yang paling terkenal adalah yang paling dapat diandalkan, jelas bahwa lalu lintas informasi pengguna skala besar adalah bisnis yang sangat menguntungkan dan di mana, kemungkinan besar, paling besar perusahaan di dunia smartphones berpartisipasi. "
Oleh karena itu, ia menunjukkan bahwa idenya adalah untuk mencoba menggunakan perangkat yang keamanannya telah diverifikasi dan disertifikasi oleh para profesional di sektor independen dari produsen.
Sementara itu, Morales memperingatkan bahwa "salah satu titik terlemah dari sebuah smartphone adalah muatannya." Saat ia menjelaskan, ada kabel untuk mengisi daya ponsel yang tidak memungkinkan pertukaran data ketika, misalnya, ponsel terhubung ke komputer. "Dalam hal ini, salah satu langkah utama adalah mencoba menghindari pengisian ponsel dengan kabel yang tidak khusus untuk pengisian daya di tempat umum," katanya.
