Mengejutkan, Jutaan Aplikasi AI Android Diduga Bocorkan 700 TB Data Pengguna

Temuan terbaru dari peneliti keamanan siber mengungkap potensi kebocoran data dalam skala besar dari aplikasi kecerdasan buatan atau AI di Android. Studi yang diterbitkan oleh Cybernews menyebutkan bahwa jutaan aplikasi AI di Google Play Store memiliki celah keamanan serius yang berpotensi mengekspos data sensitif pengguna.

Berdasarkan riset tersebut, peneliti menganalisis sekitar 1,8 juta aplikasi AI Android yang tersedia di Play Store. Hasilnya, ditemukan sekitar 730 terabyte data pengguna tersimpan di server Google Cloud dalam kondisi terekspos. Data tersebut mencakup informasi sensitif, termasuk data keuangan yang berisiko dimanfaatkan peretas untuk menguras dompet digital pengguna.

Menurut laporan yang dihimpun KompasTekno dari PC World dan Cybernews, sebagian besar aplikasi AI yang diteliti menggunakan teknik enkripsi tidak aman yang dikenal sebagai hardcoding atau hardcoded secret. Teknik ini menyimpan data sensitif seperti kunci API dan kata sandi langsung di dalam kode sumber aplikasi.

Dari total aplikasi yang dianalisis, sekitar 72 persen atau setara dengan kurang lebih 1,2 juta aplikasi mengandung setidaknya satu hardcoded secret. Rata rata, satu aplikasi AI membocorkan 5,1 kode rahasia.

Sebanyak 81 persen dari kode rahasia yang ditemukan berkaitan dengan identifier Google Cloud Project, endpoint, serta API key. Artinya, sebagian besar kebocoran berhubungan dengan akses ke layanan Google Cloud, khususnya pada sistem kredensial backend. Celah ini berpotensi dieksploitasi melalui serangan otomatis oleh pihak tidak bertanggung jawab.

Risiko Besar bagi Pengguna Android dan iOS

Kebocoran data dalam jumlah besar ini menimbulkan risiko serius, terutama jika aplikasi tersebut terhubung dengan layanan yang memproses data keuangan, analitik, atau informasi pelanggan. Kunci API yang bocor bisa memungkinkan peretas bertindak atas nama pengguna, memanipulasi akun, hingga memalsukan riwayat transaksi.

Peneliti juga menyoroti bahwa praktik keamanan yang lemah ini kemungkinan dipicu oleh tekanan waktu dalam pengembangan aplikasi AI. Industri AI berkembang sangat cepat, sehingga banyak pengembang berlomba merilis aplikasi demi mengikuti tren tanpa memperhatikan standar keamanan yang memadai.

Cybernews tidak merinci daftar aplikasi AI mana saja yang terdampak dalam temuan ini. Namun, disebutkan bahwa aplikasi AI populer seperti ChatGPT, Gemini, dan Claude tidak termasuk dalam kategori yang bocor karena tidak dirancang menggunakan teknik hardcoding. Meski demikian, peneliti tetap mengingatkan bahwa keamanan chatbot secara umum masih perlu ditingkatkan.

Menariknya, temuan ini tidak hanya berlaku untuk Android. Aplikasi AI berbasis iOS di App Store juga menunjukkan risiko serupa. Dari sekitar 156.000 aplikasi AI iOS yang dianalisis, sekitar 70 persen ditemukan mengandung setidaknya satu rahasia yang dikodekan secara langsung di dalam aplikasi.

Hingga laporan ini dipublikasikan, Google belum memberikan tanggapan resmi terkait hasil penelitian tersebut.

Para peneliti menyarankan pengguna untuk lebih berhati hati saat mengunduh aplikasi baru, terutama jika aplikasi tersebut meminta akses ke data sensitif. Mengaktifkan autentikasi dua faktor, memperbarui sistem operasi secara rutin, dan memeriksa reputasi pengembang sebelum instalasi menjadi langkah penting untuk meminimalkan risiko kebocoran data.

Referensi:
Kompas.com