Jika siapa pun tahu semua aplikasi yang ada di ponsel Anda

 (peabee.substack.com)
2 poin oleh GN⁺ 2025-03-30 | Belum ada komentar. | Bagikan ke WhatsApp
  • Hingga beberapa tahun lalu, aplikasi Android dapat melihat daftar semua aplikasi yang terpasang tanpa izin pengguna
  • Mulai Android 11 (berlaku sejak 2022), Google memperkenalkan kebijakan visibilitas paket yang membatasi akses pengembang aplikasi ke daftar aplikasi yang terpasang
  • Sebagai pengecualian, aplikasi yang fungsi intinya spesifik seperti pengelola file, browser, dan aplikasi antivirus dapat meminta izin QUERY_ALL_PACKAGES untuk melihat seluruh daftar aplikasi
  • Pengembang harus mencantumkan daftar aplikasi yang ingin mereka periksa di AndroidManifest.xml

Bagaimana aplikasi India menggunakan daftar aplikasi yang terpasang

  • Penulis memasang berbagai aplikasi India di ponsel Android sekunder dan menganalisis file AndroidManifest.xml
  • Sebagian besar aplikasi hanya memeriksa aplikasi yang masuk akal untuk menjalankan fungsinya, seperti aplikasi pembayaran UPI
  • Namun, beberapa aplikasi mencantumkan sangat banyak aplikasi dan mengumpulkan informasi secara berlebihan

Daftar aplikasi yang diperiksa oleh Swiggy

  • Swiggy mencantumkan hingga 154 nama paket aplikasi
  • Termasuk aplikasi yang tidak terkait dengan pengantaran makanan seperti Xbox, Playstation, Naukri, dan Upstox
  • Ini kemungkinan besar bertujuan untuk membuat profil pengguna berdasarkan data perilaku pelanggan
  • Menurut kebijakan Google, daftar aplikasi yang terpasang diklasifikasikan sebagai data pribadi sensitif

Daftar aplikasi yang diperiksa oleh Zepto

  • Zepto mencantumkan 165 aplikasi, lebih banyak daripada Swiggy
  • Mencakup aplikasi populer dari hampir semua kategori, seperti Netflix, Bumble, dan Binance
  • Zepto diketahui menampilkan harga yang berbeda kepada pengguna iOS dan Android
  • Dengan informasi ini, Zepto juga dapat menampilkan harga yang berbeda di antara pengguna perangkat Android

Pemeriksaan aplikasi oleh aplikasi untuk kurir

  • Aplikasi kurir milik Swiggy dan Zepto juga memeriksa daftar aplikasi terpisah
  • Zepto hanya sampai memeriksa aplikasi kurir milik pesaing
  • Swiggy melangkah lebih jauh dengan memeriksa aplikasi keuangan pribadi, aplikasi pinjaman, bahkan aplikasi game seperti Ludo King
  • Tingkat pengumpulan informasinya setara dengan memantau aktivitas santai para kurir

Pemeriksaan aplikasi berlebihan oleh aplikasi pinjaman

  • Kreditbee (50 juta+ unduhan): memeriksa 860 aplikasi
  • Moneyview (50 juta+ unduhan): memeriksa 944 aplikasi (lihat daftar lengkap di tautan GitHub)
  • Termasuk aplikasi kalender, astrologi, keagamaan, biro jodoh, pertanian, dan aplikasi lain yang mencerminkan berbagai aspek kehidupan
  • Mereka menggunakan cara mencantumkan aplikasi satu per satu untuk menghindari kebijakan larangan QUERY_ALL_PACKAGES dari Google

Penggunaan izin khusus oleh Cred

  • Cred adalah satu-satunya yang menggunakan izin QUERY_ALL_PACKAGES
  • Google mengizinkannya sementara bila fitur transaksi keuangan merupakan fungsi inti
  • Namun, aplikasi keuangan serupa seperti PhonePe dan Paytm tidak menggunakan izin ini
  • Karena Cred juga menyediakan layanan pinjaman, ada kemungkinan ini melanggar kebijakan

Cara mengakali dengan filter ACTION_MAIN

  • Beberapa aplikasi dapat mengidentifikasi semua aplikasi UI dengan memakai filter intent ACTION_MAIN
  • Dengan cara ini, daftar aplikasi yang terpasang dapat diperiksa secara tidak langsung tanpa izin QUERY_ALL_PACKAGES
  • Hasil eksperimen dengan membuat aplikasi uji menunjukkan bahwa cara ini bisa mengambil seluruh daftar aplikasi
  • Play Store seharusnya memblokir hal ini, tetapi dalam praktiknya pengawasannya longgar

Daftar aplikasi yang menggunakan filter

  • Aplikasi yang memakai filter untuk memeriksa aplikasi terpasang:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Aplikasi yang tidak memakai filter:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy menggunakan keduanya, filter dan pencantuman langsung (justru membuat cara pengumpulan datanya lebih transparan)

Bahkan aplikasi global pun beragam dalam penggunaan filter

  • Menggunakan filter: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • Tidak menggunakan filter: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Seberapa sensitif data aplikasi yang terpasang

  • Pada 2022, Vice melaporkan kasus broker data di AS yang memperdagangkan informasi pemasangan aplikasi pelacak siklus menstruasi
  • Seperti ini, daftar aplikasi yang terpasang dapat mengungkap informasi sensitif seperti keyakinan pribadi, kesehatan, dan kondisi keuangan

Contoh pemanfaatan izin SMS oleh Zepto

  • Zepto meminta izin READ_SMS
  • Izin ini diwajibkan saat menggunakan fitur Zepto Postpaid, dan pada praktiknya SMS dapat dibaca meski pengguna tidak memilihnya secara eksplisit
  • Bahkan pesan dari Blinkit, Swiggy, dan Flipkart juga termasuk dalam objek analisis

Kesimpulan

  • Sebagian besar aplikasi tetap berjalan dalam batas wajar tanpa meminta izin berlebihan
  • Namun, sebagian aplikasi mengumpulkan data aplikasi yang dipasang pengguna lewat teknik akal-akalan dan pencantuman paket secara berlebihan
  • Pengguna perlu menyadari bahwa saat memasang aplikasi, informasi seperti ini bisa dengan mudah terekspos
  • Informasi ini pada akhirnya dapat dijual melalui broker data dan kelak dipakai untuk diskriminasi harga atau penargetan iklan

Bacaan terkait

Belum ada komentar.

Belum ada komentar.