Aplikasi pemerintah ‘Fedware’: melakukan pengawasan yang lebih kuat daripada aplikasi yang dilarang

 (sambent.com)
1 poin oleh GN⁺ 21 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Aplikasi resmi pemerintah federal AS meminta lebih banyak izin dan kemampuan pelacakan dibanding aplikasi swasta, serta mengumpulkan lokasi, biometrik, identitas perangkat, dan lainnya
  • Aplikasi dari lembaga utama seperti White House, FBI, IRS, TSA, CBP, ICE mengatasnamakan layanan publik, tetapi pada praktiknya membentuk jaringan pengawasan melalui SDK pelacak dan struktur berbagi data
  • Beberapa aplikasi bahkan mencakup pelacak Huawei, fitur pelaporan ke ICE, dan sistem pengenalan wajah, sementara ratusan juta gambar wajah dan data lokasi dibagikan antar lembaga pemerintah
  • Setelah kasus seperti berbagi data pajak antara IRS dan ICE, pengunduran diri pejabat privasi dan perintah larangan dari pengadilan sempat terjadi, tetapi infrastruktur pengawasan tetap berjalan
  • Pemerintah mempertahankan struktur ‘Fedware’ dengan mengemas informasi yang bisa disediakan lewat web ke dalam bentuk aplikasi agar dapat meminta izin berlebihan, sementara pengguna tetap memiliki kebebasan mengakses via web dan RSS tanpa memasang aplikasi

Struktur pengawasan aplikasi pemerintah federal

  • Aplikasi resmi pemerintah federal meminta lebih banyak fitur pelacakan dan izin dibanding aplikasi swasta, termasuk mengumpulkan lokasi, biometrik, penyimpanan, kontak, dan identitas perangkat
  • Aplikasi dari lembaga utama seperti White House, FBI, FEMA, IRS, TSA, CBP, ICE didistribusikan dengan dalih menyediakan informasi publik, tetapi pada praktiknya memasok data ke jaringan pengawasan melalui permintaan izin berlebihan dan SDK pelacak bawaan
  • Aplikasi-aplikasi ini disebut “Fedware”, dan infrastruktur pengawasan pemerintah beroperasi sebagai satu sistem melalui aplikasi, broker data, dan berbagi data antar lembaga

  • Fitur pelacakan di aplikasi White House

    • Aplikasi White House (versi 47.0.1) mengklaim menyediakan “aksesibilitas ke cabang eksekutif”, tetapi meminta banyak izin seperti lokasi GPS presisi, akses sidik jari, modifikasi penyimpanan, berjalan otomatis saat boot, tampil di atas aplikasi lain, melihat koneksi Wi‑Fi, dan membaca notifikasi badge
    • Aplikasi ini menyertakan 3 SDK pelacak, termasuk Huawei Mobile Services Core, yaitu kasus ketika infrastruktur pelacakan dari perusahaan Tiongkok yang disanksi pemerintah AS justru dimasukkan ke aplikasi resmi presiden
    • Di dalam aplikasi ada tombol pelaporan ke ICE, dan fitur “Text the President” otomatis mengisi frasa “Greatest President Ever!” sambil mengumpulkan nama pengguna dan nomor telepon
    • Tidak ada kebijakan privasi khusus untuk aplikasi ini; hanya kebijakan umum whitehouse.gov yang berlaku, tanpa menyebut fitur pelacak terkait

  • Izin dan pelacak di aplikasi FBI, FEMA, dan IRS

    • Aplikasi myFBI Dashboard milik FBI meminta 12 izin dan menyertakan 4 pelacak seperti Google AdMob, sehingga data pengguna dikumpulkan melalui SDK iklan
    • Aplikasi FEMA meminta 28 izin; pada versi terbaru (v3.0.14) hanya tersisa 1 pelacak, tetapi masih menggunakan izin yang berlebihan
      • Fungsinya pada dasarnya terbatas pada peringatan bencana dan informasi lokasi tempat pengungsian
    • Aplikasi IRS2Go mencakup 3 pelacak dan 10 izin, dan dirilis sebelum Privacy Impact Assessment selesai, sehingga melanggar aturan OMB
      • Aplikasi ini membagikan ID perangkat, aktivitas aplikasi, dan log crash ke pihak ketiga, dan enkripsi untuk informasi pengembalian dana juga belum dipastikan

Pengumpulan biometrik dan perluasan pengawasan

  • Pengumpulan biometrik oleh aplikasi terkait CBP, TSA, dan ICE

    • Aplikasi MyTSA mencakup 9 izin dan 1 pelacak, serta menyatakan bahwa data lokasi disimpan secara lokal
    • Aplikasi CBP Mobile Passport Control meminta 14 izin (7 di antaranya berlevel ‘berbahaya’), termasuk pelacakan lokasi di latar belakang, kamera, autentikasi biometrik, dan akses ke penyimpanan eksternal
      • Sistem biometrik CBP menyimpan data wajah (faceprint) hingga 75 tahun dan membagikannya dengan DHS, ICE, dan FBI
    • Aplikasi Mobile Fortify adalah aplikasi pengenalan wajah yang digunakan agen ICE, memanfaatkan ratusan juta gambar dari basis data DHS, FBI, dan Departemen Luar Negeri
      • ICE menandatangani kontrak senilai 9,2 juta dolar dengan Clearview AI untuk memperoleh akses ke lebih dari 50 miliar gambar wajah
      • CBP menyatakan bahwa semua foto, termasuk milik warga negara AS, disimpan selama 15 tahun
      • Menurut investigasi EFF, pengguna tidak bisa menolak pemindaian pengenalan wajah, dan status imigrasi dapat ditentukan hanya dari pencocokan biometrik

  • SmartLINK milik ICE dan pemanfaatan broker data

    • Aplikasi SmartLINK adalah alat pemantauan elektronik milik ICE, dikembangkan oleh BI Incorporated, anak perusahaan GEO Group, melalui kontrak 2,2 miliar dolar
      • Mengumpulkan lokasi, wajah, suara, informasi medis (termasuk status kehamilan), dan nomor kontak
      • ICE memiliki hak untuk “menggunakan, membuang, dan mengungkapkan” data yang dikumpulkan tanpa batasan
      • Jumlah pengguna melonjak dari 6.000 orang pada 2019 menjadi lebih dari 230.000 pada 2022
      • Pada 2019, data GPS digunakan untuk menangkap sekitar 700 orang di 6 kota
    • Selain aplikasi, lembaga pemerintah juga membeli data dari broker seperti Venntel, termasuk lebih dari 25 miliar titik lokasi per hari
      • DHS, FBI, DOD, dan DEA membeli data tanpa surat perintah
      • Departemen Pertahanan menggunakan data lokasi dari aplikasi doa untuk mengawasi komunitas Muslim
      • Polisi juga memakainya untuk melacak peserta aksi keadilan rasial

Kasus berbagi data IRS-ICE

  • Pada April 2025, IRS dan ICE menandatangani MOU untuk berbagi nama, alamat, dan data pajak milik orang yang menjadi target deportasi
    • ICE menyerahkan 1,28 juta nama, dan IRS salah mengirim ribuan data wajib pajak
    • Pelaksana tugas komisaris IRS dan pejabat perlindungan privasi mengundurkan diri setelah memprotes
    • Pada November 2025, pengadilan federal melarang berbagi data lebih lanjut, tetapi IRS saat itu sudah membangun sistem otomatis untuk penyediaan alamat dalam skala besar

Infrastruktur pengawasan terpadu dan ketiadaan pengawasan yang efektif

  • Aplikasi, basis data, dan kontrak broker dari tiap lembaga terhubung menjadi satu jalur pengawasan, dan tidak ada lembaga yang mengendalikan keseluruhannya
  • Menurut laporan GAO 2023, sekitar 60% dari 236 rekomendasi privasi dan keamanan yang diterbitkan sejak 2010 belum dilaksanakan
  • Kongres menerima rekomendasi pada 2013 dan 2019 untuk mengesahkan undang-undang privasi internet yang komprehensif, tetapi tidak menindaklanjutinya
  • Pengawasan hanya menjadi prosedur formal, dan bahkan setelah laporan serta sidang digelar, kontrak terus diperbarui dan pengumpulan data tetap berlanjut

Kesimpulan: kebebasan mengakses lewat web, bukan aplikasi

  • Pemerintah mengemas informasi publik yang sebenarnya dapat disediakan lewat web dan RSS ke dalam bentuk aplikasi yang meminta izin berlebihan
  • Aplikasi menjalankan fungsi pengawasan yang tidak bisa dilakukan halaman web — membaca sidik jari, melacak GPS di latar belakang, dan mengakses daftar akun
  • Pengguna tetap bisa mengakses informasi yang sama hanya dengan browser dan pembaca RSS, tanpa perlu memasang aplikasi pemerintah
  • “Fedware” adalah alat pengawasan yang menyamar sebagai layanan publik, dan pengguna harus menentukan sendiri apa yang dijalankan di perangkat mereka

Bacaan terkait

1 komentar

 
GN⁺ 21 hari lalu
Komentar Hacker News

  • Aplikasi ini punya tombol “kirim pesan ke Presiden” yang otomatis mengisi teks “Greatest President Ever!” sambil mengumpulkan nama dan nomor telepon
    Rasanya seperti kenyataan sudah jadi lebih absurd daripada situs satir The Onion. Sisa artikelnya terlalu menyedihkan sampai rasanya cuma bisa bilang, “wah, menjijikkan”

    • Waktu kecil aku pernah melihat video penonton Korea Utara berdiri bertepuk tangan sampai pingsan dan berpikir betapa bodohnya itu, tapi sekarang aku sudah tidak merasa begitu lagi
    • Aku tidak mengerti kenapa orang bisa melihat propaganda Korea Utara, tapi tidak bisa melihat yang terjadi di negaranya sendiri
    • Akhir-akhir ini The Onion malah beralih jadi kabar baik, dan itu justru terasa lebih absurd
      Artikel terkait
    • Tingkah para miliarder yang ingin menguasai dunia itu sangat memalukan. Kadang terasa ada kaitan antara dorongan mengejar kekayaan dan masalah psikologis

  • Poin terakhir itulah inti masalahnya — aplikasi-aplikasi seperti ini semuanya bisa digantikan oleh halaman web
    Satu-satunya alasan membuat aplikasi native adalah untuk mengakses API yang tidak disediakan browser. Misalnya: lokasi di latar belakang, biometrik, ID perangkat, pemicu saat boot, dan semacamnya

    • Di beberapa proyek, PM pernah mendorong agar web app dimasukkan ke app store. Karena pengguna menganggap wajar mengunduh aplikasi dari app store
      Tapi kenyataannya ada juga umpan balik bahwa pelanggan justru lebih suka situs web. Distribusi aplikasi hanya membuang waktu dan sumber daya
      Tim pemasaran sudah mendapat cukup data dari Google Analytics dan sejenisnya, jadi mereka tidak tertarik pada data dari API native
    • Sulit percaya pemerintah akan membuat halaman web yang benar-benar layak pakai
      realfood.gov
    • Bahkan aplikasi siaran pers sederhana pun memang ada yang mengunduh. Misalnya mahasiswa yang tertarik pada FBI, atau keluarga pegawai
      Bisa saja ada alasan aplikasi itu ada, tapi kualitas yang buruk sekali tetap tidak bisa dibenarkan
    • Pemerintah meniru apa yang dilakukan perusahaan besar. Companies House di Inggris sekarang mewajibkan Onegov ID
      Versi web meminta pertanyaan keamanan, dan akhirnya orang harus memakai aplikasi atau datang langsung ke kantor pos
      Occado juga memudahkan perubahan pesanan di aplikasi, sementara di web harus bayar ulang. Aneh kenapa dibuat berbeda seperti itu
    • Pagi ini aku mau cek waktu tunggu TSA, tapi malah diminta memasang aplikasi
      Tautan

  • Aku sempat bertanya-tanya apakah postingan seperti ini di-upvote karena grafis/animasinya
    Sulit dibaca karena animasinya berulang tiap kali scroll, dan ada banyak grafik yang terasa seperti hasil AI, jadi susah dipercaya

    • Bukan semata karena grafisnya, tapi sering di-upvote sebagai sinyal untuk membahas masalah teknologi pemerintah
      Nilainya lebih sebagai ruang diskusi daripada isi kontennya sendiri
    • Yang bikin banyak upvote adalah isu pelacakan setingkat spyware di aplikasi pemerintah. Kalau cuma HTML/CSS biasa pun reaksinya mungkin tetap mirip
    • Bisa jadi alasan upvote-nya ya pesan “kritik terhadap eksekutif” itu sendiri
    • Desain situs dan tulisannya terasa aneh. Misalnya tulisan ini juga kelihatan agak tidak stabil
      Tautan referensi
    • Awalnya aku bahkan tidak sadar itu artikel. Grid di bagian atas kukira cuma halaman indeks biasa

  • Aku pernah mencoba mendaftar ke PACER untuk mendapatkan dokumen pengadilan, dan mereka meminta nama, tanggal lahir, alamat, telepon, email, sampai informasi kartu kredit
    Sepertinya juga ada nama gadis ibu atau pertanyaan keamanan. Akan mengerikan kalau tumpukan data pribadi seperti itu bocor
    Ditambah lagi aku harus menunggu di telepon selama satu jam untuk aktivasi akun

  • Kemarin karena penasaran aku memasang aplikasi White House, lalu langsung menghapusnya
    Sepertinya datanya sudah keburu terkirim. Aku juga heran apakah pelacakan berlebihan seperti ini tidak melanggar kebijakan App Store atau Google Play

  • Dulu pernah ada masa ketika orang benar-benar menganggap serius Hatch Act

  • Aku sama sekali tidak memakai aplikasi seperti ini. Semua perangkatku berbasis Linux, dan aku hampir tidak pernah memakai perangkat lunak non-bebas
    Di ponselku cuma ada beberapa browser, dan aku sama sekali tidak mengizinkan akses lokasi, sensor, kamera, atau mikrofon

    • Aplikasi memang bisa mengumpulkan data, dan sekarang banyak fungsi yang mengharuskan penggunaan aplikasi

  • Ini menunjukkan standar ganda dalam politik Amerika. Sikapnya seperti, “kami boleh melakukan apa saja, tapi orang lain tidak”
    Apple dulu bilang mereka melindungi privasi, tapi sekarang justru meminta dokumen sensitif untuk verifikasi usia. Kena batunya sendiri

  • Sebagian besar memang bermasalah, tapi masuk akal kalau aplikasi FEMA meminta akses lokasi
    Karena tujuannya adalah menunjukkan lokasi tempat evakuasi terdekat

  • Aplikasi seperti ini sebaiknya dipasang hanya saat benar-benar perlu, lalu langsung dihapus setelah selesai