Android kini memblokir pembagian informasi lokasi pada foto

 (shkspr.mobi)
1 poin oleh GN⁺ 8 hari lalu | 2 komentar | Bagikan ke WhatsApp
  • Android kini diubah untuk secara otomatis menghapus metadata lokasi EXIF saat foto diunggah, sehingga fitur pemetaan lokasi pada layanan berbasis web berhenti berfungsi
  • Google menjelaskan langkah ini sebagai upaya memperkuat privasi, dengan tujuan mengurangi risiko penguntitan atau pencurian
  • Pada sebagian besar metode berbagi seperti Bluetooth, QuickShare, dan pengiriman email, informasi lokasi juga dihapus, dan hanya penyalinan langsung via USB yang tetap menjadi pengecualian
  • Para pengembang mengkritik pemblokiran fungsi ini karena diterapkan tanpa pemberitahuan sebelumnya, dan aplikasi web tidak punya alternatif sehingga perlu membuat aplikasi native
  • Para pengguna terbelah antara peningkatan keamanan dan pembatasan pilihan, sementara diskusi tentang cara teknis untuk mempertahankan informasi EXIF atau perbaikan standar terus berlanjut

Android kini memblokir pembagian informasi lokasi pada foto

  • OpenBenches adalah situs web tempat pengguna membagikan foto dan lokasi bangku peringatan, dan menampilkan peta menggunakan metadata lokasi EXIF pada foto
  • Namun, setelah Android berubah untuk menghapus informasi lokasi saat foto diunggah, pemetaan lokasi otomatis lewat web menjadi tidak mungkin lagi
  • Metode HTML <input type="file" accept="image/jpeg"> sebelumnya memungkinkan pengunggahan gambar yang memuat informasi lokasi melalui pemilih foto, tetapi Google sengaja memblokirnya
    • Pemilih file umum yang kemudian direkomendasikan (<input type="file">) sempat mempertahankan informasi EXIF, tetapi kemudian ikut diblokir lewat pembaruan tambahan
  • Pada metode berbagi lain seperti Bluetooth, QuickShare, dan pengiriman email, informasi lokasi juga dihapus secara otomatis, sehingga penyalinan langsung menggunakan kabel USB menjadi satu-satunya pengecualian

Alasan perubahan dan posisi Google

  • Google menyatakan langkah ini dilakukan untuk tujuan privasi (Privacy)
    • Jika pengguna tanpa sadar membagikan foto yang memuat informasi lokasi, bisa timbul risiko seperti penguntitan atau pencurian
  • Sebagian besar layanan media sosial (Facebook, Mastodon, BlueSky, WhatsApp, dll.) pada dasarnya menghapus informasi lokasi, dan hanya memungkinkan pengguna menambahkannya secara manual bila diinginkan
  • Google tampaknya memblokir informasi lokasi di tingkat sistem untuk mencegah “risiko akibat terungkapnya lokasi pengguna”

Reaksi komunitas dan masalah yang muncul

  • Tidak ada pemberitahuan atau konsultasi sebelumnya mengenai perubahan ini, sehingga pengembang dan pengguna mengalami kebingungan
  • Operator layanan seperti OpenBenches menerima keluhan dari pengguna bahwa “fiturnya rusak”, dan muncul kritik bahwa Google tidak menyerap masukan komunitas
  • Bahkan pada aplikasi berbasis web (PWA), akses ke informasi lokasi tidak dimungkinkan, sehingga tidak ada alternatif selain mengembangkan aplikasi Android native
    • Aplikasi Android menyediakan izin (permission) terpisah untuk mengakses informasi lokasi pada foto

Usulan dan permintaan

  • Sebagai alternatif, muncul usulan popup pilihan saat mengunggah foto seperti “Situs web ini ingin melihat informasi lokasi pada foto. Ya/Tidak/Selalu/Jangan pernah”
    • Namun, efektivitasnya dinilai rendah karena kelelahan pengguna terhadap popup dan ambiguitas kalimatnya
  • Penulis meminta masukan dari pengembang yang mengetahui cara mengunggah foto sambil tetap mempertahankan informasi lokasi EXIF di browser web Android
  • Selain itu, pembaca juga didorong untuk ikut memberikan umpan balik +1 pada isu spesifikasi WHATWG HTML demi berpartisipasi dalam diskusi terkait standar HTML

Ringkasan pendapat pengguna

  • Sebagian pengguna menilai langkah Google adalah fitur privasi yang esensial dan memberikan penilaian positif
  • Pengguna lain mengkritik bahwa hak memilih pengguna telah hilang, dan berpendapat bahwa “pengguna dewasa perlu kebebasan untuk memutuskan apa yang ingin dilakukan di perangkatnya sendiri”
  • Sebagai cara teknis untuk mengakali pembatasan, ada juga contoh mengirim informasi EXIF di dalam file ZIP
  • Secara keseluruhan, diskusi tentang keseimbangan antara keamanan dan kenyamanan masih terus berlanjut

Bacaan terkait

2 komentar

 
unsure4000 8 hari lalu

Menurut saya akan lebih baik kalau seperti iOS, ini dijadikan opsi di picker, jadi cukup disayangkan kalau diblokir sepenuhnya.
 
GN⁺ 8 hari lalu
Komentar Hacker News

  • Penggunaan geolokasi pada gambar yang diunggah dari browser mobile sangat jarang terjadi
    Sebagian besar pengguna tidak menyadari bahwa saat mengambil foto, mereka mengirimkan koordinat GPS real-time ke situs web
    Akan lebih baik jika ada atribut pada tag input seperti includeLocation yang meminta konfirmasi pengguna lewat pop-up

    • Saat bekerja di lembaga pemerintah, pernah ada kampanye perlindungan habitat kura-kura
      Itu adalah proyek yang meminta warga melaporkan lokasi sarang yang mereka temukan, tetapi karena hanya memakai formulir biasa, masuk banyak data ngawur
      Saya sempat mengusulkan agar menerima foto lalu mengekstrak data EXIF, tetapi ditolak karena jika diminta membagikan lokasi, orang-orang langsung pergi
      Akhirnya saya sadar bahwa pengguna sangat enggan memberikan lokasi mereka ke situs pemerintah
    • Cukup banyak foto yang diunggah ke Google Maps adalah selfie pribadi atau foto privat
      Pengunggah sering kali tidak sadar bahwa fotonya terekspos secara publik, dan kemungkinan terhubung otomatis lewat info EXIF
    • Menurut artikelnya, ini bukan cuma masalah browser mobile, info lokasi juga dihapus saat transfer via Bluetooth atau QuickShare
      Lokasi hanya tetap dipertahankan jika file disalin langsung lewat kabel USB lalu diunggah dari browser desktop
      Saya ingin info lokasi tetap ada saat melakukan backup ke cloud
    • Ponsel pada akhirnya adalah komputer juga, dan saya rasa tidak ada alasan Google atau Apple yang menentukan bagaimana foto saya boleh digunakan
    • Menempelkan data pribadi sensitif seperti lintang/bujur yang presisi ke foto secara otomatis adalah fitur yang mengerikan
      Rasanya seperti dokumen Word otomatis diberi metadata alamat rumah saya

  • Saya rasa langkah Google kali ini benar
    Kebanyakan orang tidak tahu seberapa banyak informasi yang tersimpan di metadata foto, dan menghapusnya sesuai dengan ekspektasi pengguna

    • Kalau Google benar-benar peduli soal privasi, Maps seharusnya tetap dipisah sebagai subdomain tersendiri
      Sekarang kalau mau memberi akses lokasi ke Maps, kita juga harus memberi izin lokasi ke Google Search
    • Tapi dengan begini, fitur yang berguna ikut hilang total
      Mirip perdebatan sideloading di Android, fitur yang tadinya ada untuk segelintir power user dihapus, dan akhirnya yang tersisa hanya ‘perangkat bodoh’
    • Padahal cukup tambahkan checkbox “sertakan lokasi”, tetapi malah diblokir total
      Sekarang data hanya bisa diambil keluar lewat kabel USB
    • Data EXIF ternyata jauh lebih kuat untuk identifikasi orang daripada yang dibayangkan
      Dulu ada kamera yang mencatat ‘waktu sejak perangkat dinyalakan’, dan itu bisa dipakai untuk melacak pengguna tertentu
    • Ada juga candaan bahwa kalau tidak paham metadata gambar, sebaiknya jangan pakai komputer
      Ini masalah lama, sampai serial TV era 90-an pun pernah membahasnya

  • Perubahan ini memang untuk memperkuat privasi, tetapi sekaligus bertentangan dengan verifikasi kebenaran
    Di era banjir gambar buatan AI, kita butuh sistem yang bisa melacak asal-usul dan konteks pembuatan sebuah gambar

  • Masalah lain adalah pemilih gambar bawaan Android juga menghapus nama file
    Akibatnya pengguna salah paham dan mengira aplikasi yang mengubah nama file
    Di Google Issue Tracker, Google mengatakan itu “perilaku yang disengaja” dan tidak akan diperbaiki

    • Pemilih gambar tidak punya izin akses direktori, jadi menampilkan nama file dianggap tidak tepat dari sisi keamanan
      Jika ingin nama file, aplikasi harus meminta izin akses direktori
    • Tapi keputusan Google seperti ini tetap terasa aneh
      Kebanyakan pengguna langsung mengunggah foto yang baru diambil dari aplikasi kamera bawaan
      Kalau yang jadi masalah adalah lokasi atau nama file, metadata seharusnya diatur dari aplikasi kamera

  • Pendekatan khas organisasi seperti Google dalam hal ‘perlindungan privasi’ adalah memblokir akses data pengguna untuk pihak lain sambil mereka sendiri tetap bisa mengaksesnya
    Beberapa aplikasi messenger juga memblokir screenshot atas nama “melindungi pengguna”, padahal ujungnya hanya membatasi fungsi

    • Facebook juga sama, hanya mengekspor foto yang EXIF-nya sudah dibuang tetapi tetap memanfaatkannya secara internal
    • Sebenarnya hasil seperti ini muncul karena Chrome tidak meminta data lokasi
      Di Android 10 ke atas, aplikasi harus mendeklarasikan dan meminta izin ACCESS_MEDIA_LOCATION agar bisa membaca lokasi EXIF
      Lihat dokumentasi resmi Android
    • Beberapa messenger hanya memblokir screenshot untuk foto sekali lihat, dan itu masih bisa dimengerti
      Tapi karena layar tetap bisa dipotret dengan perangkat lain, itu tidak lebih dari sekadar sandiwara keamanan
    • Saya pernah mencoba merekam iPhone Mirroring di macOS, tetapi yang terekam cuma layar hitam karena DRM
      Dari sudut pandang perusahaan mungkin menenangkan, tetapi pengalaman pengguna jadi buruk

  • Platform pelaporan jalur sepeda yang dijalankan para relawan benar-benar rusak gara-gara perubahan ini
    Vigilo.city punya struktur terbuka yang memungkinkan laporan tanpa akun, tetapi setelah GPS EXIF hilang, hambatan penggunaan melonjak drastis
    Sayang sekali, padahal mestinya tidak sulit merancang alur yang dengan jelas memberi tahu pengguna soal berbagi lokasi

  • Di Android 11, tiba-tiba karakter khusus (:<>?|\*) tidak lagi boleh dipakai dalam nama file, dan ini contoh serupa
    Alasannya demi kompatibilitas Windows, tetapi saya hanya memakai Linux sehingga pembatasan ini tidak perlu
    Isu terkait

    • Pada akhirnya masalah seperti ini sudah berulang sejak lama
      Diskusi sebelumnya juga membahas hal yang sama
    • Saya menyeragamkan aturan nama file dengan hanya memakai huruf kecil, angka, tanda hubung, dan titik
      Dengan begitu masalah sinkronisasi bisa berkurang
    • Ada juga yang menanggapi dengan heran, file seperti apa yang memang dinamai memakai karakter-karakter khusus itu
    • Bisa dipahami kalau Google membuat kebijakan dengan fokus ke pengguna Windows dan Mac, tetapi pengguna Linux jadi terabaikan
    • Karakter seperti tanda bintang (*) memang merepotkan untuk nama file di sistem operasi mana pun

  • Terlihat ada niat dari aplikasi Google Photos untuk mengelola file gambar secara eksklusif
    Saat mencoba menambahkan lokasi ke foto editan atau screenshot, muncul keterangan bahwa itu “hanya ditampilkan di dalam Photos”
    Jika diekspor sebagai file, info itu tidak disimpan ke EXIF
    Baik Android maupun iOS memperlakukan JPEG/PNG bukan sebagai file biasa melainkan objek khusus, dan metadata hanya disimpan di DB internal aplikasi
    Akhirnya interoperabilitas hilang dan semuanya jadi tergantung pada aplikasi Photos

  • Daripada menghapus lokasi sepenuhnya, akan lebih baik kalau koordinatnya diburamkan (fuzzing)
    Misalnya hanya membuka satu angka desimal pada lintang/bujur, sehingga masih bisa dibedakan secara kasar dalam skala sekitar 10 km
    Dulu saya sering membuat jurnal perjalanan berbasis lokasi atau proyek visualisasi data, tetapi sekarang itu nyaris mustahil
    Ironisnya, Google tetap mengumpulkan lokasi akurat untuk iklan

    • Namun di wilayah dengan kepadatan penduduk rendah, bahkan skala 10 km pun tetap punya risiko identifikasi pribadi
      Jika hanya ada satu rumah di sekitar, orangnya bisa langsung ditebak
    • Memburamkan lokasi adalah pilihan terburuk karena kehilangan privasi sekaligus fungsionalitas
      Solusi yang lebih baik adalah memberi atribut seperti includeExif pada pemilih file dan meminta persetujuan eksplisit dari pengguna

  • Langkah ini memang menuju arah yang benar
    Seperti dibahas di isu WHATWG, lebih baik browser menambahkan fungsi yang secara eksplisit menangani info lokasi
    Namun menghapus fitur tanpa menyediakan alternatif tetap bermasalah

    • Urutannya seharusnya dibalik
      Pertama buat dulu fitur opt-in/out lewat UI, lalu baru ubah nilai default-nya
      Sekarang pekerjaannya sendiri jadi tidak bisa dilakukan
    • Menonaktifkan tag lokasi secara default memang masuk akal, tetapi seharusnya menunggu sampai spesifikasi standar (WHATWG) menyediakan fitur pengganti