Menurut laporan terbaru seputar keamanan iPhone, terungkap bahwa sebagian besar aplikasi pihak ketiga yang tersedia untuk perangkat berbasis iPhone berbahaya. Mereka mentransmisikan Unique Device Identifier (UDID) yang tidak dienkripsi yang bisa digunakan untuk mencuri informasi pribadi penggunanya.
Dari penelitian terhadap aplikasi yang masuk di kategori “Most Popular” dan “Top Free” di App Store, terbukti bahwa 68 persen software mentransmisikan UDID dari perangkat milik pengguna. Selain itu, 18 persen aplikasi mengenkripsi komunikasinya sehingga tidak bisa diketahui data apa yang mereka bagikan.
Temuan tersebut diungkapkan oleh Eric Smith, Network Administrator dari Bucknell University yang dua kali meraih gelar di ajang pakar keamanan global, DefCon.
Kesimpulan tersebut diambil berdasarkan 57 aplikasi yang tersedia untuk iPhone dan diketahui bahwa informasi personal itu dikirimkan dalam bentuk teks biasa, yang semakin berpotensi tidak aman.
Sebagai informasi, UDID merupakan identifier unik yang diberikan terhadap setiap perangkat berbasis iOS termasuk iPod touch, iPhone, dan iPad. Kode ini digunakan untuk mencegah pembajakan terhadap software yang ada di App Store.
Smith membandingkan, UDID pada perangkat berbasis iOS serupa dengan Processor Serial Number yang diberikan Intel pada prosesor Pentium 3 mereka. Ketika itu keputusan Intel tersebut mengundang kontroversi dan kemarahan dari kelompok keamanan. Sayangnya, hal serupa tidak terjadi pada Apple.
Beberapa aplikasi yang diketahui mengirimkan UDID iPhone antara lain adalah software dari Amazon, Chase Bank, Target, dan Sams Club. Bahkan aplikasi CBS News lebih parah. Ia mengirimkan UDID beserta user-assigned name untuk iPhone, yang umumnya mencakup nama asli pemiliknya.
“Sebagian besar pembuat aplikasi iPhone mengumpulkan dan menyimpan data UDID dari jauh, dan beberapa produsen ini juga memiliki kemampuan untuk mengaitkan UDID dengan identitas asli penggunanya,” kata Smith.
“Sebagai contoh, aplikasi Amazon mengkomunikasikan nama asli pengguna yang login dalam bentuk teks standar, lengkap dengan UDID, mengizinkan Amazon dan penyadap jaringan dengan mudah mencocokkan UDID dengan nama pemilik telepon tersebut,” ucapnya.
No comments:
Post a Comment