Channel9.id-Jakarta. Kamu yang menggunakan ponsel Android, mestinya khawatir akan privasi digital. Kendatipun sudah melakukan pencegahan—seperti menonaktifkan pelacakan dan sebagainya, tak satu pun dari langkah ini cukup untuk membebaskanmu dari pelacakan sepenuhnya.
Hal itu sebagaimana hasil penelitian Trinity College di Dublin, yang melihat kebiasaan berbagi data dari sejumlah varian populer OS Android, termasuk yang dikembangkan oleh Samsung, Xiaomi, dan Huawei. Dilansir dari Gizmodo, menurut para peneliti, “dengan sedikit konfigurasi” dan meninggalkannya, perangkat akan terus-menerus mengirim data perangkat ke pengembang OS dan pihak ketiga. Kemudian, yang lebih buruk, adalah seringkali tak ada cara untuk keluar dari pengiriman data itu, bahkan meski pengguna menginginkannya.
Baca juga: India Tuding Google Hambat Perkembangan Android
Peneliti melihat banyak kesalahan, seperti pada aplikasi ini yang sudah diinstal sebelumnya oleh produsen, seperti kamera atau pesan. Umumnya, Android mengemas aplikasi bawaan ini ke “read only memory” (ROM) perangkat, yang berarti pengguna tak bisa bisa menghapus atau memodifikasi aplikasi ini tanpa me-rooting perangkat. Jika rooting atau menghapus aplikasi belum dilakukan, peneliti menemukan bahwa aplikasi terus-menerus mengirim data perangkat ke perusahaan induk mereka dan lebih dari beberapa pihak ketiga—bahkan sekalipun pengguna tak pernah membuka aplikasi.
Sebagai contoh, ketika Kamu punya perangkat Samsung yang kebetulan dikemas dengan sejumlah bloatware Microsoft yang sudah diinstal sebelumnya, seperti LinkedIn. Meskipun LinkedIn tak dibuka sama sekali, aplikasi ini akan terus-menerus mengirim data di perangkat ke server Microsoft. Dalam hal ini, ini disebut “data telemetri”, yang mencakup detail seperti pengenal unik di perangkat pengguna, dan jumlah aplikasi Microsoft sudah diinstal di perangkat. Selain itu, data ini juga dibagikan ke penyedia analitik pihak ketiga mana pun yang mungkin dihubungkan dengan aplikasi ini, biasanya Google, karena Google Analytics ialah raja analitik secara global.
Adapun aplikasi hard-code yang mungkin dibuka sesekali, lebih banyak data dikirim setiap ada interaksi. Para peneliti menangkap Samsung Pass, misalnya, berbagi data seperti kapan pengguna menggunakan aplikasi dan berapa lama, dengan Google Analytics. Ini juga terjadi pada saat pengguna menjalankan Ditto, launcher game di Samsung, dan asisten virtual Samsung Bixby.
Bukan cuma Samsung, aplikasi perpesanan Google yang sudah diinstal sebelumnya pada ponsel pesaing Samsung, Xiaomi, ketahuan membagikan data waktu penggunaan setiap interaksi pengguna dengan Google Analytics, sekaligus data log setiap kali pengguna mengirim teks. Perangkat Huawei ternyata melakukan hal yang sama. Selain itu, pada perangkat di mana Microsoft SwiftKey sudah diinstal sebelumnya, log yang merinci setiap kali keyboard digunakan di aplikasi lain atau di tempat lain pada perangkat, juga dibagikan ke Microsoft.
Menurut hasil penelitian itu, secara garis besar, menunjukkan bahwa data yang dibagikan seperti: log penggunaan, detail tentang perangkat keras (seperti model dan ukuran layar), juga semacam pengenal—seperti nomor seri perangkat dan pengenal iklan seluler atau “AdID”. Dari data ini memang tak satupun yang bisa mengidentifikasi keunikan penggunaan perangkat. Namun, jika semuanya digabungkan, semua data itu akan membentuk “sidik jari” unik yang bisa digunakan untuk melacak perangkat, kendatipun saat sedang tidak digunakan.
Para peneliti menunjukkan bahwa meskipun AdID Android secara teknis bisa disetel ulang, aplikasi biasanya membuat AdID dihimpun dengan pengidentifikasi yang lebih permanen. Artinya, aplikasi ini—dan pihak ketiga mana pun yang bekerja sama dengan mereka—bisa tetap mengetahui siapa penggunanya. Para peneliti menemukan kasus ini ditemukan pada beberapa ID yang bisa disetel ulang di Samsung, Xiaomi, Realme, dan Huawei.
Google sendiri memang punya sejumlah aturan untuk pengembang, yang dimaksudkan untuk menghalangi aplikasi yang sangat invasif. Aturan ini membuat pengembang tak bisa menautkan AdID perangkat dengan sesuatu yang lebih persisten (seperti IMEI perangkat itu, misalnya) untuk tujuan beriklan. Sementara itu, penyedia analitik diizinkan untuk melakukan penautan itu, namun harus dengan persetujuan pengguna.
“Jika disetel ulang, pengidentifikasi iklan baru tak boleh ditautkan ke pengidentifikasi iklan sebelumnya, atau data yang berasal dari pengidentifikasi iklan sebelumnya, tanpa persetujuan dari pengguna,” jelas Google di halaman terpisah yang merinci kebijakan ini. “Anda harus mematuhi pengaturan ‘Menyisih Periklanan Berbasis Minat’ atau ‘Menyisih dari Personalisasi Iklan’ pengguna. Jika pengguna mengaktifkan pengaturan ini, Anda tidak boleh menggunakan pengidentifikasi iklan untuk membuat profil pengguna, untuk tujuan periklanan atau untuk menargetkan pengguna dengan iklan yang dipersonalisasi.”
Meski begitu, perlu disorot bahwa Google tak menetapkan aturan apakah pengembang bisa mengumpulkan informasi ini. Perusahaan hanya menjelaskan apa saja yang boleh dilakukan setelah informasi dikumpulkan. Mengingat ini adalah aplikasi prainstal di perangkat, para peneliti menemukan bahwa mereka sering diizinkan untuk mengesampingkan aturan privasi, dengan bisa mengumpulkan data perangkat kendati aplikasi berjalan di latar belakang—entah pengguna menggunakannya atau tidak. Apalagi aplikasi ini tak bisa dihapus. Dengan demikian, pengumpulan data itu pastinya terus terjadi, hingga akhirnya pemilik perangkat melakukan rooting atau membuang perangkat.
Sementara itu, Google hanya mengatakan bahwa itulah cara kerja perangkat modern—saat ditanya perihal pengumpulan data yang tak bisa dipilih oleh pengguna.
“Seperti yang dijelaskan dalam artikel Pusat Bantuan Layanan Google Play kami, data ini penting untuk perangkat inti seperti pemberitahuan push dan pembaruan perangkat lunak. Misalnya, layanan Google Play menggunakan data pada perangkat Android bersertifikat untuk mendukung fitur perangkat inti. Pengumpulan informasi dasar, seperti IMEI perangkat, diperlukan untuk memberi pembaruan penting secara andal di seluruh perangkat dan aplikasi Android,” jelas Google.
Meski tampaknya masuk akal, penelitian yang sama juga membuktikan bahwa yang disampaikan Google tidak menyeluruh. Tim penelitian melihat ke dalam perangkat yang dilengkapi dengan /e/OS, sistem operasi open-source yang berfokus pada privasi yang disebut sebagai versi Android “deGoogled”. Sistem ini menukar aplikasi bawaan Android—termasuk Google Play store—dengan versi gratis dan open source yang bisa diakses pengguna tanpa memerlukan akun Google. Rupanya, saat perangkat dibiarkan menganggur, mereka mengirim “tidak ada informasi ke Google atau pihak ketiga lainnya” dan “pada dasarnya tidak ada informasi” ke /e/OS itu sendiri. Dengan kata lain, pelacakan jelas tak bisa dihindari
Gizmodo mengatakan, mendorong regulator membuat undang-undang privasi bisa menjadi langkah pertama untuk mengatasi hal tersebut. Dengan begitu, bagaimana perusahaan teknologi menangani data yang, seperti nama dan alamat pengguna, bisa diantisipasi.
(LH)
