Google hapus tiga aplikasi Android untuk anak-anak. Aplikasi ini memiliki lebih dari 20 juta unduhan. Pasalnya, aplikasi ini ditemukan melakukan pelanggaran dalam pengumpulan data.

Dalam hal aplikasi, Android memiliki lebih dari 3 juta aplikasi dalam official storenya, yaitu Google Play. Dengan jumlahnya yang banyak ini berarti bahwa terkadang banyak aplikasi lemah yang bisa lolos untuk dipasarkan dalam Google Play.

Para peneliti dalam International Digital Accountability Council (IDAC), yaitu sebuah lembaga pengawas nirlaba yang berbasis di Boston. Mereka menemukan bahwa tiga aplikasi populer yang sering digunakan oleh anak-anak ini melanggar kebijakan pengumpulan data Google.

Pelanggaran ini berpotensi dapat mengakses ‘aplikasi pengguna’. Android ID dan nomor AAID (Android Advertising ID), dengan kebocoran data yang berpotentis terhubung ke aplikasi yang sedang dibangun menggunakan SDK dari Unity, Umeng dan Appodeal.

Secara kolektif, ketiga aplikasi ini memiliki lebih dari 20 juta unduhan. Tiga aplikasi tersebut adalah Princess Salon, Number Coloring and Cats & Cosplay.

Ketiga aplikasi ini telah resmi dihapus dari Google Play. Google mengonfirmasi kepada kami bahwa mereka menghapus aplikasi setelah IDAC melaporkan pelanggaran tersebut.

“Kami dapat mengonfirmasi bahwa aplikasi yang dirujuk dalam laporan tersebut telah dihapus,” kata juru bicara Google. “Setiap kali kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan.”

Pelanggaran menunjukkan masalah yang lebih luas dengan pendekatan ketiga penayang untuk mematuhi kebijakan perlindungan data. “Praktik yang kami amati dalam penelitian kami menimbulkan kekhawatiran serius tentang praktik data dalam aplikasi ini,” kata IDAC Quentin Plafrey.

Insiden ini disorot pada saat banyak perhatian difokuskan pada Google dan ukuran operasinya. Awal pekan ini, Departemen Kehakiman AS dan 11 negara bagian menggugat perusahaan tersebut, menuduhnya melakukan perilaku monopoli dan anti persaingan dalam search dan search advertising.

Untuk memperjelas, pelanggaran aplikasi di sini tidak terkait dengan penelusuran, akan tetapi hal tersebut dapat di garis bawahi skala operasi Google dan bagaimana pengawasan kecil pun dapat menyebabkan puluhan juta pengguna terpengaruh.

Mereka juga berfungsi sebagai pengingat akan tantangan untuk proaktif mengawasi pelanggaran individu dalam skala seperti itu dan bahwa tantangan tersebut dapat mendarat di area yang sangat berisiko, sebagaimana pada aplikasi yang digunakan oleh anak-anak di bawah umur.

Setidaknya, dalam kasus dua penerbit, Crative APPS dan Libiii Tech aplikasi lainnya masih aktif. Serta, tampaknya versi aplikasinya juga masihd apat diunduh melalui situs APK. Ada juga versi di iOS, namun tim teknis IDAC mengatakan bahwa mereka tidak melihat masalah serupa, meski akan terus memantau situasinya.

Pelanggaran dalam kasus ini rumit, namun merupakan contoh salah satu cara yang tanpa disadari pengguna dapat dilacak melalui aplikasi.

Menunjuk ke aktivitas di balik layar dan pemrosesan data yang dimuat ke dalam aplikasi yang tampak tidak berbahaya, IDAC menyoroti tiga SDK yang secara khusus digunakan oleh pengembang aplikasi: Unity 3D and game engine, Umeng (penyedia analitik milik Alibaba yang dikenal sebagai “Flurry of China” yang oleh beberapa orang digambar juga sebagai penyedia adware) dan Appodeal (penyedia monetisasi dan analitik aplikasi lain) – sebagai sumber masalah.

Palfrey menjelaskan bahwa masalahnya terletak pada bagaimana data yang dapat diakses aplikasi melalui SDK dapat dihubungkan dengan jenis data lain, seperti informasi geolokasi.

“Jika informasi AAID dikirim bersama-sama dengan pengenal [seperti ID Android], mungkin saja langkah perlindungan yang diterapkan Google agar perlindungan privasi dapat dijembatani,” katanya.

IDAC tidak menentukan pelanggaran di semua SDK, namun mencatat dalam satu contoh bahwa versi tertentu dari SDK Unity mengumpulkan AAID pengguna dan ID Android secara bersamaan dan hal itu bisa memungkinkan pengembang “untuk melewati kontrol privasi dan melacak pengguna dari waktu ke waktu dan di seluruh perangkat.”

IDAC mendeskripsikan AAID sebagai “paspor untuk mengumpulkan semua data tentang pengguna di satu tempat”. Ini memungkinkan pengiklan menargetkan iklan kepada pengguna berdasarkan sinyal untuk prefensi yang mungkin dimiliki pengguna.

AAID dapat diatur ulang oleh pengguna. Namun, jika SD juga menyediakan link ke ID Android pengguna yang merupakan nomor statis, SDK akan mulai membuat “jembatan” untuk mengidentifikasi dan melacak pengguna.

Palfrey tidak akan terlalu spesifik tentang apakah mereka dapat menentukan apakah mereka dapat menentukan berapa banyak data yang sebenarnya diambil sebagai akibat dari pelanggaran yang diidentifikasi. Namun, Google mengatakan bahwa pihaknya terus bekerja pada kemitraan dan prosedur untuk menangkap pelaku kejahatan serupa.

“Salah satu contoh pekerjaan yang kami lakukan di sini adalah program sertifikasi iklan Keluarga yang kami umumkan pada tahun 2019,” ujar juru bicara tersebut.

“Untuk aplikasi yang ingin menayangkan iklan di aplikasi anak-anak dan keluarga, kami meminta mereka untuk hanya menggunakan SDK iklan yang memiliki kepatuhan mandiri terhadap kebijakan anak/keluarga. Kami juga mewajibkan aplikasi yang hanya menargetkan anak-anak, tidak berisi API atau SDK apapun yang tidak disetujui untuk digunakan dalam layanan yang ditujukan untuk anak.”

IDAC yang diluncurkan pada April 2020 sebagai spin-off dari Future of Privacy Forum juga telah melakukan investigasi terhadap pelanggaran privasi data pada aplikasi kesuburan dan pelacak COVID-19. Awal pekan ini juga menerbitkan temuan tentang kebocoran data dari versi lama dari MoPub SDK Twitter yang memengaruhi jutaan pengguna.

Baca juga, Ikuti Tips ini Untuk Tingkatkan Keamanan Akun Twitter