Minggu lalu kapan seorang peneliti keamanan mengatakan dia dapat dengan mudah mendapatkan lokasi persisnya dari salah satu dari jutaan pengguna aplikasi pelacakan telepon yang banyak digunakan, kami harus melihatnya sendiri.
Eric Daigle, seorang mahasiswa ilmu komputer dan ekonomi di Universitas British Columbia di Vancouver, menemukan kerentanan dalam aplikasi pelacakan iSharing sebagai bagian dari penyelidikan terhadap keamanan aplikasi pelacakan lokasi. iSharing adalah salah satu aplikasi pelacakan lokasi yang lebih populer, mengklaim lebih dari 35 juta pengguna hingga saat ini.
Daigle mengatakan bug tersebut memungkinkan siapa pun yang menggunakan aplikasi untuk mengakses koordinat orang lain, meskipun pengguna tidak secara aktif membagikan data lokasinya kepada orang lain. Bug tersebut juga mengungkap nama pengguna, foto profil, dan alamat email serta nomor telepon yang digunakan untuk masuk ke aplikasi.
Bug tersebut berarti server iSharing tidak memeriksa dengan benar bahwa pengguna aplikasi hanya diizinkan mengakses data lokasi mereka atau data lokasi orang lain yang dibagikan kepada mereka.
Aplikasi pelacakan lokasi — termasuk aplikasi “stalkerware” yang tersembunyi — memiliki riwayat kesalahan keamanan yang berisiko membocorkan atau mengungkap lokasi persis pengguna.
Dalam kasus ini, Daigle hanya membutuhkan beberapa detik untuk menemukan reporter ini hingga beberapa meter. Menggunakan ponsel Android dengan aplikasi iSharing terinstal dan akun pengguna baru, kami bertanya kepada peneliti apakah dia dapat mengetahui lokasi persis kami menggunakan bug.
“770 Broadway di Manhattan?” Daigle menjawab, bersama dengan koordinat tepat kantor TechCrunch di New York tempat telepon mengirimkan lokasinya.
Peneliti keamanan mengambil data lokasi persis kami dari server iSharing, meskipun aplikasi tersebut tidak membagikan lokasi kami kepada orang lain. Kredit Gambar: TechCrunch (tangkapan layar)
Daigle berbagi rincian kerentanan dengan iSharing sekitar dua minggu sebelumnya tetapi belum mendapat kabar apa pun. Saat itulah Daigle meminta bantuan TechCrunch untuk menghubungi pembuat aplikasi. iSharing memperbaiki bug segera setelah atau selama akhir pekan tanggal 20-21 April.
“Kami berterima kasih kepada peneliti karena telah menemukan masalah ini sehingga kami dapat mengatasinya,” salah satu pendiri iSharing, Yongjae Chuh, mengatakan kepada TechCrunch melalui email. “Tim kami saat ini berencana bekerja sama dengan profesional keamanan untuk menambahkan langkah-langkah keamanan yang diperlukan untuk memastikan setiap data pengguna terlindungi.”
iSharing menyalahkan kerentanan tersebut pada fitur yang disebutnya grup, yang memungkinkan pengguna berbagi lokasi mereka dengan pengguna lain. Chuh mengatakan kepada TechCrunch bahwa catatan perusahaan menunjukkan tidak ada bukti bahwa bug ditemukan sebelum penemuan Daigle. Chuh mengakui bahwa “mungkin ada pengawasan di pihak kami,” karena servernya gagal memeriksa apakah pengguna diizinkan untuk bergabung dengan grup pengguna lain.
TechCrunch menahan publikasi cerita ini sampai Daigle mengkonfirmasi perbaikannya.
“Menemukan total kelemahan awal mungkin membutuhkan waktu sekitar satu jam sejak membuka aplikasi, mengetahui bentuk permintaan, dan melihat bahwa membuat grup pada pengguna lain dan bergabung dengannya berhasil,” kata Daigle kepada TechCrunch.
Dari sana, dia menghabiskan beberapa jam lagi untuk membuat skrip pembuktian konsep untuk mendemonstrasikan bug keamanan.
Daigle, yang menjelaskan kerentanannya lebih detail di blognyamengatakan dia berencana untuk melanjutkan penelitian di bidang penguntit dan pelacakan lokasi.
Baca lebih lanjut di TechCrunch:
Untuk menghubungi reporter ini, hubungi Signal dan WhatsApp di +1 646-755-8849, atau melalui email. Anda juga dapat mengirim file dan dokumen melalui SecureDrop.
