Aplikasi PenduliLindungi disebut terlalu banyak mengumpulkan data pengguna. Pernyataan ini merupakan hasil laporan terbaru The Citizen Lab dari Munk School of Global Affairs & Public Policy, Universitas Toronto.
Dalam laporannya, The Citizen Lab menyebut ada beberapa akses berlebihan yang ditemui di aplikasi PeduliLindungi. Salah satunya adalah aplikasi ini mengirimkan informasi lokasi perangkat termasuk nama pengguna, nomor telepon, dan pengenal perangkat ke server pengembang.
“Ini memungkinkan pengembang melacak lokasi fisik dari masing-masing perangkat, yang tidak diperlukan untuk pelacakan kontak,” tulis laporan The Citizen Lab seperti dikutip dari situs resminya, Minggu (3/1/2021).
Selain itu, aplikasi PeduliLindungi disebut meminta akses membaca dan menulis ke perangkat penyimpanan. Sementara menurut Citizen Lab, akses ini tidak perlu untuk fungsi aplikasi tersebut.
“Aplikasi ini mengumpulkan alamat MAC WiFi dan alamat IP lokal. Kedua alamat ini dapat membantu mengidentifikasi perangkat atau pengguna, dan tidak diperlukan untuk pelacakan kontak,” tulis laporan lebih lanjut.
Lalu, The Citizen Lab juga memeriksa kode sumber PeduliLindungi dan menemukan kode itu berisi pustaka deteksi ‘root’. Untuk diketahui, deteksi root merupakan metode umum yang digunakan pengembang untuk mempersulit rekayasa balik (reverse engineering).
Dalam penelitian ini, The Citizen Lab memang fokus melakukan analisis pada aplikasi versi Android. Sebab, Android dipertimbangkan sebagai sistem operasi seluler yang paling umum digunakan di wilayah Asia Tenggara.
Selain Indonesia, The Citizen Lab juga menganalisis aplikasi serupa yang digunakan di Filipina. Hanya dalam analisis ini, para peneliti menggunakan aplikasi PeduliLindungi versi 2.2.2, sedangkan versi terbaru saat ini adalah 3.1.1.
Oleh sebab itu, belum dapat dipastikan apakah hasil analisis dalam laporan ini masih sama dengan versi terkini, mengingat kemungkinan sudah dilakukan sejumlah peningkatan sistem dibandingkan versi sebelumnya.
Informasi Soal Aplikasi PeduliLindungi
Di sisi lain, dalam situs resminya aplikasi PeduliLindungi sendiri sudah menjabarkan proses pengambilan, penyimpanan, dan pengolahan data para penggunanya.
Untuk data yang diambil dan disimpan, pengembang menyatakan itu termasuk MAC adress pengguna yang terekam oleh pengguna PeduliLindungi lainnya yang sama-sama mengaktifkan bluetooth.
Selain itu, ada data user id pengguna yang didapat saat registrasi, lokasi pengguna saat terjadi pertukaran data, waktu pada saat kontak terjadi, dan durasi selama kontak terjadi.
“PeduliLindungi tidak mengambil data: daftar kontak di ponsel Anda,” tulis pengembang seperti dikutip dari situs resminya. Data itu akan disimpan sementara di penyimpanan lokal pengguna secara terenkripsi dan akan dikirim ke server secara berkala.
Setelah data dikirim ke server, data yang disimpan ke penyimpan lokal perangkat pengguna akan langsung dihapus. Sementara data yang disimpan di server akan dienkripsi dan tidak dibagikan ke publik.
“Data Anda hanya akan diakses bila Anda dalam risiko tertular COVID-19 dan perlu segera dihubungi oleh petugas kesehatan,” tulis keterangan pengembang dalam situs tersebut.
Adapun untuk akses MAC adress, pengembang mengatakan analisis dilakukan setelah data tersimpan di server. Data itu akan dianalisis dengan melihat MAC adress yang bersinggungan di lokasi dengan radius 10 meter dalam waktu bersamaan.
“Jika ditemukan beberapa MAC address dalam lokasi dan waktu yang sama yang saling bersinggungan, dapat diartikan bahwa “contact” antara beberapa pengguna telah terjadi,” tulis pengembang lebih lebih lanjut. {liputan6}
