Penelitian terbaru mengungkap masalah serius keamanan pada aplikasi Android yang mengklaim memiliki fitur kecerdasan buatan (AI). Dari 1,8 juta aplikasi Android yang tersedia di Google Play Store, ditemukan bahwa puluhan ribu aplikasi AI menyimpan kredensial sensitif secara tidak aman di dalam kode mereka.
Para peneliti dari Cybernews mengidentifikasi 38.630 aplikasi AI Android dan melakukan analisis mendalam terhadap kode aplikasi tersebut. Hasilnya menunjukkan bahwa sekitar 72 persen aplikasi ini menyimpan setidaknya satu rahasia yang tertanam langsung dalam kode program, dengan rata-rata setiap aplikasi membocorkan 5,1 rahasia.
Praktik pengkodean yang tidak aman masih marak
Temuan ini mengungkapkan 197.092 rahasia unik dalam aplikasi AI tersebut. Mayoritas yaitu lebih dari 81 persen rahasia terkait dengan layanan Google Cloud, seperti pengenal proyek, kunci API, database Firebase, dan bucket penyimpanan. Sebanyak 26.424 titik akhir Google Cloud ditemukan, namun sekitar dua per tiga di antaranya sudah tidak aktif.
Namun, sebanyak 8.545 bucket penyimpanan Google Cloud masih aktif dan membutuhkan autentikasi. Parahnya, ratusan bucket ini dikonfigurasi secara salah sehingga dapat diakses secara publik. Kondisi ini memungkinkan kebocoran lebih dari 200 juta file dengan total data hampir mencapai 730 terabyte.
Firebase database yang terekspos dan risiko kebocoran data
Lebih jauh lagi, 285 database Firebase ditemukan tanpa kontrol autentikasi sama sekali, mengakibatkan kebocoran data pengguna minimal sebesar 1,1GB. Sebanyak 42 persen dari database yang terekspos ini memiliki tanda-tanda kompromi otomatis, seperti tabel bertanda “proof of concept” yang menandakan telah disusupi oleh pihak tidak bertanggung jawab.
Beberapa database berisikan akun administrator dengan alamat email menyerupai pelaku serangan, membuktikan bahwa eksploitasi tersebut bukan teori melainkan aksi nyata. Anehnya, banyak database yang tetap tidak aman meskipun sudah terdapat indikasi serangan, menandakan kurangnya pengawasan dan tindakan perbaikan dari pengelola aplikasi.
Risiko kredensial AI dan infrastruktur pembayaran
Meskipun aplikasi ini berlabel AI, kunci API layanan model bahasa besar seperti OpenAI, Google Gemini, dan Claude terbilang sedikit ditemukan dalam kebocoran tersebut. Kunci ini memungkinkan penyalahgunaan permintaan layanan baru, namun tidak memberikan akses ke data percakapan lama atau respons sebelumnya.
Kasus paling berbahaya terkait dengan kebocoran kunci rahasia Stripe yang dapat mengendalikan sistem pembayaran secara penuh. Selain itu, kredensial yang bocor juga membuka akses ke platform komunikasi, analitik, serta data pelanggan yang memungkinkan penyerang menyamar sebagai aplikasi resmi atau melakukan pencurian data.
Dampak luas dan tantangan mitigasi
Masalah kebocoran rahasia seperti ini tidak bisa cukup hanya diatasi dengan penggunaan firewall atau penghapusan malware setelah terpapar. Ruang lingkup data yang terekspose serta banyaknya aplikasi yang sudah disusupi menunjukkan bahwa sistem penyaringan aplikasi di toko aplikasi belum mampu menghilangkan risiko yang bersifat sistemik.
Pengembang aplikasi harus segera memperbaiki praktik pengkodeannya dengan menghindari penyimpanan rahasia secara hardcoded. Penggunaan metode penyimpanan rahasia yang aman, validasi konfigurasi layanan cloud, dan pengawasan ketat terhadap autentikasi database sangat diperlukan untuk mencegah pelanggaran data lebih lanjut.
Untuk pengguna, penting untuk selalu waspada dan melakukan pembaruan aplikasi secara rutin. Menghindari instalasi aplikasi dari sumber yang tidak jelas juga menjadi langkah preventif terhadap potensi exploitasi data pribadi melalui aplikasi yang rentan.
Penemuan ini menjadi peringatan penting bagi seluruh ekosistem aplikasi Android AI. Dengan meningkatnya ketergantungan pada kecerdasan buatan dalam aplikasi sehari-hari, keamanan data dan kredensial menjadi aspek kritikal yang harus diperhatikan serius. Langkah penguatan keamanan harus menjadi prioritas utama baik oleh pengembang maupun platform distribusi aplikasi demi melindungi pengguna dari potensi ancaman siber yang kian kompleks.
