Teknologi
Riset Cybernews Ungkap 1,2 Juta Aplikasi AI Android Bocorkan 730 TB Data Sensitif Pengguna ke Cloud Google
Peneliti keamanan siber dari Cybernews menerbitkan studi baru yang mengkhawatirkan mengenai kerentanan aplikasi kecerdasan buatan (AI) di platform Android. Riset tersebut menemukan bahwa sebagian besar aplikasi AI yang tersedia di Google Play Store tidak memiliki standar keamanan yang memadai, menyebabkan data sensitif pengguna terekspos secara luas.
Temuan Mengejutkan dari Riset Keamanan
Setelah menganalisis sekitar 1,8 juta aplikasi AI Android di Play Store, peneliti menemukan adanya kebocoran masif. Sebanyak 730 TB data pengguna di server cloud Google terungkap, termasuk informasi keuangan yang berpotensi dimanfaatkan peretas untuk menguras dompet digital.
Kebocoran data ini terjadi melalui serangan siber yang ditargetkan, memanfaatkan celah keamanan pada aplikasi. Studi ini menyoroti risiko serius yang dihadapi pengguna aplikasi AI.
Penyebab Utama Kerentanan: Teknik Enkripsi “Hardcoding”
Menurut para peneliti, sebagian besar aplikasi AI di Play Store menggunakan teknik enkripsi yang tidak aman, yaitu “hardcoding”. Teknik ini menyimpan data sensitif seperti kunci API dan kata sandi langsung ke dalam kode sumber aplikasi, membuatnya rentan terhadap eksploitasi.
Dari total aplikasi yang dianalisis, 72 persen di antaranya, atau sekitar 1,2 juta aplikasi AI di Play Store, mengandung setidaknya satu hardcoded secret. Rata-rata, satu aplikasi AI membocorkan 5,1 kode rahasia. Sebanyak 81 persen dari kode rahasia yang terungkap berkaitan dengan identifier Google Cloud Project, endpoint, dan kunci API, yang berarti sebagian besar data rahasia yang bocor berhubungan dengan akses ke layanan Google Cloud, khususnya sistem kredensial backend.
Celah ini dapat dieksploitasi melalui serangan yang bersifat otomatis, membuka pintu bagi peretas untuk mengakses informasi vital.
Dampak Potensial bagi Pengguna dan Layanan
Kebocoran data ini menimbulkan risiko signifikan, terutama ketika dikaitkan dengan layanan yang memproses data keuangan, analitik, atau data pelanggan. Kunci API yang bocor dapat dimanfaatkan peretas untuk bertindak atas nama pengguna, memanipulasi akun, atau bahkan memalsukan riwayat transaksi.
Para peneliti menduga praktik keamanan yang tidak memadai ini lolos ke Play Store karena tekanan waktu dalam pengembangan aplikasi AI yang cepat, demi mengikuti tren pasar. Namun, Cybernews tidak merinci aplikasi AI spesifik yang terkait dengan kebocoran ini. Aplikasi AI ternama seperti ChatGPT, Gemini, dan Claude dipastikan tidak termasuk dalam daftar tersebut karena tidak didesain dengan teknik hardcoding.
Peringatan dan Rekomendasi Keamanan
Meskipun demikian, peneliti menegaskan bahwa keamanan chatbot sejenis belum sepenuhnya ditingkatkan. Pengguna diperingatkan untuk selalu berhati-hati saat menginstal aplikasi baru dari Play Store, terutama jika aplikasi tersebut meminta akses ke data sensitif.
Laporan ini juga menyebutkan bahwa kebocoran serupa tidak hanya berdampak pada aplikasi berbasis Android. Aplikasi AI berbasis iOS di App Store juga menunjukkan risiko yang sama dengan penggunaan enkripsi hardcoding, meskipun dengan sampel yang lebih kecil, yaitu sekitar 156.000 aplikasi. Sekitar 70 persen di antaranya juga ditemukan mengandung setidaknya satu rahasia yang dikodekan.
Hingga Kamis, 05 Februari 2026, Google belum memberikan tanggapan resmi terkait temuan ini. Informasi lengkap mengenai isu ini dihimpun dari laporan KompasTekno yang merujuk pada PC World dan Cybernews.
