Awas! Aplikasi Penguntit Ini Curi Data Puluhan Ribu Pengguna iPhone dan Android

Bagi yang belum familier, Xnspy memungkinkan orangtua memantau aktivitas anak di perangkat. Namun, aplikasi tersebut kerap kali dipromosikan secara terang-terangan sebagai alat memantau aktivitas pasangan.

Di situs web perusahaan, aplikasi tersebut diiklankan dengan kalimat seperti “Untuk memergoki pasanganmu yang selingkuh, Anda membutuhkan (aplikasi) Xnspy di sampingmu”, atau “Xnspy akan membuat laporan dan ekstraksi data yang mudah untuk Anda”, dan sebagainya.

Karena digunakan untuk “menguntit", Xnspy pun disebut sebagai aplikasi “stalkerware”. Ponsel yang dipasangi XnSpy akan mengakses sejumlah data dan mem-bypass sistem keamanan perangkat. Sehingga, keberadaan aplikasi di ponsel tidak diketahui pemiliknya.

Saat dijalankan, Xnspy akan mengakses sejumlah data, seperti riwayat panggilan, pesan teks, foto, riwayat pencarian di internet, hingga titik lokasi (GPS) seseorang secara akurat.

Data tersebut kemudian dikirim secara berkala ke ponsel orang lain yang sudah diatur. Orang yang menerima data tersebut dapat melihat keseluruhan data dan akvititas yang dilakukan korban tanpa sepengetahuan mereka.

Kendati begitu, praktik ini ditemukan memiliki kerentanan. Dilansir KompasTekno dari Tech Crunch, Sabtu (17/12/2022), dua peneliti keamanan perangkat, Vangelis Stykas dan Felipe Solferini melakukan penelitian dan menganalisis aplikasi-aplikasi penguntit serupa, salah satunya termasuk Xnsply.

Aplikasi tersebut ditemukan tidak memiliki perlindungan data yang aman terhadap penggunanya. Artinya, keamanan dan privasi pengguna disimpan di server yang tidak aman, dan rentan untuk bocor.

Setelah ditinjau lebih jauh, dua peneliti tersebut menemukan bahwa ada kerentanan pada aplikasi “stalkerware” tersebut, tetapi mereka tidak merinci lebih lanjut. Sebab, keduanya takut jika kerentanan aplikasi diungkap, pengembang akan memanfaatkan informasi tersebut untuk merugikan lebih banyak korban.

Xnspy sendiri telah memiliki setidaknya 60.000 korban sejak 2014 lalu hingga sekarang. Pengguna yang dicuri datanya kebanyakan dari pengguna Android, tetapi terdapat juga ribuan pengguna dari iPhone.

Hanya saja, jika dibandingkan dengan iPhone, perangkat Android telah mudah disusupi oleh aplikasi jahat. Dikarenakan iPhone memiliki kebijakan lebih ketat, seperti aplikasi apa saja yang dapat di-install dan data apa saja yang boleh diakses.

Oleh karena itu, cara kerja aplikasi ini berbeda dengan Android. Pada perangkat iPhone, aplikasi stalkerware memanfaatkan layanan penyimpanan cloud Apple, yaitu iCloud.

Dengan memiliki kredensial iCloud milik korban, stalkerware bakal terus mengunduh sejumlah data dari iCloud secara langsung tanpa sepengetahuan pengguna. Misalnya, mengakses data pesan teks, foto, dan informasi lainnya.

Aktifkan 2FA

Kendati begitu, peneliti menyebut bahwa dengan mengaktifkan sistem keamanan two-factor authentication (autentifikasi dua faktor) akan menyulitkan aplikasi stalkerware mengakses data pengguna.

Selain Xnspy, aplikasi yang juga terbukti mengeksploitasi data pengguna adalah mSpy, Flexispy, Kids Guard, dan The Truth Spy.