Aplikasi PeduliLindungi Dinilai Berlebihan Himpun Data Pengguna

KOMPAS.com - Tak lama setelah kasus pertama Covid-19 diumumkan di Indonesia, Kemeterian Komunikasi dan Informatika (Kominfo) bergerak cepat membuat aplikasi pelacakan kontak (contact tracing) bernama PeduliLindungi.

Dalam deskripsinya, aplikasi ini memanfaatkan koneksi bluetooth untuk melacak orang-orang yang berada di zona merah atau pengguna yang pernah berada dalam jarak dekat dengan pengguna lain yang positif Covid-19.

Namun, pada praktiknya, aplikasi ini ternyata mengumpulkan lebih banyak data dari yang dibutuhkan. Para peneliti di The Citizen Lab, Munk School of Global Affairs and Public Policy, University of Toronto memaparkan temuan tersebut dalam penelitian terbaru mereka.

Baca juga: Cara Cek Apakah Anda Calon Penerima Vaksin Gratis, Ini Linknya

Penelitian berjudul "Unmasked II: An Analysis of Indonesia and the Philippines' Government-Launched COVID-19 Apps" itu dipublikasi pada 21 Desember 2020 dan bisa dilihat di tautan berikut.

Setelah mengoprek (reverse engineering) aplikasi PeduliLindungi versi 2.2.2 untuk Android, tim menemukan banyak akses izin yang berpotensi membahayakan data pengguna.

Seperti izin lokasi yang digunakan untuk melacak geolokasi, izin kamera yang digunakan untuk mengambil foto atau video, izin storage yang memungkinkan membaca file foto dan file lain yang disimpan di ruang penyimpanan.

Untuk melacak geolokasi pengguna, aplikasi meminta akses background location (latar belakang), coarse location (lokasi kasar), dan fine location (lokasi mendetail) dari pengguna. Lokasi kasar dan lokasi mendetail akan menghimpun lokasi dari sistem operasi.

Sementara lokasi latar belakang memungkinkan aplikasi tetap bisa melacak lokasi pengguna di backgorund, kendati aplikasi tidak sedang digunakan.

Transmisi data ke Telkom

Tim Citizen Lab juga menemukan bahwa PeduliLindungi mengirim koordinat geolokasi perangkat pengguna ke dua titik ujung (endpoint).

Endpoint pertama digunakan untuk menentukan apakah pengguna saat ini berada di zona merah atau tidak berdasarkan koordinat geolokasi. Titik kedua adalah endpoint analitik yang di-hosting oleh PT Telkom Indonesia.

Data yang dikirim ke endpoint kedua termasuk geolokasi pengguna, alamat Wi-Fi MAC, nama lengkap pengguna, dan nomor telepon. "Informasi dalam transmisi ini tidak ada yang mutlak diperlukan untuk kepentingan pelacakan kontak", tulis penelitian tersebut.

Mengirim koordinat geolokasi ke server pusat tidak diperlukan untuk contact tracing, karena aplikasi memanfaatkan bluetooth untuk mendeteksi pengguna aplikasi PeduliLindungi lain di sekitarnya, termasuk siapa yang positif, termasuk mengidentifikasi area kerumunan.

Kemudian data yang ditransmisi ke endpoint Telkom tidak jelas peruntukannya terkait pelacakan kontak Covid-19.

Baca juga: iOS 12.5 Meluncur untuk iPhone Lawas, Ada Fitur Pelacak Covid-19

Dalam laman kebijakan privasi PeduliLindungi, tidak disebutkan bahwa data ditransmisi ke PT Telkom dan bagaimana data akan digunakan, apakah akan digunakan untuk kepentingan iklan digital atau tujuan lain.