Keamanan Aplikasi Pokemon Go

Saat ini aplikasi Pokemon Go sedang mendapat sorotan. Aplikasi ini membuat berbagai “kegaduhan” di berbagai negara. Pengguna atau pemain aplikasi Pokemon Go ini sering terlalu serius dalam berburu monster (Pokemon) sehingga melupakan berbagai aspek, termasuk keselamatan dirinya. Saya jadi ingat masa kecil bermain layang-layang dan berburu layangan yang putus ke jalan tanpa mengindahkan keselamatan diri. hi hi hi.

Di Indonesia sendiri aplikasi Pokemon Go ini belum diluncurkan secara resmi, tetapi ini tidak menghalangi orang-orang untuk mencari aplikasi dari tempat-tempat yang tidak resmi. Jumlah pemain Pokemon Go dari Indonesia ini belum diketahui secara resmi, tetapi jumlahnya pasti *BANYAK SEKALI*. (Sampai saya tulis dengan huruf besar dan bold. ha ha ha.)

Tulisan ini akan menyoroti masalah keamanan (security) dari aplikasi Pokemon Go karena saat ini mulai muncul berbagai isyu tentang keamanannya. Bahkan tadi saya mendengar berita tentang adanya larangan bagi Polisi & Tentara untuk menggunakan aplikasi Pokemon Go ini sehingga ada yang kena razia segala. Sebelum ini menjadi hal-hal yang terlalu berlebihan (kasihan yang terkena razia), nampaknya perlu saya buat tulisan ini. Jadi ini latar belakangnya.

Beberapa hal yang menjadi alasan keamanan aplikasi ini, antara lain:

  1. Aplikasi menggunakan GPS untuk mengetahui lokasi (koordinat) pengguna. Lokasi ini dikirimkan ke server untuk digunakan sebagai bagian dari permainannya. Dikhawatirkan pihak pengelola server menggunakan data ini untuk hal-hal yang tidak semestinya (surveillance, misalnya).
  2. Aplikasi mengunakan kamera untuk mengambil gambar (foto, video) tentang lokasi sebagai bagian dari permainan. Dikhawatirkan data ini (foto, video) dikirimkan ke pengelola untuk hal-hal yang negatif juga. Bagaimana jika lokasi kita merupakan tempat yang sangat sensitif (rahasia)?

Itu hal-hal yang muncul di berbagai diskusi. Sebetulnya ada hal-hal lain yang juga dikhawatirkan tetapi menurut saya hal ini belum tentu benar, misalnya

  1. Aplikasi digunakan oleh Pemerintah Amerika Serikat (dalam hal ini CIA) untuk memantau orang-orang Indonesia. Untuk hal ini, langsung saya tanggapi saja. Tidak benar! Atau, belum tentu benar. Jadi begini. Aplikasi Pokemon Go dijalankan oleh sebuah perusahaan swasta. Perusahaan ini sangat menghargai kerahasiaan data penggunanya. Umumnya perusahaan tidak suka menyerahkan data ini ke pemerintah. Meskipun mereka kadang menjual data ini untuk keperluan bisnis lainnya (iklan, misalnya). Jadi, secara umum, perusahaan Nintendo tidak bekerjasama dengan CIA. (Catatan: di sisi lain, pihak intelligence Amerika memang terkenal melakukan penyadapan-penyadapan terhadap perusahaan-perusahaan Amerika juga. Jadi boleh jadi terjadi penyadapan, tetapi ini biasanya tanpa sepengetahuan perusahaan sendiri. Jadi terjadi spy-and-contra-spy antara mereka. Adu kepintaran. Untuk hal ini, memang terjadi. Ada beberapa catatan saya yang saya diskusikan di kelas Security yang saya ajarkan di ITB.)
  2. Pokemon Go dikembangkan oleh orang yang anti Islam. Wah ini sudah kejauhan teori konspirasinya. Alasannya karena banyak Pokemon di masjid. Jawaban terhadap hal ini adalah database untuk penempatan Pokemon itu berasal dari data aplikasi Ingress yang dikembangkan oleh Niantic Labs, perusahaan yang membuat kedua aplikasi tersebut. (Silahkan gunakan Google untuk mencari “Pokemon Ingress”.) Kebetulan saja, masjid adalah tempat banyaknya orang berkumpul dan terdata di Ingress. Itu saja. Jadi tidak ada konspirasi di sini.

Mari kita ke permasalahan utamanya. Apakah aplikasi Pokemon Go ini aman atau berbahaya? Untuk menjawab pertanyaan tersebut harus dilakukan penelitian yang lebih mendalam, tetapi saya dapat mengajukan analogi seperti ini. Aplikasi Pokemon Go memang menambahkan celah keamanan (security hole), tetapi saat ini pun Anda sudah memiliki security hole yang lebih besar. Jadi kalau Anda mempermasalahkan keamanan dari celah lubang udara, sementara pintu rumah Anda sendiri sudah terbuka lebar, ya kurang tepat. You already have bigger problems.

Apa saja “masalah-masalah” yang sudah ada tersebut? Ada banyak, contohnya:

  1. Ada banyak aplikasi lain yang menggunakan GPS. Di Indonesia ada aplikasi Waze, Google Maps, Nike+, Swarm, Instagram, Twitter, Facebook, Go-Jek, dan seterusnya. Jika penggunaan GPS dipermasalahkan, maka aplikasi-aplikasi tersebut sama statusnya. Bahkan mereka lebih “mengerikan” dalam hal memberikan data ke penyedia jasa aplikasi tersebut.
  2. Ada banyak aplikasi yang menggunakan kamera; instagram, facebook, path, dan seterusnya. Orang Indonesia terkenal dengan potret-memotret dengan handphone, selfie. Beberapa aplikasi tersebut juga sudah menggabungkan informasi dari GPS untuk menandai lokasi dimana foto diambil. Ini juga sama statusnya dengan aplikasi Pokemon Go.
  3. Anda menggunakan layanan publik seperti Gmail, Yahoo!, dan seterusnya. Maka ini juga dapat dianggap sebagai “masalah”. Mereka malah menyimpan data email Anda. Jika Anda (dan bahkan instansi Anda) menggunakan layanan email-email ini, malah ini justru lebih berbahaya daripada aplikasi Pokemon Go. (Perhatikan bahwa ada banyak instansi pemerintahan yang menggunakan layanan ini!)
  4. Ketika memasang aplikasi Pokemon Go, aplikasi diperkenankan mengakses akun Google (Gmail) Anda secara penuh. Ya ini tergantung kepercayaan Anda kepada pengelola aplikasi Pokemon Go.  Lagi pula, dari mana Anda tahu bahwa aplikasi tersebut tidak tersusupi oleh virus / malware? Kan Anda belum mendapatkan itu secara resmi. Nah lho

Solusi?

Untuk orang-orang yang bekerja di lingkungan tertentu yang membutuhkan keamanan (Militer, Polisi, Penegak Hukum, dst.) maka seharusnya mereka menggunakan handphone khusus; secure handphone. Untuk pekerja seperti itu, mereka tidak boleh menggunakan handphone yang dijual secara umum dan tidak boleh menggunakan aplikasi yang belum disertifikasi. (Sebetulnya kami sudah mampu mengembangkan secure handphone sendiri. Silahkan hubungi kami untuk informasi lebih lanjut. Saya tidak ingin beriklan di tulisan ini.) Saat ini saya juga sedang membimbing mahasiswa (level S3) yang meneliti tentang secure mobile phone dan aplikasinya. Saya juga sedang terlibat pembahasan tentang evaluasi keamanan handphone beserta aplikasinya. Tunggu tanggal mainnya untuk yang ini ya.

Oh ya, jika para pembaca belum mengetahui latar belakang saya, memang salah satu bidang yang saya geluti adalah security.

Untuk orang-orang biasa? Ya, anggap saja Pokemon Go sebagai pemainan yang tidak aman. Kalau memang tidak ada yang dirahasiakan di handphone Anda dan dalam kehidupan Anda, nikmati saja. Tapi sadar saja bahwa tidak ada perlindungan keamanan di sana. Sama seperti aplikasi-aplikasi lainnya, termasuk media sosial yang Anda gunakan (Facebook, Path, Instagram, Twitter, dan seterusnya).

Jadi, sudah berhasil menangkap berapa Pokemon?

[Update: Bonus. Untuk “menakut-nakuti”, silahkan lihat video berikut ini]

About Budi Rahardjo

Teknologi informasi, security, musik, buku Lihat semua pos milik Budi Rahardjo

46 responses to “Keamanan Aplikasi Pokemon Go

  • masbadar

    Baik developer dan usernya; mau masuk ranah realita tapi ndak siap menghadapi realitas. Dunia nyata tak seindah di dalam mesin. Pokemon Go baru satu, mengantri di belakangnya bejibun aplikasi serupa, siapkan mental, UU, dan uang.

  • publisherngapak

    terima kasih sekali pencerahannya Prof, bisa jadi bahan rujukan orang awam seperti saya tentang game pokemon dan aplikasi2 lain yang menggunakan gps, dll

  • A Riza Wahono

    thanks..
    kalau benar itu adalah aplikasi mencuri keamanan

    Maka salah satu cara pengaburannya adalah dengan dibuat decoy, alias gambar gambar yg berbeda dengan yang real yg di shoot di kamera..
    maka gambar tsb tidak lagi merepresentasikan foto sesungguhnya yang mungkin akan mengacaukan … tatapi itupun kalau memang cuma celah yang terlihat, dan seperti yg mas Budi sampaikan, kalau pintu masuknya sudah ngablak atau didalemnya ndak punya classified things atau benda berharga… ngapain ngeributin celah celah kecil..

    salam

  • mr jahe

    Saya ga ada yang dirahasiakan. Pengen main tapi nunggu versi resminya aja.

  • Vandy Putrandika

    Sebenarnya google lebih berbahaya pak. Mereka sudah farming data yang lebih banyak dan lengkap dibandingkan Niantic/Nintendo sebagai perusahaan di balik Pokemon Go.

  • Alan Maulana

    baru dapat 3 pokemon pak wkwkwkwk :v

  • ryosaeba

    ribet amat ngarang2 soal “decoy” untuk gambar. ini ketahuan suka komentar untuk sesuatu yang tidak pernah dicoba sendiri: matikan saja AR-nya. untuk HP yang gak ada gyro sudah default mati, tapi banyak yang memang sengaja mematikan AR untuk menghemat batere karena tidak lagi menggunakan kamera.

  • Faisal Reza Reza

    secure phone. amazing prof🙂

  • Emanuel Setio Dewo

    Saya sangat tertarik dgn secure phone yg sdg dikembangkan Pak Budi. Kapan2 dibahas di blog ya Pak. Saya ingin banyak belajar.

  • khalifahkelima

    Bisa juga dibuat begini:
    Pokemon bisa diberi makan dengan cara men-scan barcode produk makanan sponsor di lokasi pokespot.

  • mxwan

    sama halnya yang suka selfie karenahasil jepretan wajah Anda di-upload ke jejaring sosial, maka ekspresi wajah Anda akan langsung “diolah” oleh mesin cerdas. Selain dicek, profil wajah Anda akan dicocokkan ke database

  • anonim

    kurang seru nih, baru pake logika aja🙂 :p
    coba analisanya pake data yang agak teknis, misal hasil sniff data yang dikirim ke server niantic, atau sebutkan data seperti om uyo yang 68% pemain pokemon itu palsu, pasti lebih meyakinkan🙂 :p

  • Pokemon Go, Keamanan Negara dan Technoparanoia | MAHADARMA

    […] juga sependapat dengan Pak Budi Rahardjo, yang menjelaskan di blog […]

  • Andre SuryaKusuma

    Pak Prof.. ijin Share info ini.. saya CIO-ITB2013 terimakasih pak masukan dan infonya

  • Raichu

    Banyaknya Mesjid & Musholla adalah karena di Ingress, salah satu kriteria dari portal submition adalah tempat ibadah (PUBLIC PLACES OF WORSHIP), cek Link ini untuk detail kriteria apa aja yg bisa di Submit. https://support.ingress.com/hc/en-us/articles/207343987-Candidate-Portal-criteria

    Di situ bukan cuma tempat ibadah, musium, patung, air mancur, kantor pos juga ada. Tapi karena masjid secara jumlah memang lebih banyak dibandingkan kriteria lain (musium misal), otomatis kelihatan banyak sekali dibandingkan kriteria lain tsb.

  • makhluklemah

    Logikanya nyambung semua.😀

  • anta40

    Jadi dugaan bahwa Pokemon Go itu potensial digunakan oleh CIA itu bisa saja benar, tapi ya bisa juga nggak ya.

    Entahlah gimana membuktikan ini benar atau salah :p

  • iChal Zen (@ichal_zen)

    Di internet, yang paling aman sekalipun kadang-kadang ga aman … ada aja celahnya …

  • Nuzul Torada

    Trmksh pencerahannya pak Profesor.

  • Dzulfikar

    ketakutan terhadap Pokemon memang terlalu berlebihan, adapun efek yang ditimbulkan seperti ketabrak mobil sampai jatuh kecebur di dermaga itu merupakan kesalahan pengguna yang sudah dihimbau oleh penyedia Pokemon Go agar berhati-hati.

    Tulisan ini perlu dibaca pemangku kebijakan yang melakukan larangan karena sebatas kekhawatiran ada penyadapan. Jika dilarang karena mengganggu jam kerja itu urasannya beda lagi.

    Btw, gimana supaya bisa cepat naik level ya di Pokemon Go?😀

  • Bram Setiadi

    Reblogged this on KUDAPAN PAGI and commented:
    Selalu ada kebaikan untuk berpikir kritis sebelum melakukan sesuatu, meski sesuatu yang dimaksud itu sesepele bermain game. Memang benar pada zaman ini perkembangan teknologi begitu pesat. Ada banyak orang yang meski familiar dengan penggunaan gawai (gadget) tetapi tidak akrab dengan perangkat keras dan lunak yang bekerja di dalamnya. Walau ada kemungkinan bahwa ujung-ujungnya yang hanya membuat parno belaka, tetapi bagaimana lagi – bukankah manusia memang menakuti sesuatu yang tidak mereka ketahui?

    Sebuah inspirasi pagi ini, ditulis oleh seorang dosen Institut Teknologi Bandung.

  • Pitchstar Chernenko

    Diskusi disini lebih berbobot dibanding yang di televisi televisi.

    Denger denger Pokemon GO ini masih versi beta, jadi kemungkinan akan terus dikembangkan (seperti mau ada fitur transfer pokemon). semoga update tersebut nggak berdampak seperti yang diceritakan diatas.

    terima kasih informasinya dan pencerahan yang masuk akal dan logis.

    sukses untuk kita semua

    nitip link kak http://teknologital.blogspot.co.id

  • Herry Budiman

    baca kolom berita malah timbul pertanyaan baru. tapi, kalo yang bilang pak budi raharjo beda rasanya. terimakasih untuk pencerahannya pak budi.

  • A Riza Wahono

    tujuan decoy justru untuk memberikan informasi yang salah dan mengecoh pada sebuah titik GPS, kalau dimatikan bukan decoy namanya..

  • @sadal

    asiik ada ulasan dari Prof Budi.

    1. betul yang dibilang Om RyoSaeba, gak ada keharusan PokeGo (Pokemon GO) menggunakan kamera, matiin aja tombol AR.

    2. mulai rilis kedua yaitu v0.29.2 sudah gak full akses akun Google lagi.
    http://www.idownloadblog.com/2016/07/12/first-pokemon-go-update-squashes-bugs-no-longer-requires-full-google-account-access/

    3. ditambah analisa ini Prof:
    Reverse Engineering app PokeGo
    https://applidium.com/en/news/unbundling_pokemon_go/

    4. Prof juga bisa menyarankan ke Pemerintah utk request hapus titik2 PokeSpot/Gym di lokasi terlarang/berbahaya.
    Rekan saya di Pusdik Arhanud request dan selang sehari langsung dihapus PokeStop-nya dari game.
    caranya:
    https://support.pokemongo.nianticlabs.com

    5. dari mbah Ruby

    6. suka sekali dgn quote ini 😎
    “…kalau Anda mempermasalahkan keamanan dari celah lubang udara, sementara pintu rumah Anda sendiri sudah terbuka lebar, ya kurang tepat. You already have bigger problems”

  • @sadal

    Pak Riza Wahono,
    yang dipermasalahkan kenapa mesti pake Decoy, gak ada fake data yang perlu dikirimkan kalo cam/fotonya gak dipakai kan?
    itu kamera cuma buat narsis, capture screenshot juga bisa kalo parno memakai kamera.
    dimana camera dipakainha, apa dan dimana tombol AR, pasti tau kalo udah mainkan gamenya.

    kalo tujuannya ngirim fake data, sama juga dgn menyarankan pake fake GPS.
    ini contohnya http://i.imgur.com/PxLnBSv.jpg

  • @sadal

    poin no.2 ini kurang akurat prof:
    “Aplikasi mengunakan kamera untuk mengambil gambar (foto, video) tentang lokasi sebagai bagian dari permainan”

    koreksi:
    1. tidak ada video dalam game.
    2. mengambil foto bukan bagian dari permainan, lensa kamera ditutup selotip saat main juga gak masalah.
    fasilitas mengambil gambar disediakan hanya supaya pengguna bisa pamer kalo mau, itu juga bisa pake capture fasilitas hape-nya kok.

  • Sakti

    saat kita masuk ke dunia digital dan dunia internet memang masalah privacy dan keamanan data menjadi perhatian.. kalau paranoid sebaiknya tidak usah bersentuhan dengan internet.. seaman apapun system yang dibuat manusia pasti akan ada celah kelemahannya (termasuk dari kebiasaan user)

  • Cherry fantastika

    Ijin share Pak…

  • Kuro

    Untuk yang bertanya tentang sniff data apa saja yang dikirim, saya bisa jawab. Yang dikirim cuma koordinat, aksi yang dilakukan (spin pokestop/menangkap/gym battle/dsb). Cuma itu aja. Foto tidak diupload ke server Niantic. Kekhawatiran tentang foto sama seperti foto selfie, dimana pengguna sering main share ke medsos tanpa melihat kerahasiaan foto.

    Dari mana saya dapat data tersebut? Ada beberapa proyek hobby yang membongkar segala macam protokol api si pokemon go ini. Dan kebetulan saya termasuk yang mempelajari api tsb.

  • Dwi Wahyudi

    Tanpa sadar kita sendiri sudah mempublish profil pribadi ke ranah publik melalui media sosial, itu yang masih belum banyak dipahami oleh para pengguna di Indonesia. Dan begitu tren Pokemon Go muncul, lalu dengan segala asumsi dan opininya membuat statement bahwa permainan ini berbahaya. Ya bagaimanapun juga segala kemungkinan bisa terjadi, namanya juga kecanggihan teknologi. Tapi semuanya kembali ke penggunanya sendiri, jika ingin profil diri Anda tersebar luas di media sosial, cukup batasi diri. Simpel…🙂

  • TODO-Y03-M11-D24 | Darah Juang, Dr. Dro!

    […] Bersama rekan kerja di Jade HS, kami mengobrol tentang email dari Fraunhofer IDMT tentang Pokemon Go. Atas alasan kerahasiaan dan keamanan (security), ada larangan main Pokemon, karena game ini melibatkan kamera dan GPS. Selain itu, kami juga bergosip tentang Pembimbing I yang lagi senang main Pokemon. Gimana dia waktu di Fraunhofer, yah? Begitulah kira-kira obrolan kami. Silahkan baca juga, tulisan Pak Budi Rahardjo mengenai masalah keamanan game Pokemon Go. […]

  • catatandodi

    langsung ahli yang memberi ulasan (y)

  • Pokemon Tidak Perlu Dilarang | Catatanku

    […] Sebegitu hebohnya permainan ini, lembaga Pemerintah dan lembaga layanan masyarakat sampai perlu mengeluarkan edaran larangan bermain Pokemon di instansinya, seperti edaran yang dikeluarkan oleh Menpan,  larangan dari kepolisian, dan larangan yang diekluarkan banyak Pemda. Bahkan para ulama NU pun mulai membahas hukum bermain Pokemon hingga mengeluarkan hukum makruh sampai haram.  Ada juga yang khawatir kalau pembuat Pokemon punya agenda terselubung untuk mengumpulkan data dari GPS untuk tujuan intelijen sehingga membahayakan negara. Kenapa hanya Pokemon yang dilarang? Banyak juga kan aplikasi online lain yang berbasis GPS seperti Gojek, Grab Taxi, Waze, Instagram, dan lain-lain tetapi kok tidak dilarang? (baca tulisan rekan saya ini yang meninjau dari sisi keamanan: Keamanan Aplikasi Pokemon Go). […]

  • Benarkah Pokemon GO Berbahaya? Dua Akademisi Ini Angkat Bicara!

    […] Budi melalui blog pribadinya, beberapa hal yang dianggap menjadi alasan keamanan bagi Pokemon GO adalah karena menggunakan […]

  • Prita Pdinata

    Path agak mengerikan sih, kalo bagi saya. Karena orang-orang di sekitar kita juga bisa memantau atau memata-matai berdasarkan apa yang kita upload di sana

  • dewitya

    pokemon go masih seru seru aja nihhh

  • Sepatu Kulit Bandung

    Maen Pokemon Kudu Extra Hati2 .. karena kebanyakan gk waspada sama sekitar

  • GudangApps

    makin kesini permainan hp makin canggih ya.. gmna 20 th ke depan ya?

  • Pokemon Go, Amankah? | My Journal

    […] Berikut saya cuplik bahasan dari salah satu pakar Security tentang permainan ini, Bapak Budi Rahardjo, yang ambil dari blog beliau: […]

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: