Aplikasi (Contact) Tracing vs. Privasi

Belakangan ini mungkin Anda sudah mendengar bahwa perusahaan Apple dan Google bekerjasama untuk meluncurkan sebuah aplikasi yang melakukan tracking (pemantauan) keberadaan orang dan kaitannya dengan risiko terpapar virus corona (penyakit covid-19). Di Indonesia juga ternyata ada beberapa instansi akan (sudah?) meluncurkan aplikasi sejenis. Katanya aplikasi ini memantau keberadaan kita dan orang-orang di sekitar kita.

Ada banyak permasalahan dengan aplikasi sejenis ini. Masalah tersebut terkait dengan keamanan (security), termasuk masalah privasi. Kita mulai satu persatu dahulu.

Pertama, adanya ketidakjelasan cara aplikasi tersebut bekerja. Ada sih memang penjelasan umumnya, tetapi penjelasan umum tidak cukup. Misalnya, data apa saja yang dibaca oleh aplikasi? Diapakan saja data tersebut? (Dikirimkan kemana kah? Diproses apa kah?) Misal, apakah data kontak kita juga dibaca? Bagaimana dengan orang-orang yang berada di dalam kontak kita tetapi tidak ingin diketahui oleh orang lain nomor teleponnya (credentials-nya)? (Ada banyak orang yang seperti ini. Saya tidak bersedia membocorkan nomor telepon kawan-kawan saya kepada siapapun.) Apakah data orang-orang tersebut dibaca secara plain ataukah di-obfuscate atau diubah? Dengan cara apa? Apakah data tersebut digunakan? Dikirim? Diproses? Atau apa?

Kemudian ketika Anda berdekatan dengan seseorang, data apa saja yang dipertukarkan? Ada yang menggunakan Bluetooth dan saling bertukar data. Ketika kita mendapatkan data dari Bluetooth, bagaimana kita memastikan bahwa kita tidak kesusupan malware, trojan horse, virus, dll. Ada satu panduan yang umum digunakan, yaitu ketika tidak dibutuhkan, matikan Bluetooth. Jangan membiarkan Bluetooth hidup terus menerus. Ada banyak program penyerang Bluetooth. Belum lagi kalau kita bicarakan batre yang kesedot karena Bluetooth (atau networking lain) yang hidup terus.

Semua data ini kemudian diolah oleh “siapa”? Lokal di handphone kita? Menghabiskan batrekah? Atau dikirim ke tempat lain? Apa hak-nya “siapa” (instansi) yang mengelola data kita tersebut? Kalau data kita bocor, apakah “siapa” ini dapat kita tuntut ke pengadilan?

Bayangkan ini seperti aplikasi google maps / waze yang melakukan tracking kemana saja Anda pergi, ketemu siapa saja, atau dekat dengan siapa saja. Kemudian dia bakalan tahu juga kontaknya kontak Anda.

Cara-cara (protokol, mekanisme) yang digunakan harus terdokumentasi dan terbuka untuk publik. Jika ini dirahasiakan, maka itu sebuah tanda bahwa sistem ini tidak aman. Kita ambil contoh di dunia kriptografi. Sebuah algoritma kriptografi dinyatakan aman apabila algoritma tersebut dibuka ke publik. Keamanannya bukan terletak kepada kerahasiaan algoritmanya, tetapi kepada kerahasiaan kuncinya.

Setelah desain dari aplikasi tersebut kita nyatakan aman – atau setidaknya belum ditemukan masalah – maka kita beranjak kepada implementasinya. Bagaimana ide tersebut diimplementasikan. Banyak aplikasi / sistem yang idenya bagus tetapi implementasinya buruk. Jebol di sana-sini. Yang ini harus dibuktikan melalui evaluasi atau audit.

Setelah itu ada juga masalah di operasionalnya. Apakah orang mudah menggunakannya atau cenderung mengabaikan keamanannya. Misalnya ada sebuah sistem yang didesain teramat sulit ditembus, tetapi gemboknya (password-nya) misalnya 40 karakter. Karena sulit dihafal, maka password tersebut dituliskan di layar (menggunakan post-it-note). Hal yang sama, kadang karena sulit dihafal makas sandi tersebut kita simpan di handphone. Bubar jalan.

Masih ada hal-hal lain yang bisa kita bahas. Pada intinya, selama aplikasi tersebut tidak terdokumentasi dengan terbuka dan belum dievaluasi maka jangan gunakan aplikasi tersebut. Tujuan yang baik dapat berdampak buruk jika implementasinya ngawur.

Oh ya, versi video dari penjelasan ini dapat dilihat pada channel YouTube saya.

Semoga penjelasan ini dapat memberikan cara pandang lain.

Bacaan terkait.

4 pemikiran pada “Aplikasi (Contact) Tracing vs. Privasi

  1. Sy juga per diberitahu teman ada aplikasi spt ini dg nama PeduliLindungi. Setelah baca2 cara kerjanya sy gak berani menginstall. Selain masalah keamanan data, salah2 saya divonis ODP gara2 berdekatan dg orang yg teridentifikasi di aplikasi.

  2. keamanan rapat virtual (spesifiknya: zoom) sedang saya buat videonya. sebentar lagi saya upload ke YouTube channel saya. mudah2an sempat dibuatkan tulisannya di sini.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s