Media90 – Tren kecerdasan buatan (Artificial Intelligence/AI) yang melesat pesat dalam setahun terakhir tak hanya membawa kemudahan, tetapi juga memunculkan ancaman serius di ranah keamanan siber. Jutaan pengguna smartphone di seluruh dunia kini berada dalam risiko kebocoran data akibat lemahnya sistem pengamanan pada aplikasi berbasis AI yang beredar luas di toko aplikasi resmi.
Riset mendalam yang dilakukan peneliti keamanan dari Cybernews mengungkap fakta mencengangkan. Banyak aplikasi AI yang tersedia di Google Play Store dan Apple App Store ternyata tidak menerapkan standar keamanan dasar secara memadai. Dampaknya, terjadi kebocoran data sensitif dalam skala masif, dengan total lebih dari 730 Terabyte (TB) data pengguna dilaporkan terekspos di server cloud milik Google.
Data yang bocor tersebut tidak hanya berupa informasi umum. Peneliti menemukan adanya data keuangan, data analitik internal, hingga informasi pribadi pelanggan. Kondisi ini membuka peluang besar bagi penjahat siber untuk melancarkan serangan terarah, mulai dari pencurian identitas hingga pengurasan dompet digital pengguna tanpa disadari.
Cybernews menilai temuan ini sebagai bukti bahwa popularitas teknologi AI tidak selalu diiringi kesiapan keamanan yang memadai. Di tengah percepatan digitalisasi global, celah semacam ini berpotensi mengancam privasi dan keamanan finansial masyarakat dalam skala yang jauh lebih luas.
Praktik “Hardcoding” Jadi Akar Masalah
Menurut laporan Cybernews, akar permasalahan utama berasal dari praktik keamanan buruk yang dikenal sebagai hardcoding. Praktik ini terjadi ketika pengembang menyimpan data sensitif—seperti kunci API, kata sandi, dan kunci enkripsi—langsung di dalam kode sumber aplikasi tanpa perlindungan tambahan.
Metode tersebut telah lama dianggap sebagai kesalahan fatal dalam dunia keamanan siber. Siapa pun yang berhasil membongkar aplikasi dapat membaca data rahasia tersebut dengan relatif mudah.
Dari total 1,8 juta aplikasi Android yang dianalisis, sekitar 72% atau 1,2 juta aplikasi AI diketahui mengandung setidaknya satu hardcoded secret. Bahkan, rata-rata setiap aplikasi membocorkan 5,1 kode rahasia.
Lebih mengkhawatirkan lagi, 81% kode rahasia yang terekspos berkaitan langsung dengan identitas proyek Google Cloud, endpoint, dan kunci API. Kebocoran ini memberi akses langsung bagi pihak tidak bertanggung jawab untuk masuk ke sistem backend pengembang dan memanipulasi data yang tersimpan di layanan cloud.
Ancaman Nyata terhadap Keuangan Pengguna
Celah keamanan ini dapat dieksploitasi melalui serangan otomatis menggunakan bot yang memindai aplikasi rentan secara massal. Dampaknya sangat serius, terutama pada aplikasi yang memproses data keuangan atau menyimpan informasi pelanggan.
Dengan memanfaatkan kunci API yang bocor, penjahat siber dapat menyamar sebagai pengguna sah, memanipulasi akun, mengubah data, hingga memalsukan riwayat transaksi tanpa terdeteksi oleh sistem keamanan standar.
Risiko tertinggi ditemukan pada kebocoran live secret keys milik layanan pembayaran global seperti Stripe. Kunci ini memberikan kendali penuh terhadap sistem pembayaran di balik layar, termasuk kemampuan untuk:
- Mendebit akun pengguna secara ilegal
- Membuat pengembalian dana palsu
- Menerbitkan faktur fiktif
Tak hanya itu, peneliti juga menemukan ratusan aplikasi yang menggunakan basis data Firebase tanpa autentikasi sama sekali. Dalam 42% kasus, bahkan ditemukan tabel bernama “poc” (proof of concept), yang mengindikasikan sistem tersebut kemungkinan telah diuji atau bahkan dibobol sebelumnya.
Tekanan Tren AI dan Risiko di Ekosistem iOS
Masifnya masalah ini tak lepas dari tekanan industri teknologi yang bergerak sangat cepat. Demi mengikuti tren AI dan memenangkan persaingan pasar, banyak pengembang terburu-buru merilis aplikasi tanpa melakukan audit keamanan menyeluruh. Akibatnya, aplikasi yang belum matang dari sisi keamanan langsung dikonsumsi publik.
Risiko serupa juga ditemukan di ekosistem iOS. Dari sekitar 156.000 aplikasi AI yang dianalisis di Apple App Store, hampir 70% diketahui mengandung hardcoded secret. Peneliti mencatat adanya 836 penyimpanan Google Cloud di ekosistem iOS yang secara kolektif membocorkan sekitar 76 miliar file, setara dengan 406 TB data.
Pengguna Diminta Lebih Waspada
Cybernews mengingatkan pengguna agar lebih berhati-hati saat mengunduh aplikasi baru, terutama aplikasi AI yang meminta akses ke data sensitif. Popularitas, rating tinggi, atau status “aplikasi resmi” di toko aplikasi tidak selalu menjadi jaminan bahwa kode di baliknya aman dari ancaman peretasan.
Di tengah ledakan adopsi AI, keamanan seharusnya menjadi fondasi utama, bukan sekadar pelengkap. Tanpa kesadaran dan pengawasan yang lebih ketat, kemudahan teknologi justru bisa berubah menjadi bumerang bagi jutaan pengguna di seluruh dunia.
