Sebuah laporan Reuters mengklaim perangkat lunak Rusia digunakan di ribuan aplikasi iOS dan Android yang digunakan oleh Angkatan Darat AS, CDC, Partai Buruh Inggris, dan lainnya.
Berikut ini adalah rangkuman dari laporan tersebut:
- Reuters mengklaim Pushwoosh berbasis di Rusia dan bukan di AS seperti yang telah dinyatakan sebelumnya pada pengajuan dan platform media sosial
- Reuters mengklaim telah memperoleh pengajuan yang menunjukkan kantor pusat perusahaan perangkat lunak tersebut berada di kota Siberia, Novosibirsk
- Pushwoosh juga memiliki pengajuan di AS yang mencantumkan California, Maryland, dan Washington DC
- Kode tersebut telah ditemukan di aplikasi di Google Play Store dan Apple App Store
- Pushwoosh, dalam pernyataan publik, mengatakan 'tidak pernah dimiliki oleh perusahaan mana pun yang terdaftar di Federasi Rusia'
Reuters menjelaskan: Yang menjadi masalah bahwa kode yang dikembangkan oleh sebuah perusahaan bernama Pushwoosh telah digunakan dari 8.000 aplikasi di Google Play Store dan Apple App, termasuk Pusat Pengendalian dan Pencegahan Penyakit (CDC), yang mengklaim bahwa mereka percaya bahwa Pushwoosh berbasis di Washington ketika pengembang sebenarnya berbasis di Siberia, Kunjungan ke Twitter feed Pushwoosh menunjukkan perusahaan yang mengklaim berbasis di Washington, DC.
Tampaknya beberapa fitur tanpa kode/low code yang digunakan di aplikasi iOS atau Android mungkin tidak seaman yang Anda kira.
Itulah gambaran besar dari sebuah laporan yang menjelaskan bahwa perangkat lunak Rusia yang disamarkan dan digunakan dalam aplikasi dari Angkatan Darat AS, CDC, Partai Buruh Inggris, dan entitas lainnya.
CleverTap, Braze, One Signal, dan Firebase menawarkan layanan serupa. Sekarang, agar adil, Reuters tidak memiliki bukti bahwa data yang dikumpulkan oleh perusahaan telah disalahgunakan.
Permasalahannya adalah perusahaan tersebut berbasis di Rusia, karena informasi tunduk pada undang-undang data lokal, yang dapat menimbulkan risiko keamanan.
Di halaman Facebook-nya, perusahaan mencantumkan 3413 Dupont Ave, Kensington, Maryland, Amerika Serikat.
Pushwoosh memberikan dukungan pemrosesan kode dan data untuk pengembang software, memungkinkan mereka untuk membuat profil aktivitas online pengguna aplikasi smartphone
Klaim tersebut muncul ketika Pushwoosh membuat pengajuan publik di Rusia, menyebut kota Novosibirsk di Siberia sebagai kantor pusatnya, tetapi juga mengajukan di AS yang mencantumkan California, Maryland, dan Washington DC.
Laporan juga menyebutkan pengajuan perusahaan di Rusia menyatakan untuk membayar pajak kepada pemerintah, yang berarti harus membagikan data pengguna berdasarkan permintaan.
Pushwoosh memberikan dukungan pemrosesan kode dan data untuk pengembang perangkat lunak, memungkinkan mereka untuk membuat profil aktivitas online pengguna aplikasi smartphone dan mengirim pemberitahuan push yang dibuat khusus dari server Pushwoosh.
CDC dan Angkatan Darat telah menghapus kode Pushwoosh setelah mendengar temuan Reuter, keduanya mencatat bahwa tindakan tersebut diambil karena 'masalah keamanan'.
Pushwoosh menolak memberikan komentar kepada DailyMail.com, tetapi membagikan tautan ke pernyataannya terkait laporan tersebut, yang menyatakan 'tidak pernah dimiliki oleh perusahaan mana pun yang terdaftar di Federasi Rusia.'
Meskipun ada banyak alasan untuk curiga terhadap Rusia saat ini, tidak menutup kemungkinan setiap negara memiliki pengembang komponen pihak ketiga sendiri yang mungkin atau tidak mungkin mengutamakan keamanan pengguna.
Sekarang tantangannya adalah mencari tahu mana yang bisa, dan mana yang tidak mengutamakan keamanan pengguna.
Karena alasan pengembangan aplikasi seluler bisa jadi mahal, jadi untuk mengurangi biaya pengembangan, beberapa aplikasi akan menggunakan kode siap pakai dari pihak ketiga untuk pada bagian tertentu.
Dengan melakukan hal tersebut dapat mengurangi biaya, dan, mengingat mereka bergerak cukup cepat menuju lingkungan pengembangan tanpa low level code sehingga lebih memilih untuk menggunakan code/ low code siap pakai dari pihak ketiga.
Karena kode modular dapat memberikan manfaat besar bagi aplikasi, pengembang, dan perusahaan, maka hal ini menjadi perhatian yang harus diperiksa oleh perusahaan mana pun yang menggunakan kode pihak ketiga.
Tantangan lain untuk memperhatikan code tersebut adalah:
- Apakah kode tersebut diperbarui secara berkala?
- Apakah kode itu sendiri tetap aman?
- Berapa kedalaman ketelitian yang diterapkan saat menguji perangkat lunak?
- Apakah kode menyematkan kode pelacakan skrip yang dirahasiakan?
- Enkripsi apa yang digunakan dan di mana data disimpan?
Masalahnya adalah jika jawaban untuk salah satu pertanyaan di atas adalah "tidak tahu" atau "tidak ada", maka data tersebut berisiko.
Ini menggarisbawahi perlunya penilaian keamanan yang kuat seputar penggunaan kode komponen modular apa pun yang digunakan dari pihak ketiga. Harus diuji secara ketat, pengujian "minimal" saja tidak cukup.
Bahaya dari teknologi yang dipersonalisasi yang tidak memiliki perlindungan informasi yang kuat di tengah pertukaran adalah data yang dikumpulkan dan tidak dianonimkan, setelah dikumpulkan, menjadi risiko keamanan.
Tentunya implikasi dari Cambridge Analytica menggambarkan mengapa kebingungan adalah suatu keharusan di zaman yang saling terkoneksi?
Para ahli yang dikutip oleh Reuters menjelaskan, Apple tampaknya memahami risiko ini. Pushwoosh digunakan di sekitar 8.000 aplikasi iOS dan Android. Penting untuk dicatat bahwa pengembang mengatakan data yang dikumpulkannya tidak disimpan di Rusia, tetapi ini mungkin tidak melindunginya dari eksfiltrasi.
Dalam arti tertentu, hal tersebut tidak terlalu menjadi masalah, karena keamanan didasarkan pada pencegahan risiko, daripada menunggu bahaya terjadi. Mengingat banyaknya perusahaan yang bangkrut setelah diretas, lebih baik aman daripada menyesal dalam kebijakan keamanan.
Oleh sebab itu, setiap perusahaan yang tim pengembangnya mengandalkan kode siap pakai harus memastikan bahwa kode pihak ketiga kompatibel dengan kebijakan keamanan perusahaan. Karena itu adalah kode Anda, dengan nama perusahaan Anda di dalamnya, dan penyalahgunaan data apa pun karena pengujian kepatuhan yang tidak memadai akan menjadi masalah Anda.
Sumber: Reuters