Ini Dia Aplikasi Paling Boros Baterai dan Bocorkan Data

Tautan preview adalah fitur yang bisa kita temukan di hampir semua aplikasi chat dan instant messaging. 

Sayangnya, fitur ini juga bisa membocorkan data sensitif dan menguras baterai. 

Ada beberapa aplikasi yang paling parah melakukannya.

Untuk diketahui, tautan preview memang membuat percakapan online lebih mudah karena memberikan gambar dan teks yang terkait dengan file yang dibagikan di aplikasi chat atau pesan instant.

Namun seperti sudah disebutkan tadi, tautan ini selain membocorkan data dan boros daya, juga menghabiskan bandwidth. 

Bahkan dalam satu kasus, fitur ini mengekspos tautan dalam obrolan yang seharusnya dienkripsi secara end-to-end.

Di antara banyaknya aplikasi yang melakukan 'pelanggaran' ini, peneliti keamanan mengungkapkan Facebook, Instagram, LinkedIn, dan Line adalah yang terburuk.

Saat pengirim menyertakan link dalam pesan, aplikasi akan menampilkan chat bersama dengan teks (biasanya judul) dan gambar yang menyertai tautan tersebut. 

Biasanya terlihat seperti gambar di bawah ini.

Untuk memungkinkan hal ini, aplikasi itu sendiri atau proxy yang ditentukan oleh aplikasi harus mengunjungi tautan, membuka file di sana, dan memeriksa apa yang ada di dalamnya. 

Dikutip dari Ars Technica, hal ini dapat membuat pengguna terekspos menjadi sasaran serangan cyber. Yang paling parah adalah, pengguna bisa saja mengunduh malware.

Bahkan bentuk kejahatan lain mungkin memaksa aplikasi mengunduh file yang sangat besar sehingga menyebabkan aplikasi mogok, menguras baterai, atau boros bandwidth.

Jika tautan mengarah ke data pribadi, misalnya pengembalian pajak yang dikirimkan ke akun OneDrive atau DropBox pribadi, server aplikasi memiliki kesempatan untuk melihat dan menyimpannya.

Para peneliti keamanan yang melaporkan hal ini, Talal Haj Bakry dan Tommy Mysk, menemukan bahwa Facebook Messenger dan Instagram adalah pelanggar terburuk.

Seperti yang ditunjukkan pada bagan di bawah ini, kedua aplikasi tersebut mendownload dan menyalin file tertaut secara keseluruhan meskipun ukurannya gigabyte. 

Sekali lagi, perlu menjadi perhatian jika file tersebut adalah sesuatu yang ingin dirahasiakan oleh pengguna.

Keduanya juga menghabiskan banyak bandwidth dan cadangan baterai, serta menjalankan JavaScript apa pun yang terdapat dalam tautan. 

Tentunya ini juga masalah karena pengguna tidak memiliki cara untuk memeriksa keamanan JavaScript dan tidak bisa mengandalkan aplikasi pesan punya perlindungan dari eksploitasi yang sama seperti di browser.

Haj Bakry dan Mysk melaporkan temuan mereka ke Facebook, dan direspons Facebook dengan mengatakan bahwa kedua aplikasi berfungsi sebagaimana mestinya.

LinkedIn punya kinerja sedikit lebih baik dalam hal ini. Satu-satunya perbedaan adalah, aplikasi jejaring sosial profesional ini hanya menyalin file di 50 megabyte pertama.

Sementara itu, untuk Line, ketika aplikasi membuka pesan terenkripsi dan menemukan tautan, makan tautan tersebut akan dikirim ke server Line untuk menghasilkan preview.

"Kami percaya bahwa ini mengalahkan tujuan enkripsi end-to-end, karena server Line tahu semua tentang tautan yang dikirim melalui aplikasi, dan siapa yang membagikan tautan apa dan kepada siapa," tulis Haj Bakry dan Mysk dalam laporannya.

Discord, Google Hangouts, Slack, Twitter, dan Zoom juga menyalin file, tetapi membatasi jumlah data mulai dari 15MB hingga 50MB. 

Bagan di bawah ini memberikan perbandingan dari setiap aplikasi yang diteliti. 

Namun secara keseluruhan, penelitian ini juga menjadi kabar baik karena menunjukkan bahwa sebagian besar aplikasi messaging melakukan hal yang benar.

Misalnya, Signal, Threema, TikTok, dan WeChat semuanya memberi pengguna opsi untuk tidak menerima tautan preview. 

Untuk pesan yang benar-benar sensitif dan pengguna yang menginginkan privasi sebanyak mungkin, ini adalah pengaturan yang terbaik. 

Meskipun preview disediakan, aplikasi ini menggunakan cara yang relatif aman untuk merendernya.

"Preview adalah fitur bagus yang umumnya menguntungkan pengguna. 

Tetapi di sini kami ingin memperlihatkan berbagai masalah yang dapat ditimbulkan fitur ini jika masalah privasi dan keamanan tidak dipertimbangkan developer aplikasi dengan cermat," tutup mereka.