ATLANTA — Pernahkah Anda memasang ekstensi peramban untuk memblokir iklan, mengelola kata sandi, atau menemukan penawaran belanja terbaik? Jika ya, Anda tidak sendirian. Jutaan pengguna internet mengandalkan alat praktis ini untuk menyesuaikan pengalaman menjelajah mereka. Namun, para peneliti Georgia Tech mengungkap fakta yang mengejutkan: ekstensi peramban favorit Anda mungkin diam-diam mengintip informasi pribadi Anda.
Ekstensi peramban seperti aplikasi mini yang dapat ditambahkan ke peramban web Anda. Ekstensi dapat melakukan berbagai hal yang bermanfaat, mulai dari mengoreksi tata bahasa hingga menerjemahkan halaman web dengan cepat. Bagi banyak dari kita, ekstensi telah menjadi bagian penting dalam kehidupan daring kita.
Masalahnya adalah: untuk menjalankan tugasnya, ekstensi ini sering kali memerlukan akses ke halaman web yang Anda kunjungi. Di sinilah hal-hal bisa menjadi rumit.
Sebuah tim peneliti di Georgia Tech, yang dipimpin oleh Frank Li dan Qinge Xie, memutuskan untuk meneliti lebih dekat apa sebenarnya fungsi ekstensi ini. Mereka mengembangkan sistem pintar bernama Arcanum untuk memantau bagaimana ekstensi berinteraksi dengan halaman web. Mereka menemukan bahwa dari lebih dari 100.000 ekstensi di Toko Web Chrome, lebih dari 3.000 secara otomatis mengumpulkan data khusus pengguna. Yang lebih memprihatinkan, lebih dari 200 ekstensi secara langsung mengambil informasi sensitif dari halaman web dan mengunggahnya ke server. Tim tersebut mempresentasikan temuan mereka di Simposium Keamanan USENIX ke-33.
“Kami mengetahui dari penelitian sebelumnya bahwa ekstensi peramban mengumpulkan aktivitas dan riwayat peramban pengguna, tetapi beberapa data pengguna yang paling sensitif terletak di dalam halaman web, seperti email, profil media sosial, catatan medis, informasi perbankan, dan banyak lagi. Kami ingin tahu apakah ekstensi juga mengumpulkan data pribadi dari halaman web ini,” kata Frank Li, asisten profesor di Georgia Tech, dalam rilis media.
Tim peneliti berfokus pada tujuh situs web populer yang diketahui berisi informasi sensitif: Amazon, Facebook, Gmail, Instagram, LinkedIn, Outlook, dan PayPal. Situs-situs ini merupakan tempat banyak dari kita menyimpan data pribadi, mulai dari pesan pribadi hingga informasi keuangan. Skala masalah ini signifikan. Para peneliti menemukan bahwa ekstensi pengumpulan data ini memengaruhi puluhan juta pengguna.
Inilah masalahnya: tidak ada ekstensi yang mereka periksa dengan jelas menjelaskan pengumpulan data ini dalam kebijakan privasi atau deskripsi toko mereka.
Nah, sebelum Anda terburu-buru menghapus semua ekstensi, penting untuk dicatat bahwa tidak semua pengumpulan data bersifat jahat. Beberapa ekstensi mungkin memerlukan informasi tertentu agar dapat berfungsi dengan baik.
“Sayangnya, kemampuan yang sama yang diandalkan ekstensi untuk memperkaya pengalaman menjelajah web juga dapat disalahgunakan untuk membahayakan privasi pengguna, dan berpotensi tanpa sepengetahuan atau persetujuan eksplisit pengguna. Bahkan dalam kasus di mana pengumpulan data bersifat jinak dan diperlukan untuk fungsionalitas yang sah, hal itu menimbulkan risiko privasi. Data pengguna yang sensitif dapat dikirimkan dan disimpan oleh pihak ketiga, yang selanjutnya dapat membagikan data atau mungkin membocorkan data selama pelanggaran data,” Qinge Xie menjelaskan.
Para peneliti menyarankan agar perusahaan seperti Google dapat mengembangkan kebijakan privasi yang lebih ketat untuk ekstensi atau menegakkan kebijakan yang sudah ada dengan lebih ketat. Situs web yang menangani data pengguna yang sensitif juga dapat meningkatkan langkah-langkah perlindungan mereka. Namun, bagaimana dengan kita, pengguna sehari-hari?
“Saya tidak percaya pengguna individu harus menanggung beban mengkhawatirkan privasi mereka atau melindungi data mereka, karena mereka mungkin tidak memiliki kemampuan atau pengetahuan teknis untuk mengetahui apa yang terjadi,” kata Frank Li.
Sambil menunggu perusahaan teknologi mengatasi masalah ini, ada beberapa langkah yang dapat Anda ambil untuk melindungi diri sendiri. Pasang ekstensi hanya dari sumber tepercaya dan tinjau izin yang telah Anda berikan ke ekstensi secara berkala. Jika ekstensi meminta akses lebih dari yang tampaknya diperlukan untuk fungsinya, pikirkan dua kali sebelum memasangnya. Memperbarui ekstensi juga penting, karena pembaruan sering kali menyertakan peningkatan keamanan.
Ringkasan Makalah
Metodologi
Studi ini mengembangkan sistem yang disebut Arcanum untuk melacak bagaimana ekstensi peramban web (seperti yang ada di Google Chrome) mengakses dan berpotensi menyalahgunakan data pengguna yang sensitif dari situs web. Para peneliti menggunakan teknik yang disebut pelacakan noda dinamis untuk mengikuti aliran informasi pribadi, seperti email atau kiriman media sosial, dari bagian tertentu halaman web. Mereka membuat “noda” atau penanda untuk data sensitif dan mengamati bagaimana data ini berpindah dari situs web ke ekstensi peramban.
Tim menguji Arcanum dengan ekstensi dari Toko Web Chrome dan menargetkan tujuh situs web utama, termasuk Amazon, Facebook, dan Gmail, untuk melihat bagaimana ekstensi menangani data pribadi pengguna. Dengan kata lain, tim “menandai” informasi pribadi dan mengamati apa yang dilakukan ekstensi browser terhadap informasi tersebut untuk melihat apakah informasi tersebut dibagikan atau disimpan tanpa sepengetahuan pengguna.
Hasil Utama
Para peneliti menemukan bahwa banyak ekstensi peramban mengumpulkan informasi pribadi dari situs web yang Anda kunjungi. Mereka menemukan bahwa lebih dari 3.000 ekstensi mengumpulkan data sensitif, seperti email atau aktivitas media sosial Anda, tanpa peringatan yang jelas kepada pengguna. Hal ini memengaruhi sekitar 144 juta pengguna di seluruh dunia. Ekstensi ini mengambil informasi dari situs web seperti Facebook dan PayPal dan sering kali mengirimkan data ini ke server lain atau menyimpannya.
Beberapa informasi yang dibagikan termasuk detail kartu kredit, alamat email, dan bahkan pesan dari Gmail. Hasilnya menunjukkan bahwa ekstensi peramban dapat menjadi risiko besar bagi privasi, dan banyak pengguna mungkin tidak menyadari seberapa banyak informasi pribadi mereka yang dikumpulkan.
Keterbatasan Studi
Salah satu keterbatasan studi ini adalah tidak selalu dapat diketahui apakah informasi yang dikumpulkan oleh ekstensi digunakan secara jahat atau untuk tujuan yang sah. Beberapa ekstensi mungkin memerlukan data ini agar berfungsi dengan baik, tetapi studi ini tidak selalu dapat membedakan antara kedua kasus ini.
Selain itu, sistem yang mereka gunakan, Arcanum, mungkin tidak berfungsi dengan semua pembaruan peramban di masa mendatang, yang dapat membatasi penggunaannya dalam penelitian di masa mendatang. Keterbatasan lainnya adalah para peneliti hanya menguji ekstensi pada sekumpulan situs web yang terbatas, sehingga mereka mungkin tidak menemukan semua potensi risiko privasi di seluruh web.
Diskusi & Kesimpulan
Hasil utama dari penelitian ini adalah bahwa ekstensi peramban menimbulkan risiko privasi yang signifikan. Meskipun membantu pengguna menyesuaikan pengalaman menjelajah mereka, banyak ekstensi mengumpulkan data pribadi tanpa persetujuan pengguna yang jelas. Data ini dapat disalahgunakan atau dibocorkan jika tidak ditangani dengan benar. Para peneliti menyarankan agar peramban perlu menerapkan kontrol privasi yang lebih ketat untuk ekstensi dan agar pengguna lebih berhati-hati saat memasang ekstensi.
Mereka juga menyarankan agar pengembang lebih transparan tentang data apa yang dikumpulkan ekstensi mereka dan bagaimana data tersebut digunakan. Arcanum membantu menyoroti luasnya masalah privasi ini, tetapi masih banyak yang perlu dilakukan untuk melindungi pengguna.
Pendanaan & Pengungkapan
Penelitian ini didukung oleh Georgia Institute of Technology, tempat semua penulis berafiliasi. Para peneliti mengungkapkan bahwa mereka membagikan temuan mereka dengan Google dan situs web yang terpengaruh, tetapi tidak ada konflik kepentingan atau pengaruh komersial eksternal pada penelitian ini.