tirto.id - “Ketika Mxolosi melihat smartphone Tecno W2 dijual di sebuah toko di Johannesburg, Afrika Selatan, dia tertarik dengan tampilan dan fungsinya,” tulis Craig Silverman dalam laporannya untuk BuzzFeed News (24/8/2020). “Namun,” tulis Silverman kemudian, “yang jauh menggodanya bukanlah tampilan ponsel itu, melainkan harganya yang sekitar 30 dolar AS. Jauh lebih murah dibandingkan ponsel-ponsel keluaran Samsung, Nokia, atau Huawei--merek-merek paling top di Afrika.”
Tecno W2 adalah ponsel bikinan Transsion, perusahaan teknologi asal Cina yang membuat ponsel-ponsel murah untuk pasar negara-negara berkembang. Selain dijual di Afrika Selatan, Tecno W2 tersedia di Ethiopia, Kamerun, Mesir, Ghana, Myanmar, dan tentu saja, Indonesia. Di Indonesia, produk populer dari Transsion adalah Infinix, yang dijual melalui anak usaha mereka bernama Infinix Mobile. Di kawasan Afrika, Transsion terbilang unggul. Pada 2014 silam, perusahaan ini bahkan sempat jadi pemimpin pasar.
Karena kesengsem dengan harganya, Mxolosi akhirnya membeli Tecno W2. Keputusan yang nampaknya diambil karena keterpaksaan, keadaan. Ia sendiri mengaku fans Samsung, tetapi karena kini berstatus pengangguran, ia merasa Tecno W2 berharga murah itu adalah pilihan rasional.
Sialnya, keputusan Mxolosi berbuah petaka. Masih merujuk Silverman, Tecno W2 miliknya terus-terusan menampilkan iklan pop-up, mengganggunya ketika ia sedang mengirim pesan atau menelepon. Diselidiki lebih jauh, paket internet miliknya hilang tanpa jejak. Lebih celaka lagi, sebuah aplikasi yang terinstal secara langsung (default) di Tecno W2 miliknya mendaftarkan Mxolosi ke layanan premium tanpa persetujuan.
Mxolosi, singkat cerita, dirampok secara digital.
Investigasi yang dilakukan Silverman bersama Secure-D, firma keamanan digital, mengungkap bahwa ponsel murah yang dibeli Mxolosi mengandung xHelper dan Triada, malware yang secara sembunyi-sembunyi mengunduh dan memaksa pemilik ponsel berlangganan konten premium. Yang menggelikan, malware itu tersemat dalam pre-installed apps, atau akrab disapa bloatware, yang secara sengaja dipasang pihak pembuat ponsel. Dalam kasus Mxolosi, yang memasang aplikasi-aplikasi itu adalah Transsion.
Secure-D mengklaim sukses memblokir 884.000 transaksi digital mencurigakan yang dilakukan oleh malware yang sengaja dipasang Transsion sejak Maret hingga Desember 2019 lalu. Ya, malware ini tak hanya merampok konsumen di Afrika Selatan, tetapi juga para pengguna ponsel-ponsel buatan Transsion di Indonesia. Bukan hanya Transsion, malware perampok juga pernah ditemukan Secure-D tersemat dari pabriknya di ponsel-ponsel buatan TCL, perusahaan teknologi asal Cina lainnya.
Pihak Tecno W2 sendiri menyalahkan kemunculan malware di ponsel ke “pihak ketiga yang turut ambil bagian dalam proses pengadaan”. Transsion, mengklaim telah melakukan “pengecekan keamanan yang ketat dengan sistem milik sendiri dan Google Play Protect, GMS BTS, dan VirusTotal.” Klaim yang berbanding terbalik dengan ketidakberuntungan yang menimpa Mxolosi.
Bagi masyarakat di wilayah negara-negara berkembang, ponsel adalah barang mewah. Ponsel-ponsel murah seperti yang ditawarkan Transsion akhirnya dipilih oleh masyarakat untuk juga dapat merasakan manfaat dunia maya. Bahkan, Guy Krief, salah satu petinggi Secure-D, menyebut bahwa umumnya ponsel-ponsel murah jadi ponsel pertama bagi orang-orang itu. Sayangnya, melalui bloatware yang tersemat pada ponsel pertama mereka, perangkat yang harusnya jadi alat mempermudah hidup justru merusak. Ponsel murah, via bloatware yang menguras uang digital--pulsa atau paket data--jadi terasa sangat mahal.
Sialnya, bloatware bukan hanya kisah Tecno W2 atau ponsel-ponsel Transsion, atau ponsel-ponsel Cina, tetapi juga kisah yang tersemat di hampir setiap ponsel di hampir setiap perusahaan, entah ponsel murah atau mahal.
Bloatware: Ketika Perusahaan Teknologi Menawarkan Kotoran dan Konsumen Dipaksa Memakannya
Bloatware merupakan aplikasi yang terpasang secara otomatis pada suatu perangkat (alias pre-installed). Tanpa mengetahui cara membuka akses root (pada Android) atau melakukan jailbreak (pada iPhone) bloatware mustahil dihapus, dimusnahkan. Terkadang, aplikasi-aplikasi pre-installed memang dibutuhkan pengguna, aplikasi Gmail, misalnya, yang dimandatkan Google untuk langsung dipasang bagi siapapun perusahaan yang menggunakan Android sebagai sistem operasi ponsel ciptaan mereka.
Masalahnya, bloatware lebih sering tidak dibutuhkan. Sialnya, perusahaan memaksakan aplikasi-aplikasi yang benar-benar sampah. Aplikasi vivo.com, misalnya, yang menguras sekitar 16 megabyte kapasitas penyimpanan dipasang semena-mena oleh Vivo. Samsung memasang Galaxy Store pada ponsel ciptaan mereka dan di saat bersamaan aplikasi Google Play. Dari 38 pre-installed apps yang tersemat di iPhone berapa, sih, yang benar-benar dibutuhkan konsumen?
Lebih mengherankan, bloatware bukan hanya aplikasi ciptaan si pembuat ponsel dan memaksa konsumennya untuk menggunakan, tetapi juga menyematkan aplikasi buatan pihak ketiga.
Pertanyaan dan keheranan itu jadi urusan Anda, konsumen, bukan perusahaan-perusahaan yang membuat ponsel tersebut.
Menurut Julien Gamba dalam “An Analysis of Pre-installed Android Software” yang dipaparkan dalam IEEE Symposium on Security and Privacy 2020, meskipun bloatware juga ada pada iPhone, bloatware yang mengkhawatirkan jauh lebih banyak terpasang di Android, lagi-lagi, dalam ponsel murah atau mahal. Alasan utamanya terletak pada inti ideologi Android sendiri: open source. Walhasil, perusahaan teknologi yang menggunakan Android leluasa memasang bloatware tanpa izin apa dari Google.
Secara umum, tutur Gamba, bloatware ditujukan untuk menambah nilai (baca: pendapatan) bagi perusahaan pembuat ponsel. The Store, bloatware yang terpasang pada ponsel-ponsel OPPO, misalnya, merupakan cara paksa perusahaan asal Guangdong, Cina, ini memperoleh keuntungan tambahan dengan menawarkan tema/tampilan khusus bagi ponsel. Lalu, pada bloatware bikinan pihak ketiga, ada aliran dana dari pihak ketiga itu ke perusahaan pembuat ponsel. Potensi penghasilan yang diciptakan bloatware ini pun dapat digunakan perusahaan pencipta ponsel untuk menekan harga jual produk mereka.
Keith Nowak, juru bicara HTC, membenarkan praktek ini. Bloatware, katanya, “secara umum dipasang untuk memenuhi kebutuhan bisnis operator dan memenuhi target pendapatan.”
Bagi perusahaan pencipta ponsel, bloatware menguntungkan. Sayangnya, merujuk riset yang dilakukan Gamba pada 1.742 ponsel milik 2.748 narasumbernya yang dibuat oleh 214 perusahaan, mayoritas bloatware merugikan konsumen. Tidak ada kontrol keamanan ketat dari perusahaan pencipta ponsel atas bloatware yang terpasang. Akibatnya, malware mudah muncul, entah disengaja atau tidak.
Di ponsel-ponsel milik narasumber yang diteliti, ditemukan Loki, Slocker, GMobi, Xynyin, SnowFox, Rootnik, Triada, dan Ztorg sebagai nama-nama malware yang bekerja untuk mengintai, menyandera data, menampilkan iklan, memaksa mengambil alih m-banking, hingga mengirim SMS diam-diam KEpada para pengguna ponsel. Lebih jauh, Gamba menyebut bloatware yang dipasang pihak OnePlus, misalnya, diam-diam mengambil Personally Identifiable Information (PII) konsumen yang bahkan dapat digunakan untuk mengakses direktori root.
Malware yang bersembunyi dalam bloatware juga ditemukan pada ponsel-ponsel buatan Asus, Wiko, hingga Amazon.
Dari ribuan bloatware yang terpasang di ribuan narasumbernya, Gamba hanya menemukan 9 persen dari total bloatware tersebut yang memiliki versi APK di Google Play. Akibatnya, sukar bagi peneliti keamanan digital independen untuk melakukan audit.
Salah satu alasan penting lain mengapa bloatware--yang mengandung malware yang disusupkan secara sengaja atau tidak--dapat mengambil alih ponsel konsumen untuk melakukan aksi jahat adalah adanya ketidaktahuan konsumen sendiri atas apa yang bisa dilakukan bloatware. Umumnya, konsumen mudah memberikan berbagai macam hak akses (akses ke media penyimpanan, foto, alat rekam, kamera, akses internet tak terbatas, dll), tanpa mengetahui konsekuensi buruk yang mungkin ditimbulkan.
Hazim Almuhimedi, peneliti pada Carnegie Mellon University, dalam studi berjudul “Your Location has been Shared 5.398 Times: A Field Study on Mobile App Privacy Nudging” (2014) menyebut bahwa jika konsumen benar-benar diberitahu apa yang dapat dilakukan bloatware atas hak akses yang diberikan, mereka sangat mungkin menolak memberikan hak akses, bahkan berusaha menghapus bloatware yang terpasang. Masalahnya, ketidaktahuan ini melekat pada para pengguna ponsel dan bloatware, tentu saja, tidak terang-terangan menginformasikan untuk apa hak-hak akses yang diminta dari konsumennya digunakan.
Dengan berbagai macam variasinya, kisah Mxolosi adalah cerita setiap orang yang menggunakan ponsel pintar hari ini.
Editor: Windu Jusuf