Privasi di Internet Jadi Ruang Pemantauan Gara-gara Cookie

Penulis: Ahmad Zaenudin - 4 Apr 2022 08:00 WIB
Dibaca Normal 5 menit
Upaya merekam tindak tanduk warga maya dinakhodai oleh teknologi jadul warisan Netscape Navigator yang hingga hari ini gagal dieliminasi: Cookie.
tirto.id - "Ketika SMS dikirim/diterima pengguna Android, aplikasi Google Messages secara otomatis mengirim pesan tersebut ke server Google untuk disimpan," tulis Douglas J. Leith, Professor Ilmu Komputer di Trinity College Dublin sekaligus pendiri Hamilton Institute, dalam studinya berjudul “What Data Do the Google Dialer and Messages Apps on Android Send to Google?” (2022).

Lebih lanjut, Leith menyatakan bahwa "ketika panggilan telepon dilakukan/diterima, aplikasi Google Dialer seketika melakukan proses penyimpanan catatan telepon (call log) di server Google."

Ia melakukan riset menggunakan ponsel Google Pixel 2 dengan Android 11 yang telah di-root (rooted) untuk memperoleh akses paling dasar (privileged control) sistem operasi. Data pesan/catatan telepon dikirim ke server Google dengan memanfaatkan dua kanal, yakni Google Play Service Clearcut dan Google/Firebase Analytics dengan terlebih dahulu "diburamkan", dilindungi melalui SHA256 (kriptografik hash) untuk kemudian diubah ke dalam bentuk binari (encoded binary).

Merujuk aturan yang dipublikasikan Google, Leith menyebut bahwa tindakan ini dilakukan Google untuk "mengamankan pengguna dari penipuan atau serangan siber", serta "dilakukan untuk meningkatkan layanan Google Play Service dan menyajikan kemudahan sinkronisasi Kontak serta Bookmark."

Sayangnya, karena data dari pesan SMS/catatan telepon milik pengguna Android disimpan dengan turut melampirkan "Android ID"--kode unik yang berbeda untuk tiap ponsel berbasis Android--Leith menduga bahwa tindakan ini semata-mata dilakukan untuk mengidentifikasi pengguna.

Dalam penelitiannya terhadap dua aplikasi dasar yang digunakan lebih dari 1 miliar pengguna untuk berkirim pesan SMS dan telepon, Leith secara tersirat menyebut kelakukan ini merupakan upaya "membangun jembatan" antara akun Google (Gmail) yang harus dibuat pengguna Android untuk mengaktivasi ponsel, Android ID, dan Google Play. Jika pengguna juga menambahkan data kartu kredit, misalnya, seketika Google akan tahu persis identitas pengguna.

Sial, sebut Leith, "tidak ada opsi yang diberikan Google bagi pengguna Android untuk keluar dari skema ini."

Ketika pengguna meminta seluruh data miliknya melalui layanan takeout.google.com pun, "Google tidak memberikan data dari SMS/catatan telepon yang disimpannya."

Menolak mengaitkan penelitiannya dengan aturan privasi Uni Eropa yang termaktub dalam General Data Protection Regulation (GDPR), Leith menyebut kelakukan Google ini berpotensi menyalahi aturan hukum.

Di tengah gencarnya upaya masyarakat melindungi privasi/data digital setelah tragedi Cambridge Analytica, tindakan Google ketahuan menyimpan catatan SMS/telepon adalah kemunduran besar. Terlebih, saingan terbesar Google, Apple, pada Januari 2021 lalu menyatakan bahwa privasi adalah hak dasar manusia.

Sebagai perusahaan yang memperoleh pendapatan senilai $209,49 miliar dari iklan pada 2021 lalu, Google tampaknya tak sehaluan dengan Apple soal privasi. Meskipun Google akhirnya turut merilis fitur serupa App Tracking Transparency, namun upaya-upaya merekam tindak tanduk pengguna terus dilakukan.

Meskipun terus diusahakan untuk dihentikan oleh negara/institusi privasi/masyarakat umum, tetapi hal ini terus terjadi sejak world wide web (WWW) lahir hingga zaman aplikasi. Upaya merekam tindak tanduk pengguna ini uniknya dinahkodai oleh teknologi jadul warisan Netscape Navigator yang hingga hari ini gagal dieliminasi: Cookie.


Bukan Kudapan, Cookie adalah Senjata Mengidentifikasi Pengguna Dunia Maya

"Privasi berarti ketenangan pikiran, keamanan, dan kendali atas data milik Anda," kata Craig Federighi, Senior Vice President of Software Engineering Apple, menyambut Data Privacy Day akhir Januari 2021 lalu. Bagi Apple, seturut dengan kampanye bertajuk "what happens on your iPhone, stays on your iPhone," privasi memang masalah serius yang sepatutnya dilindungi.

Sayangnya, di dunia digital, privasi hanya omong kosong. Melalui Android Advertising ID ataupun iOS Identifier for Advertising (IDFA), perusahaan-perusahaan teknologi, tak terkecuali Apple, mengacak-acak privasi penggunanya melalui tingkah laku mereka mengumpulkan data pengguna.

Data pengguna yang dikumpulkan oleh suatu aplikasi--dan digabung dengan data pengguna dari aplikasi lain atas kerjasama yang dibangun antar aplikasi--dimanfaatkan untuk membangun "fingerprinting" yang bermanfaat untuk mengidentifikasi tiap pengguna.

Kelakuan perusahaan-perusahaan teknologi ini bertujuan untuk menghasilkan cuan dengan cara menjualnya dalam bentuk iklan personal (personalized ads atau interest-based advertising). Hal ini, merujuk data Apple, menghasilkan cuan senilai $227 miliar per tahun.

Sejak akhir April lalu, perusahaan yang didirikan Steve Wozniak dan Steve Jobs pada 1976 ini merilis iOS dan iPadOS terbaru (minor update) bagi iPhone dan iPad, yakni iOS (iPadOS) 14.5. Versi paling baru iOS yang menghadirkan fitur "App Tracking Transparency".

Fitur ini mewajibkan para pengembang aplikasi untuk menjunjung tinggi privasi dengan memberikan pilihan bagi penggunanya ihwal privasi mereka. Kewajiban yang menurut Apple akan mampu mengembalikan fitrah data pengguna kepada pengguna itu sendiri, bukan menjadi milik perusahaan seperti Facebook atau Google.

Keputusan Apple merilis App Tracking Transparency ini membuat perusahaan-perusahaan teknologi yang mengandalkan hidupnya dari iklan marah-marah. Mark Zuckerberg—pemimpin Facebook yang menghasilkan pendapatan senilai 84,2 miliar melalui iklan personal--menjadi penentang paling keras kebijakan Apple ini. Menurut Zuckerberg, fitur baru yang termuat dalam iOS 14.5 ini "akan merugikan bisnis kecil yang mengandalkan jaringan iklan Facebook untuk menjangkau pelanggan."

Zuckerberg kemudian menggaungkan kegelisahannya dengan memasang iklan di The New York Times. Ia menyebut App Tracking Transparency hanya akal-akalan Apple untuk mendorong perusahaan-perusahaan teknologi menerapkan skema bisnis berlangganan ala Netflix atau Spotify.

Jika bisnis berbasis iklan personal tergantikan oleh skema berlangganan, sebut iklan Facebook, Apple akan mendapatkan untung bertubi-tubi karena Tim Cook dan kawan-kawan dapat menarik pajak sebesar 30 persen dari aplikasi-aplikasi berbasis iOS. Dan jika bisnis berbasis iklan personal mati gara-gara App Tracking Transparency, Zuckerberg sesumbar bahwa aplikasi miliknya (Facebook, Instagram, dan WhatsApp) tidak akan bisa digunakan secara cuma-cuma oleh masyarakat karena menipisnya penghasilan dari iklan.

"Jaga agar Facebook/Instagram selalu dapat digunakan secara gratis [dengan menekan tombol 'Allow' dan bukan 'Ask App Not to Track']," Facebook bersiasat.

Namun, karena Facebook pernah berkhianat pada penggunanya melalui skandal Cambridge Analytica, dan masyarakat maya saat ini kian paham dengan privasi data--merujuk laporan yang dipublikasikan firma analisis aplikasi bernama Flurry--96 persen pengguna iPhone/iPad di Amerika Serikat memilih menekan tombol "Ask App Not to Track" pada aplikasi-aplikasi yang mereka gunakan, tak terkecuali Facebook atau Instagram.


Masalahnya, meskipun yang dilakukan Apple dengan merilis fitur App Tracking Transparency sangat baik, fitur ini hanya bekerja untuk aplikasi-aplikasi di iPhone/iPad, bukan dunia maya secara keseluruhan. Terlebih, dalam kasus Facebook ataupun Google, data pengguna masih dapat ditambang, selain via ponsel berbasis Android, juga melalui website dengan memanfaatkan cookie.

Diciptakan oleh programmer Netscape bernama Lou Montulli pada Juni 1994 silam, cookie atau merujuk paten nomor #5774670, "persistent client state object", merupakan secuil baris kode yang tersemat dalam website dan aktif secara default pada browser. Secuil, memanfaatkan bahasa PHP "setcookie (name, value);" atau "document.cookie = 'name=value'; " jika menggunakan bahasa Javascript--abaikan tanda " " di contoh ini agar kode yang hendak Anda tulis tidak menampilkan pesan error.

Penciptaan cookie, merujuk tulisan Montulli dalam blog pribadinya, terjadi karena kala itu website-website bagai manusia yang tak bisa mengingat. Artinya, setiap kali seseorang mengunjungi website dan sebanyak apapun diulangi, pihak website mengganggapnya sebagai kunjungan pertama. Karena itu mustahil bagi website menghadirkan fitur seperti keranjang belanja, log/sign in, ataupun fitur-fitur interaktif lainnya yang membutuhkan kemampuan identifikasi pengunjung.

Maka cookie diperkenalkan Montulli sebagai teknologi yang mampu memberikan kekuatan memori bagi website. Ketika seorang pengguna internet mengunjungi website, melalui secuil kode itu, ia seolah melakukan absensi pada website. Dan absensi ini disimpan dalam browser untuk dikirimkan pada server website secara simultan.

Semenjak kemunculannya, cookie memang sangat berguna bagi dunia website. Vincent Toubiana dalam studinya berjudul "Show Me Your Cookie and I Will Tell You Who You Are" (jurnal ArXiv, 2011), menyebut bahwa cookie merupakan teknologi paling dasar yang membuat Google dapat memberikan hasil pencarian personal dan single sign on (SSO atau sekali login untuk mengakses banyak layanan seperti Gmail, Youtube, Drive, dan sebagainya) untuk penggunanya.


Kemampuan ini Google berikan dengan menyematkan paling tidak tiga unit cookie. Pertama, PREF: cookie yang bertugas untuk mengingat informasi komputer/ponsel pengguna yang dipakai mengakses Google, seperti alamat IP, ukuran layar, hingga jenis browser yang digunakan. Kedua, SSID: bertugas untuk mengingat data pengguna yang telah dikirimkan ke pihak Google, misalnya kredensial login hingga informasi pribadi dalam Gmail dan Kontak. Dan ketiga, SID: cookie yang diberikan pihak Google usai mengidentifikasi pengguna untuk menghasilkan pencarian personal.

Melalui ketiga unit cookie ini, Google merekam tindak tanduk penggunanya untuk membentuk "web search history", kemampuan memberikan warna tautan berbeda di laman pencarian Google. Mana yang sempat diklik dan mana yang belum. Semakin sering suatu tautan diklik atau diabaikan pengguna, Google mengingatnya untuk menyempurnakan algoritma paling kesohor di jagat maya, PageRank.

Dalam kasus website Tirto versi desktop, misalnya, cookie merupakan salah satu teknologi di balik fitur Light Mode/Dark Mode. Tanpa perlu log in, tatkala Anda mengklik Dark Mode, Tirto akan mengingat preferensi ini untuk Anda selamanya untuk menampilkan halaman versi gelap.

Infografik Android
Infografik Android. tirto.id/Sabit


Seiring waktu, cookie tak hanya berguna untuk memberikan fitur-fitur personal, tetapi juga dimanfaatkan untuk membuat profiling untuk kepentingan iklan. Kevin Mellet dalam studinya berjudul "Cookie Monster: Anatomy of a Digital Market Infrastructure" (In Consumption, Market, and Culture, 2019), menyatakan bahwa telah terjadi praktek "cookification" secara masif di jagat maya saat ini.

Cookie dimanfaatkan untuk mengenali bahwa Anda adalah Anda, lengkap dengan merekam segala tindak tanduk Anda di dunia maya, di website manapun Anda berada. Cookification terjadi karena mayoritas website yang ada saat ini menautkan cookie dari pihak ketiga, khususnya perusahaan penyedia layanan iklan digital.

Sejak 2010, dimulai oleh startup periklanan bernama Criterio, dilanjutkan oleh Exelate, Bluekai, Addthis, Adsense, termasuk Google Analytic dan Facebook Pixel, website-website mulai memasang cookie dari pihak ketiga untuk mengubah bisnis iklan berbasis website individual menjadi jaringan iklan personal antar-website.

Tercatat sejak 2008, 70 persen website di dunia meng-install cookie pihak ketiga dalam source-code-nya. Dan dari cookie yang dipasang di berbagai website itu, para perusahaan periklanan melakukan mekanisme "cookie matching", lagi-lagi untuk kepentingan bahwa Anda adalah Anda. Praktik yang dilakukan karena menampilkan iklan personal di suatu website, sangat mungkin berbuah klik dan beli alias tepat sasaran.

Panaggiotis Papadopoulos dalam studinya berjudul "Exclusive: How the (Synced) Cookie Monster Breached My Encryption VPN Session" (2018), menyebut bahwa website-website yang memasang cookie dari pihak ketiga memiliki pendapatan 2,7 kali lebih tinggi dibandingkan yang tidak.

Ini menjadi alasan mengapa ketika Anda mengetik "kaos murah" di Google atau membaca artikel tentang "oli mesin" di Tirto, misalnya, lokapasar seperti Tokopedia, Bukalapak, atau Shopee kemudian menampilkan produk "Gildan" atau "Castrol" seketika.

Dengan cara kerja dan alasan bisnis yang sama, cookie dari pihak ketiga yang ada dalam suatu website bertransformasi menjadi Android Advertising ID dan iOS Identifier for Advertising (IDFA) di dunia ponsel. Perlahan, dunia internet yang awalnya privat berubah menjadi ruang pemantaun yang luar biasa besarnya gara-gara cookie.

Baca juga artikel terkait COOKIE atau tulisan menarik lainnya Ahmad Zaenudin
(tirto.id - Teknologi)

Penulis: Ahmad Zaenudin
Editor: Irfan Teguh Pribadi

DarkLight