Image credit: Freepix
Celah Keamanan di Aplikasi Kesehatan Mental – Dalam beberapa tahun terakhir, aplikasi kesehatan mental telah menjadi penyelamat bagi jutaan orang di seluruh dunia.
Mulai dari pelacak suasana hati hingga pendamping berbasis kecerdasan buatan (AI), teknologi ini menawarkan dukungan instan bagi mereka yang berjuang melawan depresi, kecemasan, hingga gangguan bipolar.
Namun, sebuah investigasi terbaru mengungkap kenyataan pahit di balik antarmuka yang menenangkan, tersimpan ribuan celah keamanan yang mengancam data medis paling sensitif milik pengguna.
Penelitian terbaru terhadap sepuluh aplikasi kesehatan mental populer di Google Play Store menemukan lebih dari 1.500 kerentanan keamanan.
Mengingat aplikasi ini menyimpan catatan terapi, log suasana hati, hingga indikator perilaku menyakiti diri sendiri, temuan ini menjadi alarm keras bagi industri kesehatan digital.
Data kesehatan mental memiliki nilai yang sangat tinggi di pasar gelap (dark web), di mana satu catatan terapi dapat dihargai hingga $1.000 jauh lebih mahal dibandingkan nomor kartu kredit.
|
Baca juga: SnakeStealer Pencuri Data yang Merajalela |
Dari AI Chatbot hingga Pelacak Gejala
Para peneliti melakukan pemindaian mendalam terhadap berbagai jenis aplikasi, termasuk chatbot terapi AI dan platform dukungan komunitas.
Hasilnya sangat mengejutkan; total ditemukan 1.575 masalah keamanan, dengan rincian 54 kerentanan tingkat tinggi, 538 tingkat sedang, dan 983 tingkat rendah.
Berikut adalah ringkasan temuan pada beberapa jenis aplikasi yang dianalisis:
|
Jenis Aplikasi |
Jumlah Unduhan |
Kerentanan Tinggi |
Total Celah |
|
Pelacak Suasana Hati & Kebiasaan Chatbot Terapi AI Platform Kesehatan Emosional Pelacak Kesehatan & Gejala Komunitas Terapi & Dukungan Online |
10 Juta+ 1 Juta+ 1 Juta+ 500 Ribu+ 1 Juta+ |
1 255 13 7 7 |
337 255 215 211 98 |
Meskipun tidak ditemukan masalah yang dikategorikan sebagai “kritis” secara langsung, akumulasi dari kerentanan tingkat sedang dan tinggi memberikan ruang bagi penyerang untuk:
- Mencegat kredensial masuk.
- Memalsukan notifikasi.
- Melakukan injeksi HTML.
- Hingga melacak lokasi fisik pengguna.
Bagaimana Data Bisa Bocor
Para peneliti menyoroti beberapa pola teknis yang sangat mengkhawatirkan dalam pengembangan aplikasi ini. Salah satu masalah utama adalah kegagalan aplikasi dalam melakukan validasi terhadap data yang masuk.
Sebuah aplikasi terapi dengan jutaan unduhan ditemukan menggunakan fungsi Intent.parseUri() tanpa validasi yang memadai.
Hal ini memungkinkan penyerang memaksa aplikasi untuk membuka aktivitas internal yang seharusnya tertutup bagi publik.
Karena aktivitas internal ini sering kali menangani token autentikasi dan data sesi, eksploitasi pada titik ini dapat memberikan akses penuh kepada peretas untuk membaca seluruh catatan terapi pengguna.
Selain itu, ditemukan pula masalah pada penyimpanan data lokal. Beberapa aplikasi menyimpan informasi sedemikian rupa sehingga aplikasi lain di perangkat yang sama dapat membaca data tersebut.
Hal ini sangat berbahaya karena catatan sesi Terapi Perilaku Kognitif (CBT) yang sangat pribadi bisa terpapar ke aplikasi pihak ketiga yang tidak tepercaya.
Temuan teknis lainnya meliputi:
- Data Konfigurasi Teks Polos: Ditemukannya URL basis data dan titik akhir API yang ditulis secara terbuka dalam kode aplikasi.
- Kriptografi yang Lemah: Penggunaan fungsi acak yang tidak aman secara kriptografis untuk menghasilkan kunci enkripsi atau token sesi.
- Kurangnya Deteksi Root: Sebagian besar aplikasi tidak memiliki sistem untuk mendeteksi apakah perangkat telah dimodifikasi (rooted). Pada perangkat yang dimodifikasi, perlindungan standar Android bisa dilewati, memberikan akses total bagi aplikasi berbahaya ke seluruh data kesehatan yang disimpan secara lokal.
|
Baca juga: Serangan DreamJob Incar Pabrik Drone |
Korelasi dengan Keamanan Siber di Indonesia
Temuan ini membawa pesan peringatan yang sangat kuat bagi pengguna di Indonesia:
1. Lonjakan Penggunaan Aplikasi Kesehatan Mental Lokal
Seiring meningkatnya kesadaran akan kesehatan mental di Indonesia, banyak pengguna mulai beralih ke aplikasi lokal maupun global.
Jika standar keamanan pengembang tidak diaudit secara ketat, ribuan data warga Indonesia berisiko bocor ke tangan aktor jahat.
Di Indonesia, data kesehatan dilindungi di bawah UU Perlindungan Data Pribadi (UU PDP), sehingga kebocoran semacam ini dapat berujung pada konsekuensi hukum bagi pengembang.
2. Risiko Stigma dan Pemerasan
Di Indonesia, isu kesehatan mental masih memiliki stigma tertentu. Jika catatan terapi seorang pengguna bocor, risiko yang dihadapi bukan hanya kerugian finansial, melainkan juga risiko sosial seperti perundungan atau bahkan pemerasan (extortion).
Penjahat siber dapat mengancam akan menyebarkan rincian sesi terapi yang sangat pribadi kepada rekan kerja atau keluarga korban.
3. Minimnya Pembaruan Keamanan (Digital Hygiene)
Peneliti mengamati bahwa dari sepuluh aplikasi yang dipindai, hanya empat yang menerima pembaruan dalam bulan ini.
Sebagian besar terakhir kali diperbarui pada tahun 2025 atau bahkan 2024. Di Indonesia, di mana banyak pengguna jarang memperbarui aplikasi mereka secara rutin, celah keamanan lama ini akan tetap terbuka selama bertahun-tahun, menunggu untuk dieksploitasi.
Melindungi Diri di Ruang Digital
Keamanan data kesehatan mental adalah tanggung jawab bersama antara pengembang dan pengguna. Mengingat kerentanan ini masih ada di banyak aplikasi, pengguna disarankan untuk mengambil langkah-langkah pencegahan:
- Tinjau Kebijakan Privasi: Pastikan aplikasi menyatakan secara eksplisit bahwa data dienkripsi secara end-to-end. Namun, jangan bergantung hanya pada klaim ini; selalu bersikap selektif dalam membagikan informasi yang sangat sensitif di dalam chat.
- Hindari Perangkat yang Dimodifikasi: Jangan menggunakan aplikasi kesehatan mental pada perangkat yang telah di-root atau di-jailbreak, karena hal ini menghilangkan lapisan perlindungan dasar dari sistem operasi.
- Pembaruan Rutin: Selalu pastikan aplikasi Anda berada pada versi terbaru. Jika sebuah aplikasi sudah tidak menerima pembaruan selama lebih dari enam bulan, pertimbangkan untuk beralih ke layanan lain yang lebih aktif menjaga keamanannya.
Aplikasi kesehatan mental seharusnya menjadi tempat yang aman bagi jiwa, bukan sumber baru bagi kecemasan akibat kebocoran data. Temuan ribuan celah keamanan ini membuktikan bahwa inovasi sering kali mendahului keamanan.
Para pengembang harus menyadari bahwa mereka tidak hanya mengelola kode, tetapi juga mengelola kepercayaan dan kesejahteraan manusia.
Tanpa komitmen keamanan yang serius, teknologi yang seharusnya membantu menyembuhkan justru bisa menjadi senjata yang melukai penggunanya.
Sumber berita:
