Aplikasi e-commerce asal China, Temu, baru-baru ini menjadi topik pembicaraan di Indonesia.
Sebab, aplikasi marketplace mirip Tokopedia, Shopee, dan lainnya ini dilarang masuk Tanah Air, lantaran potensi membahayakan pasar domestik, termasuk usaha mikro, kecil, dan menengah (UMKM).
Di luar aspek persaingan bisnis, rupanya Temu juga dinilai berbahaya karena faktor keamanan dan privasi. Ancaman keamanan dan privasi ini dibahas oleh perusahaan riset publik bernama Grizzly Research.
Menurut riset perusahaan yang bermarkas di Amerika Serikat ini, aplikasi Temu yang bisa diunduh di Android dan iOS, memiliki serangkaian karakteristik dari bentuk malware dan spyware yang paling agresif.
Adapun malicious software (malware) adalah software berbahaya yang dirancang khusus untuk mengganggu, merusak, atau mencuri informasi dari perangkat pengguna.
Di sisi lain, spyware adalah jenis malware yang diinstal dalam perangkat tanpa sepengetahuan pengguna, yang mampu mengumpulkan informasi pribadi dan sensitif seperti kata sandi (password) serta nomor kartu kredit.
Karakteristik yang dimaksud mencakup kehadiran fungsi tersembunyi, yang memungkinkan pencurian data secara besar-besaran tanpa sepengetahuan pengguna.
Hal ini berpotensi memberikan pelaku kejahatan akses penuh ke hampir semua data di perangkat mobile pengguna.
Dalam kode sumber (source code) aplikasi Temu yang dianalisis berbagai pakar keamanan data bersama Grizzly Research, ditemukan sebuah fungsi package compile menggunakan runtime.exec. Hal ini memungkinkan program baru diciptakan dalam aplikasi tersebut.
Program ini tidak terlihat oleh pemindaian keamanan (security scan) sebelum atau setelah instalasi aplikasi. Program tersebut juga tidak terlihat dalam pengujian penetrasi yang lebih dalam.
Dengan begitu, Temu bisa saja memenuhi berbagai syarat dan ujian untuk masuk toko aplikasi seperti Google Play Store, padahal sebenarnya di dalamnya memiliki pintu terbuka (backdoor) yang bisa disalahgunakan untuk mencuri data pengguna.
Contohnya, Temu dapat saja mengirimkan kode sumber ke aplikasinya, yang dienkripsi dan disamarkan sebagai data yang tidak mencurigakan. Kode ini kemudian dikompilasikan menjadi file yang dapat dieksekusi di smartphone pengguna.
File ini kemudian bisa menjadi ganas pada waktu mendatang, yang dapat dikendalikan oleh server asing. File ini juga disebut dapat beradaptasi alias reaktif terhadap pembaruan aplikasi itu.
Karakteristik berikutnya, Temu menginginkan semua informasi tentang semua file di perangkat pengguna dengan merujuk ke izin “EXTERNAL_STORAGE”, yang sebenarnya merupakan hak administrator (superuser).
Dengan kata lain, tergantung pada versi Android tertentu, aplikasi Temu dapat digunakan untuk membaca, memproses, serta mengubah semua data pengguna dan sistem, termasuk log obrolan, gambar, dan konten pengguna di aplikasi lain.