Aplikasi Shein China Mentransmisikan Konten Papan Klip Pengguna Android ke Server Jarak Jauh

Versi lama dari aplikasi seluler pengecer mode cepat online China Shein ditemukan mengakses konten clipboard di perangkat Android sebelum terdeteksi dan dilaporkan oleh Microsoft ke Google .

Dalam sebuah laporan yang dirilis Senin, Microsoft mengatakan menemukan bahwa versi lama aplikasi Android Shein secara berkala membaca konten papan klip perangkat Android dan mengirimkan konten ini ke server jarak jauh yang tidak diketahui jika ada pola tertentu.

Namun, Microsoft mengatakan bahwa tidak jelas apakah ada niat jahat di balik perilaku tersebut.

"Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target serangan siber yang menarik," tulis Microsoft. "Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna."

Tim Intelijen Ancaman Microsoft menemukan perilaku tersebut dan melaporkan temuan tersebut ke Tim Keamanan Android Google, yang kemudian memastikan bahwa perilaku tersebut telah dihapus dari aplikasi.

Shein, yang aplikasi Android-nya saat ini tersedia di Google Play Store dengan lebih dari 100 juta unduhan, dilaporkan menghapus perilaku tersebut dari aplikasi tersebut pada Mei tahun lalu.

Menurut Microsoft, meskipun perilaku papan klip Shein tidak memiliki niat jahat, kasus tersebut masih menyoroti risiko yang bahkan dapat ditimbulkan oleh aplikasi yang sah.

"Bahkan jika perilaku clipboard Shein tidak melibatkan niat jahat, contoh kasus ini menyoroti risiko yang dapat ditimbulkan oleh aplikasi yang diinstal, termasuk yang sangat populer dan diperoleh dari toko aplikasi resmi platform," kata Microsoft.

Pengguna dapat melindungi diri mereka sendiri dengan memperhatikan pesan akses clipboard, kata perusahaan itu.

"Jika pesan tiba-tiba muncul, mereka harus berasumsi bahwa data apa pun di clipboard berpotensi disusupi, dan mereka harus mempertimbangkan untuk menghapus aplikasi apa pun yang membuat akses clipboard mencurigakan," kata Microsoft.

Insiden tersebut adalah yang terbaru dari serangkaian kontroversi Shein, termasuk pelanggaran data pada 2018 yang menyebabkan denda $1,9 juta pada Oktober tahun lalu.

Kantor Kejaksaan Agung New York mendenda pemilik Shein, Zoetop, setelah yang terakhir dilaporkan gagal melindungi data pelanggan dan memberi tahu jutaan pemegang akun bahwa informasi pribadi mereka telah terungkap, BBC sebelumnya melaporkan.

Detail login dari 39 juta akun Shein dicuri pada tahun 2018 oleh peretas. Zoetop diduga memberi tahu "hanya sebagian kecil" dari pelanggan yang terpengaruh dan meremehkan tingkat pelanggaran data dengan melaporkan bahwa hanya 6,42 juta akun Shein yang terungkap dalam insiden tersebut.

Raksasa mode cepat itu juga menghadapi kritik atas praktiknya, termasuk dugaan meniru karya desainer dan melanggar undang-undang perburuhan, menurut laporan New York Times.