Geolokasi pernah menjadi cara yang bagus untuk mengetahui dengan siapa perusahaan Kamu berurusan (dan terkadang apa yang mereka lakukan). Kemudian VPN mulai melemahkannya. Dan sekarang, keadaan menjadi sangat buruk sehingga Apple App Store dan Google Play keduanya menawarkan aplikasi yang tanpa malu-malu menyatakan bahwa mereka dapat memalsukan lokasi – dan tidak ada vendor OS seluler yang melakukan apa pun untuk menghentikannya.
Mengapa? Tampaknya Apple dan Google menciptakan lubang yang digunakan pengembang ini.
Singkatnya, Apple dan Google — untuk menguji aplikasi mereka di berbagai geografi — perlu mengelabui sistem agar berpikir bahwa pengembang mereka ada di mana pun mereka ingin mengatakannya. Apa yang baik untuk angsa seluler, seperti yang mereka katakan.
Layanan pengiriman makanan menggunakan geolokasi untuk melacak orang pengiriman dan untuk melihat apakah mereka benar-benar telah mengirim ke alamat pelanggan. Bank menggunakan lokasi untuk melihat apakah pemohon rekening bank benar-benar sesuai dengan klaim pemohon — atau untuk melihat apakah beberapa permohonan palsu berasal dari area yang sama. Dan AirBNB menggunakan geolokasi untuk mencoba dan mendeteksi daftar palsu dan ulasan palsu, menurut André Ferraz, CEO perusahaan keamanan lokasi seluler Incognia.
“Untuk penipu, selain memanfaatkan mode pengembang untuk mengubah koordinat GPS, banyak alat lain yang mengaktifkan spoofing lokasi, baik untuk geolokasi berbasis IP maupun geolokasi berbasis GPS,” kata Ferraz. “Untuk geolokasi berbasis IP, ada VPN, proxy, untuk , pembuatan terowongan. Untuk GPS, yang paling mudah diakses adalah aplikasi GPS palsu. Tetap saja, ada juga alat perusakan dan instrumentasi, perangkat yang di-root atau di-jailbreak, emulator, perusakan data lokasi yang sedang bergerak, dan banyak lainnya.”
Ferraz sayangnya benar. Terlepas dari salah satu dari banyak opsi ini yang dipilih oleh penipu, intinya adalah TI tidak bisa lagi mempercayai geolokasi untuk banyak hal. Ada beberapa aplikasi di mana risiko kerusakan yang berarti dari penipuan lokasi sangat rendah sehingga mungkin baik untuk menggunakan lokasi — katakanlah, aplikasi game di mana seseorang berpura-pura berada di Central Park padahal sebenarnya tidak. Jika yang mereka dapatkan hanyalah poin atau akses ke suguhan visual khusus, kemungkinan besar itu tidak berbahaya.
Kepercayaan, di sini, adalah kata kuncinya. Jika bisnis Kamu perlu mempercayai data lokasi, maka diperlukan alternatif.
Apakah penipuan lokasi ini dapat dideteksi? Itu menjadi rumit. Metode penipuan tertentu dapat dideteksi, tetapi tidak semua — dan tentunya tidak setiap saat. Lebih penting lagi, hanya mendeteksi anomali geolokasi seharusnya tidak dengan sendirinya menentukan penipuan secara positif.
VPN adalah contoh yang bagus. Banyak pengguna sudah terbiasa menjelajahi Internet dalam mode VPN sehingga mereka melakukannya setiap saat. Itu berarti mereka bahkan mungkin tidak memikirkannya ketika mereka mencoba, misalnya, untuk membuka rekening bank. Alih-alih mengasumsikan penipuan dan memblokir akses serta menolak aplikasi, bank dapat menawarkan peringatan pop-up sederhana: “Tampaknya Kamu menggunakan VPN. Meskipun kami memuji niat keamanan dan privasi Kamu, apa yang tampak seperti VPN mengganggu deteksi lokasi kami. Harap matikan VPN Kamu, matikan browser Kamu, luncurkan kembali browser Kamu dan kembali lagi.”
Masalah dengan deteksi spoof adalah bahwa beberapa perusahaan akan bereaksi berlebihan dan menganggap penipuan yang disengaja. Tidak sesederhana itu.
Ferraz memilih untuk tidak menyalahkan Google atau Apple, karena mereka benar-benar perlu meniru lokasi di seluruh dunia.
“Fitur ini untuk memungkinkan pengembang menguji aplikasi mereka seolah-olah berada di tempat lain sengaja dibuat oleh penyedia OS, Android dan iOS. Oleh karena itu, ini bukan merupakan kerentanan keamanan dari sistem operasi. Jika tidak, pengembang tidak akan dapat bekerja dari jarak jauh, misalnya, karena mereka harus pergi sendiri ke tempat di mana Aplikasi menawarkan beberapa layanan berbasis lokasi untuk tujuan pengujian,” kata Ferraz. “OS bahkan menyediakan API bagi pengembang untuk mengidentifikasi apakah perangkat dalam mode pengembang dan telah mengaktifkan alat yang memungkinkan mereka mengubah koordinat GPS. Sayangnya, banyak pengembang tidak menggunakan ini dan sinyal perangkat lainnya untuk mengidentifikasi spoofing lokasi.”
Ferraz mengutip layanan pengiriman makanan sebagai contoh klasik tentang bagaimana beberapa perusahaan mencoba menggunakan pelacakan lokasi – tetapi bisa terbakar. Ada banyak cara penipu mencoba menipu layanan pengiriman makanan; beberapa akan menerima pengiriman dan tidak pergi kemana-mana. Sebaliknya, mereka menipu sistem pengiriman makanan dengan berpikir bahwa mereka mengambil pesanan dan kemudian mengirimkannya.
Masalah dengan beberapa layanan ini adalah bahwa mereka membayar secara instan setelah sistem mengira makanan telah diantarkan. Jika mereka memilih untuk menunggu, katakanlah sekitar satu jam, mereka dapat menghindari penipuan. Jam itu menyisakan banyak waktu bagi pelanggan untuk menelepon dan mengeluh bahwa makanan tidak pernah dikirimkan. (Terkadang, perusahaan pengantaran makanan akan “memverifikasi” apakah makanan telah diantarkan dengan melihat pelacakan geolokasi. Ups! Mereka gagal mengirimkan dan dapat menyebut pelanggan sebagai pembohong.)
Terkadang, penipuan pengiriman makanan bukan tentang uang — ini tentang makanan itu sendiri. Ferraz mengatakan beberapa pengemudi akan benar-benar mengambil pesanan dan memakannya sendiri – sambil menipu aplikasi agar “melihat” pengemudi mengantarkan ke pelanggan.
Ini menimbulkan pertanyaan tentang apa yang harus dilakukan TI tentang masalah ini. Ada perbedaan besar antara “jangan gunakan geolokasi” dan “jangan memercayai geolokasi.” Mirip dengan bagaimana seorang jurnalis berurusan dengan sumber yang tidak dapat dipercaya; Kamu belum tentu mengabaikan apa yang mereka katakan, tetapi Kamu memverifikasi tiga kali lipat semuanya.
Ambil autentikasi keamanan siber, misalnya. Jika Kamu melakukan semuanya dengan benar — terutama di lingkungan tanpa kepercayaan — Kamu mungkin mengandalkan lusinan titik data atau lebih. Dalam skenario itu, tidak apa-apa menggunakan data geolokasi. Lagi pula, sebagian besar data itu mungkin baik-baik saja. Sama seperti contoh bank, jangan menolak seseorang hanya berdasarkan lokasi yang tidak cocok. Tapi sangat tepat untuk menggunakan ketidakcocokan apa pun untuk memicu pertanyaan lebih lanjut.
Tidak ada alasan Kamu tidak dapat memiliki proses yang berbeda; dalam beberapa kasus, akurasi geolokasi diandalkan; di tempat lain, itu hanya pelengkap; di yang lain lagi, tidak masalah (mungkin bermain game). Singkatnya, gunakan geolokasi tetapi bahkan tidak lagi berpikir untuk mempercayainya.
Post By 2022 admin, Inc.
