Security Assessment Pada Aplikasi Mobile Android XYZ Dengan Mengacu Pada Kerentanan OWASP Mobile Top Ten 2016
DOI:
https://doi.org/10.56706/ik.v15i1.2Keywords:
Aplikasi Android, OWASP Mobile Top Ten 2016, Security AssessmentAbstract
Aplikasi XYZ merupakan aplikasi unggulan pemerintah Provinsi X yang digunakan untuk pelayanan publik. Aplikasi ini menjadi penjembatan antara pemerintah Provinsi dengan Ketua RW. Pada penelitian ini dilakukan security assessment pada aplikasi XYZ untuk mengidentifikasi kerentanan dan dampak kerentanan, nilai kerentanan, serta memberikan rekomendasi keamanan pada kerentanan yang teridentifikasi. Kerentanan yang diidentifikasi mengacu pada kerentanan dari OWASP Mobile Top Ten 2016. Penelitian ini menggunakan metode security assessment berdasarkan SANS yang terdiri dari tiga langkah yaitu reviewing, examination, dan testing. Tahap reviewing dilakukan dengan mengumpulkan informasi terkait aplikasi XYZ, kebijakan Pemprov, dan terkait dengan NDA. Tahap examination disebut juga analisis statis, di sini dilakukan analisis statis otomatis menggunakan scanner MobSF dan MARA Framework. Kemudian tahap testing atau analisis dinamis dilakukan pengujian kerentanan dengan menjalankan aplikasi. Berdasarkan hasil security assessment teridentifikasi enam kerentanan pada aplikasi XYZ di mana enam kerentanan tersebut termasuk dalam lima kerentanan OWASP Mobile Top Ten 2016. Rincian kerentanan yang ditemukan insecure data storage (manipulatability backup dan aplikasi membuat file temp) kategori kerentanan medium, insecure communication (insecure implementation WebView) kategori kerentanan high, insufficient cryptography (static key) kategori kerentanan medium, client code quality (manipulatability activity) kategori kerentanan none, dan reverse engineering kategori kerentanan medium. Kerentanan yang ditemukan ini berdampak pada hilangnya aspek kerahasiaan seperti data sensitif pengguna, password default dan kunci konfigurasi aplikasi dengan server backend yang terdapat pada kode sumber. Berdasarkan kerentanan tersebut, diberikan rekomendasi keamanan berupa penerapan enkripsi data, penerapan teknik obfuscation, serta melakukan manajemen kunci untuk tujuan mengatasi kerentanan dan mencegah dampak yang terjadi.
References
"Android Security & Privacy 2018 Year in Review," Google, 2019.
ptsecurity.com, "Vulnerabilities and threats in mobile applications," ptsecurity.com, 2019.
B. Custer, A. M.Sears, F. Dechesne, I. Georgieva, T. Tani and S. van der Hof, EU Personal Data Protection in Policy and Practice, Netherland: Asser Press, 2019.
G. Basatwar, "OWASP Mobile Top 10: A comprehensive guide for mobile developers to counter risks," 23 January 2020. [Online]. Available: https://www.appsealing.com/owasp-mobile-top-10-a-comprehensive-guide-for-mobile-developers-to-counter-risks/.
A. A. Ali and M. Z. Murah, "Security Assessment of Libyan Government websites," in Cyber Resilience Conference 2018, Malaysia, 2018.
Q. Qassim, N. Jamil, M. Daud, A. Petel and N. Ja'affar, "A Review of Security Assessment Methodologies in Individual Control Systems," Information and Computer Security, pp. 47-61, 2019.
OWASP.org, "OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risk," The OWASP Foundation, 2017.
B. Mueller, S. Schleier and J. Williemsen, Mobile Security Testing Guide, The OWASP Foundation, 2018.
M. Zhang and H. Yin, Android Application Security, Switzerland: Springer, 2016.
A. Abdel-Aziz, "Scoping Security Assessment- A Project Management Approach," SANS Institute, 2011.
K. Mokris, "Building bloc for secure mobile development: Testing for the OWASP Mobile Top 10," 13 October 2016. [Online]. Available: https://www.nowsecure.com/blog/2016/10/13/secure-mobile-development-testing-owasp-mobile-top-10/.
Sugiyono, Metode Penelitian Kuantitatif Kualitatif dan R&D, Bandung: Alfabeta, 2016.
CWE, "CWE-798: Use of Hard-coded Crendential," 25 June 2020. [Online]. Available: https://cwe.mitre.org/data/definitions/798.html. [Accessed 7 July 2020].
