Paper idsecconf2011
1 Pendahuluan
Jakarta dengan kondisi lalu lintas yang macet membuat para penduduknya
mengakses Internet dari telepon selular-nya menjadi hal yang semakin umum.
Harga perangkat dan tarif Internet yang semakin terjangkau mempercepat
hal ini. Bahkan informasi lalu lintas kini dapat dengan mudah diakses via
1
ponsel. Informasi yang sangat dibutuhkan bagi para penduduk Jakarta un-
tuk membantu menentukan rute dan memperkirakan waktu tempuh per-
jalanan.
Kondisi kualitas jaringan Internet yang tak selalu bagus, membuat perangkat
BlackBerry -yang menawarkan koneksi Internet handal dengan algoritma
kompresinya- laku bak kacang goreng. Hal ini ditambah lagi dengan bu-
daya masyarakat Indonesia yang senang mengobrol sehingga dengan meng-
gunakan BlackBerry koneksi ke social media pun jadi lebih mudah. Di sisi
lain, pengembangan aplikasi mobile pun terus bermunculan. Mulai dari ap-
likasi yang sifatnya informasional hingga aplikasi yang bersifat transaksional.
Untuk aplikasi transaksional umumnya adalah aplikasi dalam industri per-
bankan dan finansial.
Aplikasi yang bersifat transaksional tentu disyaratkan memiliki tingkat
keamanan yang dapat diterima. Penggunaan aplikasi SMS untuk men-
girimkan/menerima PIN sangat rawan. Bagaimana apabila pemilik pon-
sel kehilangan ponselnya lalu orang lain menggunakan PIN tersebut un-
tuk melakukan transaksi? Risiko paling mendasar dari penggunaan ponsel
adalah risiko kehilangan. Apakah para pengguna ponsel sudah siap dan
mengerti risiko kehilangan ponselnya? Penggunaan ponsel ini tak hanya se-
batas di kalangan mahasiswa atau karyawan namun juga hingga kalangan
eksekutif perusahaan. Nilai ponsel mahasiswa dan eksekutif perusahaan bisa
sama, namun tentu nilai informasinya akan lebih tinggi ponsel milik seorang
direktur perusahaan.
Sayangnya, security awareness kalangan eksekutif tidak selalu tinggi.
Bahkan penulis pernah diceritakan bahwa seorang direksi perusahaan mem-
berikan password email -nya kepada sekretaris untuk membantunya mem-
baca/menerima email. URL shortener pun bisa menjadi celah keamanan
saat dibuka dari ponsel. Misalkan teman Anda menulis di akun twitternya,
http://bit.ly/y678l dan mengatakan URL tersebut adalah URL fotonya di
Facebook. Padahal kenyataannya URL ini mengacu pada situs yang ia buat
sendiri, dengan tampilan seperti Facebook. Dengan layar yang lebih kecil &
alamat URL yang tak selalu bisa dilihat, pengakses situs ini akan lebih sulit
membedakan apakah ini situs facebook atau situs phishing yang mirip face-
book. Dengan melakukan serangan yang dinamakan phishing ini, penyerang
akan mendapatkan pasangan userid dan password.
2
2 Risiko Keamanan Perangkat Mobile
Sama dengan aset-aset lainnya, perangkat mobile memiliki risiko yang melekat
dengannya. Dengan karakteristiknya yang mobile, tentu perangkat mobile
memiliki risiko yang lebih bisa ter-expose ke pihak luar. Berikut ini adalah
beberapa risiko-risiko keamanan pada perangkat mobile 1 :
3
pat menerima risikonya karena data yang sensitif tetap aman dalam keadaan
terenkripsi. Kemampuan menyimpan data secara aman namun tetap memu-
ngkinkan bagi aplikasi untuk mengaksesnya menjadi persyaratan untuk kea-
manan perangkat mobile.
4
2.6 Risiko Sistem Operasi
Setiap perangkat mobile dengan masing-masing sistem operasinya tentu
akan memilikinya risikonya sendiri-sendiri. Baik Android, iPhone, Black-
Berry, Symbian, Windows Phone, masing-masing memiliki risiko. Risiko
sistem operasi ini melekat pada perangkat mobile tersebut. Contoh risiko
sistem operasi adalah jailbreaks atau berusaha mendapatkan akses root pada
perangkat.
5
tidak harus sebagai admin/root; jika aplikasi tidak membutuhkan akses ke
servis kamera, maka tak perlu diberikan akses ke servis kamera. Model
hak akses minimum ini akan meminimalisir risiko akses yang tak perlu dan
memastikan aplikasi bisa berjalan dengan cara yang paling aman.
6
2. Menguraikan aplikasi (Decomposing application)
Setelah memahami proses bisnis dilanjutkan dengan menguraikan kom-
ponen penyusun aplikasi. Apabila pengujian dilakukan dengan cara
black box maka penguraian aplikasi dilakukan dengan cara fingerprint-
ing. Dengan melakukan penguraian aplikasi dapat dilakukan anal-
isis terhadap desain dan arsitektur aplikasi mobile ini. Komponen
server apa saja yang terlibat berikut bagaimana aplikasi mobile didis-
tribusikan.
7
4.2 Mobile Security Assessment
Mobile security assessment dapat dilakukan dengan melakukan pengujian
pada aplikasi yang sedang dijalankan atau pada aplikasi yang sedang tidak
dijalankan. Berikut ini adalah metodologi pengujian aplikasi mobile dari
sudut pandang pengujian dinamis atau statis.
4. Melakukan dissassembling
8
5 Contoh Pengujian Mobile Security
5.1 Pengujian dengan Analisis Dinamis
Pengujian dengan metode analisis dinamis berlaku umum tanpa melihat
sistem operasi perangkat mobile. Untuk dapat menganalisis network traf-
fic disusun skenario berikut: gunakan intercepting proxy untuk melakukan
analisis terhadap network traffic aplikasi mobile dengan servernya.
Konfigurasikan koneksi perangkat mobile agar melalui interepting proxy
terlebih dahulu sebelum menuju server. Lakukan analisis terhadap traf-
fic yang lalu-lalang. Perhatikan apakah data sensitif yang terkirim dalam
keadaan tak terenkripsi. Perhatikan webservices yang dieksekusi. Lakukan
scan/fuzz, jika intercepting proxy yang digunakan memiliki fitur scan/fuzz.
Intercepting proxy yang dapat digunakan antara lain: Paros Proxy3 , OWASP
ZAP Proxy4 , Burp Proxy5 .
5.2.1 Android
Android SDK
dex2jar
3
http://www.parosproxy.org
4
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
5
http://portswigger.net/burp/proxy.html
9
apktool
JD (Java Decompiler)
5.2.2 BlackBerry
Dr Olsen telah merilis program coddec untuk melakukan reversing code ap-
likasi BlackBerry. Coddec merupakan kependekan dari cod decompiler. Cod
adalah ekstensi berkas aplikasi BlackBerry.
5.2.3 iPhone
6 Penutup
Tulisan ini merupakan pengantar keamanan perangkat mobile. Diharapkan
dengan pengantar ini dapat memberikan gambaran secara umum mengenai
10
keamanan perangkat mobile. Pada tulisan ini tidak dilakukan pembahasan
mendalam secara teknis pada suatu proses (misalnya reversing code) karena
memang tujuan tulisan adalah memberikan gambaran secara umum topik
keamanan perangkat mobile.
Tulisan ini dibuat dengan mengacu pada referensi-referensi yang ada di
bawah ini, untuk kemudian dipilah, dianalisis, dan disintesis menjadi satu
bentuk tulisan yang utuh.
7 Referensi
Bolsen. Coddec. http://drbolsen.wordpress.com/2008/07/14/coddec-released/
http://code.google.com/p/c-ray/
8 Penulis
Zaki Akhmad, bekerja sebagai analis di perusahaan konsultan keamanan
informasi, indocisc.
11