Ditemukan enkskripsi yang lemah di banyak aplikasi android

Ada penggemar aplikasi android? Android memang sangat populer saat ini hampir semua aplikasi tablet dan smartphone menggunakan android, bahkan rekan-rekan saya yang dulu pakai blackberry malah ramai-ramai pindah ke android. Kepopulerannya kini sudah hampir sulit dikalahkan oleh Mobile OS lain seperti IOS, Windows 8 atau Blackberry. Salah satu jaringan yang sangat kuat membangun aplikasi android ini banyaknya para pengembang aplikasi android yang juga Adsense Associate. Kita  tahu kalau jaringan publisher adsense ini sudah sangat menggurita di internet, sebagaimana Google search engine yang mendominasi internet.


Namun, nampaknya benar saja apa yang dikatakan Boss Blackberry kalau Android tidak mungkin menyamai fitur keamanan blackberry. Ini terbukti dari sebuah penelitian yang dilakukan oleh Fahl, Harbach, Muders, Smith, Baumgartner, Freisleben yang menemukan kondisi katastropik ketika menganalisis aplikasi android dalam teknik enkripsinya. Lebih dari 1.000 dari 13.500 aplikasi android yang populer menunjukkan kelemahan dan ketidakamanan dalam protokol enskripsi SSL/TLS. Dari 100 aplikasi terdapat 41 aplikasi yang vulnerable diserang. Info bank, kartu kredit, facebook, twitter dan email dapat di attack dari sebuah aplikasi android yang lemah enkripsinya.

Dalam penelitian itu, mereka mencoba meninjeksi virus signature dalam Zoner Antivirus for Android. Ternyata virus itu berhasil menyamar menjadi antivirus tersebut, dan menawarkan untuk menghapus antivirus itu sendiri. Akhirnya yang dihapus adalah antivirus itu sendiri karena berhasil dikelabui virus.

Peneliti juga melakukan teknik penyerangan "man in the middle" untuk meneliti apakah aplikasi melakukan koneksi dengan partner secara aman dengan mengecek sertifikat keamanan dengan benar, namun  kode-kode aplikasi tersebut tidak memverifikasi secara baik sertifikat keamanan partner sehingga menjadi target penyerangan attacker.

Tipe vulnerabilities yang ditemukan adalah ditemukannya 20 aplikasi yang selalu menerima sertifikat keamanan dari siapapun, dan ada 21 aplikasi memverikasi sertifikat keamanan tapi tidak mengecek kebenaran sertifikat untuk siapa. Ini memungkinkan attacker menyamarkan sertifikat partner seakan-akan sertifikat itu asli, padahal sertifikat palsu. Kondisi ini sangat membahayakan apalagi kalau kita harus berhubungan dengan bank atau kartu kredit dengan aplikasi itu.

Peneliti dari Universitas Leibniz dan Marburg ini akhirnya mengkompilasikan penemuannya dalam sebuah paper yang berjudul "Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security ". Mereka juga berencana untuk membuat MalloDroid tool untuk mengecek permasalahan kelemahan enksripsi diberbagai aplikasi android ini. Menurut Google Play, aplikasi yang telah mendapat efek dari masalah ini telah diinstall 39,5-185 juta kali. Wah..sudah banyak yahh..

Sebagai pengguna aplikasi android favorit, yang bisa kita lakukan adalah berhati-hati menggunakan aplikasi android yang harus berhubungan ke perbankan atau kartu kredit. Selama teknik validasi enkripsi diberbagai aplikasi tidak menjamin teknik validasi sertifikat keamanan yang aman maka kemungkinan masih cukup rentan aplikasi android mendapat serangan-serangan dari attacker.

Sumber: http://www.h-online.com/security/news/item/Encryption-found-insufficient-in-many-Android-apps-1732847.html