SlideShare une entreprise Scribd logo

Android Keamanan Aplikasi

idsecconf
idsecconf
TechnologieBusiness
1  sur  10
Télécharger pour lire hors ligne
Pengujian Keamanan Aplikasi Mobile Studi Kasus: Android Zaki Akhmad | za at indocisc.co.id | 0xFD57BE80 Abstrak 2 Teori Pada paper ini akan dijelaskan metodologi Berikut ini adalah dasar teori pengujian aplikasi pengujian keamanan aplikasi Android yang mobile. Pengujian diklasifikasikan menjadi dua disertai dengan contoh implementasinya. yaitu dinamis dan statis. Pengujian dinamis Pengujian aplikasi secara teori terbagi menjadi dilakukan dengan menjalankan aplikasi, untuk dua, yaitu dinamis dan statis. Pengujian dinamis selanjutnya dilakukan analisis. Pengujian statis adalah pengujian yang dilakukan saat aplikasi dilakukan tanpa menjalankan aplikasi, analisis dijalankan. Kebalikannya, pengujian statis adalah dilakukan dengan melihat kode sumber (source pengujian yang dilakukan tanpa menjalankan code) aplikasi. aplikasi. Contoh implementasi aplikasi yang diuji Berikut ini adalah garis besar sistematika adalah aplikasi Wordpress untuk Android pengujian aplikasi mobile: (sebagai contoh aplikasi open source) dan aplikasi Twitter untuk Android (sebagai contoh 1. Dinamis aplikasi close source). Metodologi yang 1. Analisis network traffic dijelaskan ini bersifat agnostik, sehingga bisa diimplementasikan pada beragam platform 2. Analisis remote services aplikasi mobile lainnya. (HTTP/SOAP/dll) 3. Debug aplikasi 2. Statis 1 Pengantar 1. Dapatkan aplikasi Aplikasi mobile saat ini semakin banyak 1. Ekstrak aplikasi dari device dikembangkan seiring semakin terjangkaunya 2. Dapatkan berkas apk dari harga ponsel cerdas yang berarti semakin banyak pengembang juga penggunanya. Aplikasi mobile yang ada saat ini sangat beragam. Mulai dari aplikasi game 2. Lakukan reverse engineering sederhana yang tidak membutuhkan koneksi 3. Lakukan source code review jaringan, aplikasi jejaring sosial hingga aplikasi mobile banking yang mampu melakukan transaksi 1. Menggunakan static analysis tool keuangan. 2. Manual Pengguna akhir pada umumnya tidak memiliki 4. Lakukan disassembly kesadaran yang tinggi akan keamanan aplikasi. Misalnya, terdapat aplikasi game yang diunduh 5. Lakukan patch bisa jadi mengandung malware yang mengakses data di ponsel. Atau terdapat aplikasi yang 3 Konfigurasi Lab menyimpan kredensial di dalam ponsel dalam keadaan tak terenkripsi. Contoh lainnya, aplikasi Pada bagian ini akan dijelaskan konfigurasi lab yang tidak menggunakan jalur terenkripsi saat yang digunakan dalam melakukan pengujian. Lab melakukan otentikasi atau mengirim informasi pengujian dapat dilakukan langsung dari sensitif. perangkat mobile atau bisa juga menggunakan emulator. Berikut detail kedua konfigurasi lab tersebut: 1/10
3.1 Langsung dari Device Usai SDK Android siap, dapat dipilih versi Android mana yang emulatornya ingin disiapkan. Berikut ini adalah daftar kebutuhan untuk Silakan pilih sesuai kebutuhan. Emulator pada konfigurasi lab pengujian langsung dari device: Android disebut dengan Android Virtual Device • Mobile device (MD) (AVD). Versi terakhir emulator Android terbaru saat paper ini ditulis adalah Android 4.03 dengan • Kabel data API Level 15. • Access point (AP) • Hub • Kabel LAN • Komputer (PC) Untuk akses langsung ke device dari komputer digunakan kabel data. PC --- kabel data --- MD Gambar 1: Skema Akses Langsung Access point, Hub dan kabel LAN diperlukan untuk pengujian pada sisi keamanan jaringan. Berikut ini adalah diagram skema topologi pengujian keamanan jaringan aplikasi. Internet --- Hub --- AP – MD | Komputer Gambar 2: Skema Jaringan Gambar 3: Android Virtual Device 3.2 Menggunakan Emulator 4 Pengujian Dinamis Apabila tidak memiliki mobile device bukan 4.1 Aplikasi Wordpress berarti tidak bisa melakukan pengujian. Pengujian aplikasi mobile dapat memanfaatkan emulator Wordpress merupakan aplikasi F/OSS Content yang ada. Management System (CMS) blog. Selain dikembangkan aplikasi blog engine Wordpress itu Platform mobile pada paper ini dibatasi pada sendiri, dikembangkan juga aplikasi Wordpress Android. Pada paper ini tidak akan dijelaskan untuk Android. Aplikasi Wordpress untuk bagaimana menyiapkan: instalasi & konfiguras Android ini merupakan aplikasi klien yang SDK Android. Untuk petunjuk bagaimana digunakan untuk mengakses blog Wordpress. menyiapkan SDK Android dapat dilihat pada situs pengembang Android. Pada lab pengujian ini, diinstall aplikasi Wordpress pada server, dan aplikasi Wordpress untuk Android pada ponsel Android. Skema 2/10
jaringan mengikuti Gambar 3 hanya saja tidak perlu tersambung ke Internet karena aplikasi Berdasarkan Gambar 4, dapat terlihat bahwa IP Wordpress terinstall pada server sendiri (self mobile device yang digunakan adalah hosted Wordpress blog). Alasan menggunakan 192.168.2.170. Hal ini penting untuk diketahui self hosted Wordpress blog adalah agar analisis dalam melakukan analisis lebih dalam dan dapat dilakukan lebih mendalam dan detail menyusun formula filter packet pada Wireshark sekaligus lebih sederhana karena tidak yang digunakan sebagai tool untuk menganalisis memerlukan akses Internet. packet capture. Berikut detail versi aplikasi yang digunakan: • Wordpress: 3.3.1 Lalu kotak merah pada Gambar 4 yang kedua menunjukkan request POST yang dilakukan oleh • Wordpress untuk Android: 2.0.7 aplikasi Wordpress untuk Android. Request ini menarik untuk ditelusuri lebih lanjut. Untuk itu 4.1.1 Analisis Network Traffic dilakukan follow TCP stream pada paket ini. Pertama akan dilakukan analisis network traffic. Tujuan dari aktivitas ini adalah mencari informasi sensitif yang tidak dienkripsi. Aplikasi Wordpress untuk Android akan digunakan untuk mengakses self-hosted Wordpress blog dan melakukan aktivitas sebagai berikut: • Akses sebagai publik (tanpa otentikasi) • Melakukan otentikasi, masuk sebagai authorized user. • Menulis tulisan baru Gambar 5: String Username & Password • Akses menu konfigurasi Wordpress • Mengubah password Dari hasil analisis paket terlihat saat user akan menulis tulisan baru, username dan password Semua aktivitas ini akan dianalisis dari hasil dikirimkan dalam bentuk string tanpa melalui packet capture-nya. Berikut ini merupakan hasil kanal terenkripsi. analisis berkas pcapnya. Hasil penelusuran lebih lanjut menunjukkan bahwa username dan password selalu disertakan dalam setiap request aplikasi saat akan mengakses server. Gambar 4: Berkas Packet Capture Wordpress untuk Android Gambar 6: Ubah Password 3/10
4.1.2 Debug Aplikasi Saat password user Wordpress diubah bukan Untuk debug aplikasi, lab yang akan digunakan melalui aplikasi Android, maka aplikasi Android adalah dengan menggunakan emulator. tidak lagi bisa mengakses blog. Hal ini dilakukan untuk mengetahui bagaimana aplikasi Jalankan emulator, lalu gunakan Android Debug menyimpan password. Bridge (adb). $ adb devices List of devices attached emulator-5554 device Jika muncul device emulator, maka emulator sukses terdeteksi. Aktivitas selanjutnya akan memanfaatkan utiliti dari adb $ adb shell # Tanda # menunjukkan akses root. Selanjutnya cari informasi sensitif yang dapat diakses. Gambar 7: Login Usai Password Diganti Informasi sensitif dapat dicari di database. Android menggunakan sqlite3 sebagai database. Ternyata aplikasi menyimpan password pada Pertama, perlu dicari di direktori mana database semacam berkas konfigurasi. Jadi, perlu aplikasi disimpan. dilakukan konfigurasi ulang pada aplikasi dengan mengubah nilai password untuk bisa kembali Hasil penelusuran menghasilkan database login. Wordpress untuk Android disimpan di direktori data/data/org.wordpress.android/d Dari keseluruhan pengujian, terlihat bahwa desain atabases aplikasi wordpress untuk Android tidak aman. Username dan password dikirim dalam bentuk Masuk ke direktori tersebut dan lihat daftar string dalam setiap request melalui kanal tak berkas yang ada di dalamnya terenkripsi. Cara sederhana meningkatkan keamanan aplikasi # ls Wordpress untuk Android dapat dilakukan dengan menggunakan kanal terenkripsi.Pengguna webviewCache.db Android hanya bisa mengakses self-hosted webview.db Wordpress blog menggunakan protokol HTTPS. Selanjutnya perlu dipikirkan desain aplikasi yang wordpress lebih baik yang tidak harus selalu mengirimkan username dan password dalam setiap requestnya. Gunakan utility sqlite3 untuk mengakses Persisnya pada bagian mekanisme otentikasi database. Berdasarkan hasil penelusuran, ternyata aplikasi. informasi blog tersimpan di database wordpress 4/10
• Jalankan kali pertama # sqlite3 wordpress • Log in SQLite version 3.6.22 • Twit Enter ".help" for instructions Berikut ini adalah hasil analisis network traffic Enter SQL statements terminated aplikasi Twitter untuk Android. with a ";" Analisis pertama kali adalah memfilter paket sqlite> capture dengan filter “http contains twitter”. Dari paket pertama hasil fiter tersebut, terlihat paket capture saat proses Lalu jalankan perintah dump. instalasi dari Google Play. Dari hasil penelusuran tidak ditemukan informasi sensitif pada paket ini. Gambar 8: Hasil Perintah Dump Gambar 9: Akses Twitter di Google Play/Market Terlihat bahwa aplikasi Wordpress untuk Android Selanjutnya, penelusuran dilanjutkan pada paket menyimpan username & password dalam berikutnya masih dengan filter yang sama. Hasil database dengan keadaan plain text. Hal ini TCP Stream menunjukkan response yang menunjukkan aplikasi Wordpress untuk Android mengandung kata MANIFEST. Untuk tidak aman. menemukan paket lain yang mengandung kata MANIFEST, dapat dilakukan dengan mengubah 4.2 Aplikasi Twitter filter menjadi “http contains MANIFEST”. Perlu diingat filter ini merupakan case sensitive. Berdasarkan informasi dari situs pengembang twitter, twitter dikembangkan dengan memanfaatkan perangkat lunak open source. Begitupun dengan aplikasi Twitter untuk Android. Namun biarpun menggunakan perangkat lunak open source, bukan berarti kode sumber aplikasi Twitter untuk Android dibuka. 4.2.1 Analisis Network Traffic Analisis network traffic aplikasi Twitter untuk Android menggunakan skema jaringan Gambar 2. Aktivitas yang dilakukan adalah sebagai berikut: Gambar 10: Response MANIFEST. • Install aplikasi Twitter untuk Android dari Google Play 5/10
Analisis dari paket ini adalah paket ini merupakanfollow. Percobaan untuk melakukan re-assemble response dari request paket aplikasi Twitter untuk terhadap berkas gambar, masih gagal dilakukan. Android. Isi MANIFEST tidak bisa terbaca karena tidak berada dalam format clear text. Usaha mencari string sensitif (username & Skenario selanjutnya adalah melakukan password) tidak ditemukan karena jalur reassemble paket untuk bisa mendapatkan komunikasi yang digunakan terenkripsi begitupun berkas .apk dari aplikasi. isi dari paket tersebut. Bahkan isi twit-pun tidak bisa didapatkan. Gambar 11: Reassemble Paket Dari hasil reassemble, didapatkan berkas apk berukuran 2.3 MB Gambar 13: Penggunaan Protokol TLSv1 $ ls -l 2364191 2012-04-23 17:52 4.2.2 Debug Aplikasi twitter.apk Debug aplikasi Twitter untuk Android menggunakan konfigurasi lab dengan emulator. Karena pada emulator tidak terdapat akses ke Analisis berkas apk lebih lanjut akan dibahas Google Play/Market maka aplikasi twitter akan pada bagian Analisis Statis. Sekarang kembali langsung diinstall dari berkas apk tanpa akses ke melakukan analisis network traffic. Google Play/Market. Instalasi dilakukan menggunakan tool apk $ adb -s emulator-5554 install twitter.apk 1435 KB/s (2364191 bytes in 1.608s) pkg: /data/local/tmp/twitter.apk Success Gambar 12: Twitter Get Image Hasil analisis berikutnya, didapatkan request image avatar dari pengguna twitter yang di- 6/10
Gambar 15: Dump Global.db Twitter Dari hasil dump database global.db tidak didapatkan informasi sensitif. Yang bisa dibaca hanya username namun tidak tersedia informasi password. Gambar 14: Twitter pada Emulator Selanjutnya dicoba dump database lainnya. Selanjutnya, masih menggunakan tool adb, akan dicoba mencari informasi sensitif yang tersimpan di dalam device (emulator). Masuk ke direktori database twitter yang berada di data/data/com.twitter.android/dat abases List berkas yang ada di direktori tersebut: # ls Gambar 16: Dump 15016157.db Twitter 15016157.db 0.db Hasil dump database lainnya juga tidak global.db menemukan username & password dalam keadaan plaintext. Yang dapat ditemukan hanya direct message di twitter pada database Akses database menggunakan sqlite3. Pertama 15016157.db akan didump database global 5 Analisis Statis Analisis statis pada prinsipnya adalah melakukan code review. Seorang code reviewer harus mengetahui prinsip dan implementasi dari secure coding. Selain itu, seorang code reviewer juga harus tahu bagaimana menerapkan konfigurasi dengan least privilege. 7/10
5.1 Aplikasi Wordpress • Kamera Berdasarkan hasil analisis dinamis, dicoba dicari • Menulis pada eksternal storage bagian dari source code yang menangani • Lokasi otentikasi, dan bagaimana mekanisme menyimpan password. Karena aplikasi Wordpress Privilege ini memang dibutuhkan oleh aplikasi. untuk Android adalah aplikasi dengan kode Misalnya: Internet untuk mengakses arsip tulisan, sumber terbuka, jadi tidak diperlukan melakukan menulis tulisan baru, membaca komentar; reverse engineering. Reverse engineering Kamera untuk mengambil gambar; Menulis pada sederhananya adalah kegiatan membalikkan dari eksternal storage untuk menyimpan file hasil binary aplikasi ke source code. kamera; dan Lokasi untuk fitur posting with geo- location. Jadi aplikasi Wordpress untuk Android Berikut ini adalah hasil penelusuran kode sumber sudah menerapkan konsep least privilege. aplikasi Wordpress untuk Android. Pertama lakukan pencarian string dengan kata kunci “password”. Tool yang digunakan adalah ack- 5.2 Aplikasi Twitter grep yang mampu mencari string dalam satu Karena aplikasi Twitter untuk Android tidak open direktori. source maka pertama-tama perlu dilakukan reverse engineering. Reverse engineering aplikasi Android dapat dilakukan dengan mengacu pada artikel yang ditulis oleh Jack Maninno. Ekstrak aplikasi twitter.apk $ unzip twitter.apk Didapatkan berkas sebagai berikut: $ ls AndroidManifest.xml assets classes.dex META-INF org res Gambar 17: Kata Password dalam Kode Sumber resources.arsc Dari hasil pencarian menggunakan ack-grep dapat terlihat, password yang digunakan adalah httppassword. Dengan kode sumber aplikasi ini maka dapat terlihat bahwa memang aplikasi mengirimkan password dalam keadaan plain-text melalui protokol http. Lalu periksa berkas AndroidManifest.xml Berkas AndroidManifest.xml adalah berkas yang memuat informasi mendasar aplikasi. Perhatikan permission yang dimiliki aplikasi. Apakah permission tersebut benar-benar dibutuhkan aplikasi (ingat kembali konsep keamanan: least Gambar 18: Informasi Twiter dari Legal.html privilege). Berdasarkan penelusuran, permission yang Dari berkas legal.html yang terdapat dalam dimiliki oleh aplikasi Wordpress untuk Android direktori assets diketahui aplikasi Twitter untuk adalah: Android dikembangkan menggunakan komponen berikut: • Internet 8/10
• Bouncy Castle Crypto AndroidManifest.xml dalam format text. Lakukan analisis terhadap berkas ini. • Google Data Java Client • Jackson Java JSON-processor Core Selanjutnya cari informasi lebih lanjut soal komponen-komponen ini. Apa kegunaanya, bagaimana implementasinya. Berdasarkan informasi dari situs bouncy castle, bouncy castle merupakan API kriptografi. Dalam implementasinya di Android, yang digunakan adalah yang berbahasa JAVA. Jadi, aplikasi Twitter untuk Android menggunakan bouncy castle sebagai API kriptografi. Gambar 19: Berkas AndroidManifest.xml Twitter Google Data Java Client berguna untuk mengirim query Google Data API (GData) dan melakukan interpretasi responnya. Belum diketahui apa Terlihat permission yang dimiliki aplikasi. kegunaan library ini pada aplikasi Twitter untuk Berbeda dengan aplikasi Wordpress untuk Android. Android, aplikasi Twitter untuk Android tidak memiliki privilege untuk akses hardware kamera. Jackson Java JSON-processor Core merupakan Jadi pengguna tidak bisa mengakses kamera high-performance JSON processor. Aplikasi langsung dari aplikasi Twitter untuk Android. Twitter untuk Android menggunakan library ini untuk memproses JSON. 6 Ringkasan Selanjutnya, lakukan analisis terhadap berkas AndroidManifest.xml. Berkas Berikut ini adalah beberapa ringkasan yang bisa AndroidManifes.xml berada dalam format biner, dibuat: jadi informasinya tidak bisa terbaca. Untuk itu 1. Pengujian aplikasi mobile dilakukan pada perlu digunakan tool apk-tool sebagai tool untuk level aplikasi, bukan pada level sistem melakukan reverse engineering berkas apk. operasi perangkat mobile $ ./apktool d twitter.apk twitter 2. Pengujian aplikasi mobile dapat dilakukan I: Baksmaling... langsung pada device atau dapat juga I: Loading resource table... menggunakan emulator I: Loaded. 3. Pengujian aplikasi mobile dibedakan menjadi 2: pengujian dinamis, pengujian I: Loading resource table from yang dilakukan saat aplikasi dijalankan; file: dan pengujian statis, pengujian tanpa /home/za/apktool/framework/1.apk menjalankan aplikasi. I: Loaded. 4. Pengujian dinamis berusaha mencari I: Decoding file-resources... informasi sensitif dalam keadaan tidak terenkripsi: baik saat melalui transport I: Decoding values*/* XMLs... layer maupun saat disimpan dalam I: Done. database di perangkat. I: Copying assets and libs... 5. Pengujian statis dasarnya adalah melakukan code review untuk memahami cara kerja aplikasi. Untuk aplikasi yang Sekarang sudah didapatkan berkas tidak bersifat opensource, perlu dilakukan 9/10
reverse engineering. penelitian ini lebih lanjut: 1. Analisis dinamis: gunakan proxy untuk 7 Kesimpulan & Saran meng-intercept traffic antara aplikasi dengan server sehingga dapat melakukan Telah dijabarkan metodologi pengujian aplikasi analisis lebih dalam. mobile dengan studi kasus aplikasi Android: Wordpress untuk Android dan Twitter untuk 2. Analisis statis: mempelajari bagaimana Android. mengembangkan aplikasi Android yang aman sehingga dapat melakukan code Berikut ini adalah kesimpulan dari penelitian ini: review lebih baik. 1. Aplikasi Wordpress untuk Android selalu mengirimkan userid dan password dalam setiap request-nya dalam keadaan tidak 8 Referensi terenkripsi. APK-Tool, http://code.google.com/p/android- apktool/ 2. Aplikasi Wordpress untuk Android menyimpan userid dan password pada Jack Maninno, Reversing Android Apps 101, database dalam keadaan tidak terenkripsi. http://jack- mannino.blogspot.com/2010/09/reversing- 3. Aplikasi Twitter untuk Android android-apps-101.html menggunakan transport layer yang terenkripsi saat mengakses server. Userid, Jeff Six, Application Security for the Android password, dan twit dikirim dalam keadaan Platform, O'Reilly terenkripsi. Marko Gargenta, Learning Android, O'Reilly 4. Aplikasi Twitter untuk Android OWASP Mobile Security Project, menyimpan password pada database https://www.owasp.org/index.php/OWASP_Mobi dalam keadaan terenkripsi. Pesan le_Security_Project langsung (direct message) masih dapat dibaca karena tersimpan dalam format Situs Pengembang Android, clear text. http://developer.android.com Berikut ini adalah saran untuk mengembangkan Situs Pengembang Twitter, https://dev.twitter.com 10/10

Recommandé

Pengantar Mobile Security
Pengantar Mobile Security Pengantar Mobile Security
Pengantar Mobile Security zakiakhmad
 
Makalah keamanan jaringan
Makalah keamanan jaringanMakalah keamanan jaringan
Makalah keamanan jaringanwww.facebook.com
 
Keamanan sistem komputer makalah tentang virus komputer
Keamanan sistem komputer makalah tentang virus komputerKeamanan sistem komputer makalah tentang virus komputer
Keamanan sistem komputer makalah tentang virus komputerGanjo Kareh Anjiang
 
Nq mobile security
Nq mobile securityNq mobile security
Nq mobile securityOloan Sembiring
 
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...idsecconf
 
Paper system keamanan skype
Paper system keamanan skypePaper system keamanan skype
Paper system keamanan skypeMeirza Rudyanto
 
Android forensik
Android forensikAndroid forensik
Android forensikCaisar Oentoro
 
Rat malware android
Rat malware androidRat malware android
Rat malware androididsecconf
 

Recommandé

Pengantar Mobile Security
Pengantar Mobile Security Pengantar Mobile Security
Pengantar Mobile Security zakiakhmad
 
Makalah keamanan jaringan
Makalah keamanan jaringanMakalah keamanan jaringan
Makalah keamanan jaringanwww.facebook.com
 
Keamanan sistem komputer makalah tentang virus komputer
Keamanan sistem komputer makalah tentang virus komputerKeamanan sistem komputer makalah tentang virus komputer
Keamanan sistem komputer makalah tentang virus komputerGanjo Kareh Anjiang
 
Nq mobile security
Nq mobile securityNq mobile security
Nq mobile securityOloan Sembiring
 
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...idsecconf
 
Paper system keamanan skype
Paper system keamanan skypePaper system keamanan skype
Paper system keamanan skypeMeirza Rudyanto
 
Android forensik
Android forensikAndroid forensik
Android forensikCaisar Oentoro
 
Rat malware android
Rat malware androidRat malware android
Rat malware androididsecconf
 
Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)eltwordy
 
Code review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief KarfiantoCode review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief Karfiantoidsecconf
 
Ali - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfAli - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfidsecconf
 
Proposal
ProposalProposal
Proposalhelmikurniawan77
 
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTORBAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTORTeukuMahawira
 
Ebook Workshop Dasar android
Ebook Workshop Dasar androidEbook Workshop Dasar android
Ebook Workshop Dasar androidSaeful Bahri
 
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studioModul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studioElsa Charming
 
Analisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi webAnalisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi webIrfan Aris Nurhakim
 
Introduction on Android programming Tutorial
Introduction on Android programming TutorialIntroduction on Android programming Tutorial
Introduction on Android programming TutorialDimas Prawira
 
Percobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasiPercobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasiAdenuar Purnomo
 
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...defamee
 
Sistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak amanSistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak amanannisabianca
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputraReynold Syahputra
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputraReynold Syahputra
 
Pengenalan Codeigniter
Pengenalan Codeigniter Pengenalan Codeigniter
Pengenalan Codeigniter Räjù GùÑáwàn
 
Pertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdfPertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdfandrirachmayadi90
 
Review kuliah tamu
Review kuliah tamuReview kuliah tamu
Review kuliah tamuSani Kharismawati
 
Makalah Mobile Programming
Makalah Mobile ProgrammingMakalah Mobile Programming
Makalah Mobile ProgrammingVicinthia Veren
 
Pengenalan dasar android programming
Pengenalan dasar android programming Pengenalan dasar android programming
Pengenalan dasar android programming Mdeno Akbar
 
Pengenalan dasar android Programming
Pengenalan dasar android ProgrammingPengenalan dasar android Programming
Pengenalan dasar android ProgrammingAlbertz Ace-Red
 
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...idsecconf
 
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf
 

Contenu connexe

Similaire à Android Keamanan Aplikasi

Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)eltwordy
 
Code review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief KarfiantoCode review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief Karfiantoidsecconf
 
Ali - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfAli - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfidsecconf
 
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTORBAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTORTeukuMahawira
 
Ebook Workshop Dasar android
Ebook Workshop Dasar androidEbook Workshop Dasar android
Ebook Workshop Dasar androidSaeful Bahri
 
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studioModul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studioElsa Charming
 
Analisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi webAnalisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi webIrfan Aris Nurhakim
 
Introduction on Android programming Tutorial
Introduction on Android programming TutorialIntroduction on Android programming Tutorial
Introduction on Android programming TutorialDimas Prawira
 
Percobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasiPercobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasiAdenuar Purnomo
 
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...defamee
 
Sistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak amanSistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak amanannisabianca
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputraReynold Syahputra
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputraReynold Syahputra
 
Pertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdfPertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdfandrirachmayadi90
 
Makalah Mobile Programming
Makalah Mobile ProgrammingMakalah Mobile Programming
Makalah Mobile ProgrammingVicinthia Veren
 
Pengenalan dasar android programming
Pengenalan dasar android programming Pengenalan dasar android programming
Pengenalan dasar android programming Mdeno Akbar
 
Pengenalan dasar android Programming
Pengenalan dasar android ProgrammingPengenalan dasar android Programming
Pengenalan dasar android ProgrammingAlbertz Ace-Red
 

Similaire à Android Keamanan Aplikasi (20)

Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)Pemrograman Mobile - (Pengenalan dan Instalasi Android)
Pemrograman Mobile - (Pengenalan dan Instalasi Android)
 
Code review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief KarfiantoCode review and security audit in private cloud - Arief Karfianto
Code review and security audit in private cloud - Arief Karfianto
 
Ali - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfAli - The Journey-Hack Electron App Desktop (MacOS).pdf
Ali - The Journey-Hack Electron App Desktop (MacOS).pdf
 
Proposal
ProposalProposal
Proposal
 
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTORBAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
BAB VII - INSTALASI DAN KONFIGURASI APP INVENTOR
 
Ebook Workshop Dasar android
Ebook Workshop Dasar androidEbook Workshop Dasar android
Ebook Workshop Dasar android
 
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studioModul ajar membuat aplikasi mobile multiplatform menggunakan android studio
Modul ajar membuat aplikasi mobile multiplatform menggunakan android studio
 
Analisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi webAnalisis Keamanan Nodejs sebagai platorm aplikasi web
Analisis Keamanan Nodejs sebagai platorm aplikasi web
 
Introduction on Android programming Tutorial
Introduction on Android programming TutorialIntroduction on Android programming Tutorial
Introduction on Android programming Tutorial
 
Percobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasiPercobaan membuat proposal aplikasi
Percobaan membuat proposal aplikasi
 
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
MOBILE LIVE VIDEO STREAMING PADA ANDROID DENGAN MENGGUNAKAN RTMP DAN FLASH LI...
 
Sistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak amanSistem keamanan android ternyata tidak aman
Sistem keamanan android ternyata tidak aman
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputra
 
Proposal PA reynold syahputra
Proposal PA reynold syahputraProposal PA reynold syahputra
Proposal PA reynold syahputra
 
Pengenalan Codeigniter
Pengenalan Codeigniter Pengenalan Codeigniter
Pengenalan Codeigniter
 
Pertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdfPertemuan 2 - Materi [MP - 2016].pdf
Pertemuan 2 - Materi [MP - 2016].pdf
 
Review kuliah tamu
Review kuliah tamuReview kuliah tamu
Review kuliah tamu
 
Makalah Mobile Programming
Makalah Mobile ProgrammingMakalah Mobile Programming
Makalah Mobile Programming
 
Pengenalan dasar android programming
Pengenalan dasar android programming Pengenalan dasar android programming
Pengenalan dasar android programming
 
Pengenalan dasar android Programming
Pengenalan dasar android ProgrammingPengenalan dasar android Programming
Pengenalan dasar android Programming
 

Plus de idsecconf

idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...idsecconf
 
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf
 
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...idsecconf
 
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdf
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdf
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf
 
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...idsecconf
 
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf
 
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf
 
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...idsecconf
 
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdf
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfRama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdf
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfidsecconf
 
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...idsecconf
 
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdf
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfNosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdf
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfidsecconf
 
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...idsecconf
 
Utian Ayuba - Profiling The Cloud Crime.pdf
Utian Ayuba - Profiling The Cloud Crime.pdfUtian Ayuba - Profiling The Cloud Crime.pdf
Utian Ayuba - Profiling The Cloud Crime.pdfidsecconf
 
Proactive cyber defence through adversary emulation for improving your securi...
Proactive cyber defence through adversary emulation for improving your securi...Proactive cyber defence through adversary emulation for improving your securi...
Proactive cyber defence through adversary emulation for improving your securi...idsecconf
 
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidada
Perkembangan infrastruktur kunci publik di indonesia - Andika TriwidadaPerkembangan infrastruktur kunci publik di indonesia - Andika Triwidada
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidadaidsecconf
 
Pentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - AbdullahPentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - Abdullahidsecconf
 
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabella
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaHacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabella
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaidsecconf
 
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
 
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi DwiantoDevsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwiantoidsecconf
 
Stream crime
Stream crime Stream crime
Stream crime idsecconf
 

Plus de idsecconf (20)

idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
idsecconf2023 - Mochammad Riyan Firmansyah - Takeover Cloud Managed Router vi...
 
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...
 
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...
idsecconf2023 - Mangatas Tondang, Wahyu Nuryanto - Penerapan Model Detection ...
 
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdf
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdf
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdf
 
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...
idsecconf2023 - Akshantula Neha, Mohammad Febri Ramadlan - Cyber Harmony Auto...
 
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...
 
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...
 
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...
 
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdf
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfRama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdf
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdf
 
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...
 
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdf
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfNosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdf
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdf
 
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...
 
Utian Ayuba - Profiling The Cloud Crime.pdf
Utian Ayuba - Profiling The Cloud Crime.pdfUtian Ayuba - Profiling The Cloud Crime.pdf
Utian Ayuba - Profiling The Cloud Crime.pdf
 
Proactive cyber defence through adversary emulation for improving your securi...
Proactive cyber defence through adversary emulation for improving your securi...Proactive cyber defence through adversary emulation for improving your securi...
Proactive cyber defence through adversary emulation for improving your securi...
 
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidada
Perkembangan infrastruktur kunci publik di indonesia - Andika TriwidadaPerkembangan infrastruktur kunci publik di indonesia - Andika Triwidada
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidada
 
Pentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - AbdullahPentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - Abdullah
 
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabella
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaHacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabella
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabella
 
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...
 
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi DwiantoDevsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
 
Stream crime
Stream crime Stream crime
Stream crime
 

Android Keamanan Aplikasi

  • 1. Pengujian Keamanan Aplikasi Mobile Studi Kasus: Android Zaki Akhmad | za at indocisc.co.id | 0xFD57BE80 Abstrak 2 Teori Pada paper ini akan dijelaskan metodologi Berikut ini adalah dasar teori pengujian aplikasi pengujian keamanan aplikasi Android yang mobile. Pengujian diklasifikasikan menjadi dua disertai dengan contoh implementasinya. yaitu dinamis dan statis. Pengujian dinamis Pengujian aplikasi secara teori terbagi menjadi dilakukan dengan menjalankan aplikasi, untuk dua, yaitu dinamis dan statis. Pengujian dinamis selanjutnya dilakukan analisis. Pengujian statis adalah pengujian yang dilakukan saat aplikasi dilakukan tanpa menjalankan aplikasi, analisis dijalankan. Kebalikannya, pengujian statis adalah dilakukan dengan melihat kode sumber (source pengujian yang dilakukan tanpa menjalankan code) aplikasi. aplikasi. Contoh implementasi aplikasi yang diuji Berikut ini adalah garis besar sistematika adalah aplikasi Wordpress untuk Android pengujian aplikasi mobile: (sebagai contoh aplikasi open source) dan aplikasi Twitter untuk Android (sebagai contoh 1. Dinamis aplikasi close source). Metodologi yang 1. Analisis network traffic dijelaskan ini bersifat agnostik, sehingga bisa diimplementasikan pada beragam platform 2. Analisis remote services aplikasi mobile lainnya. (HTTP/SOAP/dll) 3. Debug aplikasi 2. Statis 1 Pengantar 1. Dapatkan aplikasi Aplikasi mobile saat ini semakin banyak 1. Ekstrak aplikasi dari device dikembangkan seiring semakin terjangkaunya 2. Dapatkan berkas apk dari harga ponsel cerdas yang berarti semakin banyak pengembang juga penggunanya. Aplikasi mobile yang ada saat ini sangat beragam. Mulai dari aplikasi game 2. Lakukan reverse engineering sederhana yang tidak membutuhkan koneksi 3. Lakukan source code review jaringan, aplikasi jejaring sosial hingga aplikasi mobile banking yang mampu melakukan transaksi 1. Menggunakan static analysis tool keuangan. 2. Manual Pengguna akhir pada umumnya tidak memiliki 4. Lakukan disassembly kesadaran yang tinggi akan keamanan aplikasi. Misalnya, terdapat aplikasi game yang diunduh 5. Lakukan patch bisa jadi mengandung malware yang mengakses data di ponsel. Atau terdapat aplikasi yang 3 Konfigurasi Lab menyimpan kredensial di dalam ponsel dalam keadaan tak terenkripsi. Contoh lainnya, aplikasi Pada bagian ini akan dijelaskan konfigurasi lab yang tidak menggunakan jalur terenkripsi saat yang digunakan dalam melakukan pengujian. Lab melakukan otentikasi atau mengirim informasi pengujian dapat dilakukan langsung dari sensitif. perangkat mobile atau bisa juga menggunakan emulator. Berikut detail kedua konfigurasi lab tersebut: 1/10
  • 2. 3.1 Langsung dari Device Usai SDK Android siap, dapat dipilih versi Android mana yang emulatornya ingin disiapkan. Berikut ini adalah daftar kebutuhan untuk Silakan pilih sesuai kebutuhan. Emulator pada konfigurasi lab pengujian langsung dari device: Android disebut dengan Android Virtual Device • Mobile device (MD) (AVD). Versi terakhir emulator Android terbaru saat paper ini ditulis adalah Android 4.03 dengan • Kabel data API Level 15. • Access point (AP) • Hub • Kabel LAN • Komputer (PC) Untuk akses langsung ke device dari komputer digunakan kabel data. PC --- kabel data --- MD Gambar 1: Skema Akses Langsung Access point, Hub dan kabel LAN diperlukan untuk pengujian pada sisi keamanan jaringan. Berikut ini adalah diagram skema topologi pengujian keamanan jaringan aplikasi. Internet --- Hub --- AP – MD | Komputer Gambar 2: Skema Jaringan Gambar 3: Android Virtual Device 3.2 Menggunakan Emulator 4 Pengujian Dinamis Apabila tidak memiliki mobile device bukan 4.1 Aplikasi Wordpress berarti tidak bisa melakukan pengujian. Pengujian aplikasi mobile dapat memanfaatkan emulator Wordpress merupakan aplikasi F/OSS Content yang ada. Management System (CMS) blog. Selain dikembangkan aplikasi blog engine Wordpress itu Platform mobile pada paper ini dibatasi pada sendiri, dikembangkan juga aplikasi Wordpress Android. Pada paper ini tidak akan dijelaskan untuk Android. Aplikasi Wordpress untuk bagaimana menyiapkan: instalasi & konfiguras Android ini merupakan aplikasi klien yang SDK Android. Untuk petunjuk bagaimana digunakan untuk mengakses blog Wordpress. menyiapkan SDK Android dapat dilihat pada situs pengembang Android. Pada lab pengujian ini, diinstall aplikasi Wordpress pada server, dan aplikasi Wordpress untuk Android pada ponsel Android. Skema 2/10
  • 3. jaringan mengikuti Gambar 3 hanya saja tidak perlu tersambung ke Internet karena aplikasi Berdasarkan Gambar 4, dapat terlihat bahwa IP Wordpress terinstall pada server sendiri (self mobile device yang digunakan adalah hosted Wordpress blog). Alasan menggunakan 192.168.2.170. Hal ini penting untuk diketahui self hosted Wordpress blog adalah agar analisis dalam melakukan analisis lebih dalam dan dapat dilakukan lebih mendalam dan detail menyusun formula filter packet pada Wireshark sekaligus lebih sederhana karena tidak yang digunakan sebagai tool untuk menganalisis memerlukan akses Internet. packet capture. Berikut detail versi aplikasi yang digunakan: • Wordpress: 3.3.1 Lalu kotak merah pada Gambar 4 yang kedua menunjukkan request POST yang dilakukan oleh • Wordpress untuk Android: 2.0.7 aplikasi Wordpress untuk Android. Request ini menarik untuk ditelusuri lebih lanjut. Untuk itu 4.1.1 Analisis Network Traffic dilakukan follow TCP stream pada paket ini. Pertama akan dilakukan analisis network traffic. Tujuan dari aktivitas ini adalah mencari informasi sensitif yang tidak dienkripsi. Aplikasi Wordpress untuk Android akan digunakan untuk mengakses self-hosted Wordpress blog dan melakukan aktivitas sebagai berikut: • Akses sebagai publik (tanpa otentikasi) • Melakukan otentikasi, masuk sebagai authorized user. • Menulis tulisan baru Gambar 5: String Username & Password • Akses menu konfigurasi Wordpress • Mengubah password Dari hasil analisis paket terlihat saat user akan menulis tulisan baru, username dan password Semua aktivitas ini akan dianalisis dari hasil dikirimkan dalam bentuk string tanpa melalui packet capture-nya. Berikut ini merupakan hasil kanal terenkripsi. analisis berkas pcapnya. Hasil penelusuran lebih lanjut menunjukkan bahwa username dan password selalu disertakan dalam setiap request aplikasi saat akan mengakses server. Gambar 4: Berkas Packet Capture Wordpress untuk Android Gambar 6: Ubah Password 3/10
  • 4. 4.1.2 Debug Aplikasi Saat password user Wordpress diubah bukan Untuk debug aplikasi, lab yang akan digunakan melalui aplikasi Android, maka aplikasi Android adalah dengan menggunakan emulator. tidak lagi bisa mengakses blog. Hal ini dilakukan untuk mengetahui bagaimana aplikasi Jalankan emulator, lalu gunakan Android Debug menyimpan password. Bridge (adb). $ adb devices List of devices attached emulator-5554 device Jika muncul device emulator, maka emulator sukses terdeteksi. Aktivitas selanjutnya akan memanfaatkan utiliti dari adb $ adb shell # Tanda # menunjukkan akses root. Selanjutnya cari informasi sensitif yang dapat diakses. Gambar 7: Login Usai Password Diganti Informasi sensitif dapat dicari di database. Android menggunakan sqlite3 sebagai database. Ternyata aplikasi menyimpan password pada Pertama, perlu dicari di direktori mana database semacam berkas konfigurasi. Jadi, perlu aplikasi disimpan. dilakukan konfigurasi ulang pada aplikasi dengan mengubah nilai password untuk bisa kembali Hasil penelusuran menghasilkan database login. Wordpress untuk Android disimpan di direktori data/data/org.wordpress.android/d Dari keseluruhan pengujian, terlihat bahwa desain atabases aplikasi wordpress untuk Android tidak aman. Username dan password dikirim dalam bentuk Masuk ke direktori tersebut dan lihat daftar string dalam setiap request melalui kanal tak berkas yang ada di dalamnya terenkripsi. Cara sederhana meningkatkan keamanan aplikasi # ls Wordpress untuk Android dapat dilakukan dengan menggunakan kanal terenkripsi.Pengguna webviewCache.db Android hanya bisa mengakses self-hosted webview.db Wordpress blog menggunakan protokol HTTPS. Selanjutnya perlu dipikirkan desain aplikasi yang wordpress lebih baik yang tidak harus selalu mengirimkan username dan password dalam setiap requestnya. Gunakan utility sqlite3 untuk mengakses Persisnya pada bagian mekanisme otentikasi database. Berdasarkan hasil penelusuran, ternyata aplikasi. informasi blog tersimpan di database wordpress 4/10
  • 5. Jalankan kali pertama # sqlite3 wordpress • Log in SQLite version 3.6.22 • Twit Enter ".help" for instructions Berikut ini adalah hasil analisis network traffic Enter SQL statements terminated aplikasi Twitter untuk Android. with a ";" Analisis pertama kali adalah memfilter paket sqlite> capture dengan filter “http contains twitter”. Dari paket pertama hasil fiter tersebut, terlihat paket capture saat proses Lalu jalankan perintah dump. instalasi dari Google Play. Dari hasil penelusuran tidak ditemukan informasi sensitif pada paket ini. Gambar 8: Hasil Perintah Dump Gambar 9: Akses Twitter di Google Play/Market Terlihat bahwa aplikasi Wordpress untuk Android Selanjutnya, penelusuran dilanjutkan pada paket menyimpan username & password dalam berikutnya masih dengan filter yang sama. Hasil database dengan keadaan plain text. Hal ini TCP Stream menunjukkan response yang menunjukkan aplikasi Wordpress untuk Android mengandung kata MANIFEST. Untuk tidak aman. menemukan paket lain yang mengandung kata MANIFEST, dapat dilakukan dengan mengubah 4.2 Aplikasi Twitter filter menjadi “http contains MANIFEST”. Perlu diingat filter ini merupakan case sensitive. Berdasarkan informasi dari situs pengembang twitter, twitter dikembangkan dengan memanfaatkan perangkat lunak open source. Begitupun dengan aplikasi Twitter untuk Android. Namun biarpun menggunakan perangkat lunak open source, bukan berarti kode sumber aplikasi Twitter untuk Android dibuka. 4.2.1 Analisis Network Traffic Analisis network traffic aplikasi Twitter untuk Android menggunakan skema jaringan Gambar 2. Aktivitas yang dilakukan adalah sebagai berikut: Gambar 10: Response MANIFEST. • Install aplikasi Twitter untuk Android dari Google Play 5/10
  • 6. Analisis dari paket ini adalah paket ini merupakanfollow. Percobaan untuk melakukan re-assemble response dari request paket aplikasi Twitter untuk terhadap berkas gambar, masih gagal dilakukan. Android. Isi MANIFEST tidak bisa terbaca karena tidak berada dalam format clear text. Usaha mencari string sensitif (username & Skenario selanjutnya adalah melakukan password) tidak ditemukan karena jalur reassemble paket untuk bisa mendapatkan komunikasi yang digunakan terenkripsi begitupun berkas .apk dari aplikasi. isi dari paket tersebut. Bahkan isi twit-pun tidak bisa didapatkan. Gambar 11: Reassemble Paket Dari hasil reassemble, didapatkan berkas apk berukuran 2.3 MB Gambar 13: Penggunaan Protokol TLSv1 $ ls -l 2364191 2012-04-23 17:52 4.2.2 Debug Aplikasi twitter.apk Debug aplikasi Twitter untuk Android menggunakan konfigurasi lab dengan emulator. Karena pada emulator tidak terdapat akses ke Analisis berkas apk lebih lanjut akan dibahas Google Play/Market maka aplikasi twitter akan pada bagian Analisis Statis. Sekarang kembali langsung diinstall dari berkas apk tanpa akses ke melakukan analisis network traffic. Google Play/Market. Instalasi dilakukan menggunakan tool apk $ adb -s emulator-5554 install twitter.apk 1435 KB/s (2364191 bytes in 1.608s) pkg: /data/local/tmp/twitter.apk Success Gambar 12: Twitter Get Image Hasil analisis berikutnya, didapatkan request image avatar dari pengguna twitter yang di- 6/10
  • 7. Gambar 15: Dump Global.db Twitter Dari hasil dump database global.db tidak didapatkan informasi sensitif. Yang bisa dibaca hanya username namun tidak tersedia informasi password. Gambar 14: Twitter pada Emulator Selanjutnya dicoba dump database lainnya. Selanjutnya, masih menggunakan tool adb, akan dicoba mencari informasi sensitif yang tersimpan di dalam device (emulator). Masuk ke direktori database twitter yang berada di data/data/com.twitter.android/dat abases List berkas yang ada di direktori tersebut: # ls Gambar 16: Dump 15016157.db Twitter 15016157.db 0.db Hasil dump database lainnya juga tidak global.db menemukan username & password dalam keadaan plaintext. Yang dapat ditemukan hanya direct message di twitter pada database Akses database menggunakan sqlite3. Pertama 15016157.db akan didump database global 5 Analisis Statis Analisis statis pada prinsipnya adalah melakukan code review. Seorang code reviewer harus mengetahui prinsip dan implementasi dari secure coding. Selain itu, seorang code reviewer juga harus tahu bagaimana menerapkan konfigurasi dengan least privilege. 7/10
  • 8. 5.1 Aplikasi Wordpress • Kamera Berdasarkan hasil analisis dinamis, dicoba dicari • Menulis pada eksternal storage bagian dari source code yang menangani • Lokasi otentikasi, dan bagaimana mekanisme menyimpan password. Karena aplikasi Wordpress Privilege ini memang dibutuhkan oleh aplikasi. untuk Android adalah aplikasi dengan kode Misalnya: Internet untuk mengakses arsip tulisan, sumber terbuka, jadi tidak diperlukan melakukan menulis tulisan baru, membaca komentar; reverse engineering. Reverse engineering Kamera untuk mengambil gambar; Menulis pada sederhananya adalah kegiatan membalikkan dari eksternal storage untuk menyimpan file hasil binary aplikasi ke source code. kamera; dan Lokasi untuk fitur posting with geo- location. Jadi aplikasi Wordpress untuk Android Berikut ini adalah hasil penelusuran kode sumber sudah menerapkan konsep least privilege. aplikasi Wordpress untuk Android. Pertama lakukan pencarian string dengan kata kunci “password”. Tool yang digunakan adalah ack- 5.2 Aplikasi Twitter grep yang mampu mencari string dalam satu Karena aplikasi Twitter untuk Android tidak open direktori. source maka pertama-tama perlu dilakukan reverse engineering. Reverse engineering aplikasi Android dapat dilakukan dengan mengacu pada artikel yang ditulis oleh Jack Maninno. Ekstrak aplikasi twitter.apk $ unzip twitter.apk Didapatkan berkas sebagai berikut: $ ls AndroidManifest.xml assets classes.dex META-INF org res Gambar 17: Kata Password dalam Kode Sumber resources.arsc Dari hasil pencarian menggunakan ack-grep dapat terlihat, password yang digunakan adalah httppassword. Dengan kode sumber aplikasi ini maka dapat terlihat bahwa memang aplikasi mengirimkan password dalam keadaan plain-text melalui protokol http. Lalu periksa berkas AndroidManifest.xml Berkas AndroidManifest.xml adalah berkas yang memuat informasi mendasar aplikasi. Perhatikan permission yang dimiliki aplikasi. Apakah permission tersebut benar-benar dibutuhkan aplikasi (ingat kembali konsep keamanan: least Gambar 18: Informasi Twiter dari Legal.html privilege). Berdasarkan penelusuran, permission yang Dari berkas legal.html yang terdapat dalam dimiliki oleh aplikasi Wordpress untuk Android direktori assets diketahui aplikasi Twitter untuk adalah: Android dikembangkan menggunakan komponen berikut: • Internet 8/10
  • 9. Bouncy Castle Crypto AndroidManifest.xml dalam format text. Lakukan analisis terhadap berkas ini. • Google Data Java Client • Jackson Java JSON-processor Core Selanjutnya cari informasi lebih lanjut soal komponen-komponen ini. Apa kegunaanya, bagaimana implementasinya. Berdasarkan informasi dari situs bouncy castle, bouncy castle merupakan API kriptografi. Dalam implementasinya di Android, yang digunakan adalah yang berbahasa JAVA. Jadi, aplikasi Twitter untuk Android menggunakan bouncy castle sebagai API kriptografi. Gambar 19: Berkas AndroidManifest.xml Twitter Google Data Java Client berguna untuk mengirim query Google Data API (GData) dan melakukan interpretasi responnya. Belum diketahui apa Terlihat permission yang dimiliki aplikasi. kegunaan library ini pada aplikasi Twitter untuk Berbeda dengan aplikasi Wordpress untuk Android. Android, aplikasi Twitter untuk Android tidak memiliki privilege untuk akses hardware kamera. Jackson Java JSON-processor Core merupakan Jadi pengguna tidak bisa mengakses kamera high-performance JSON processor. Aplikasi langsung dari aplikasi Twitter untuk Android. Twitter untuk Android menggunakan library ini untuk memproses JSON. 6 Ringkasan Selanjutnya, lakukan analisis terhadap berkas AndroidManifest.xml. Berkas Berikut ini adalah beberapa ringkasan yang bisa AndroidManifes.xml berada dalam format biner, dibuat: jadi informasinya tidak bisa terbaca. Untuk itu 1. Pengujian aplikasi mobile dilakukan pada perlu digunakan tool apk-tool sebagai tool untuk level aplikasi, bukan pada level sistem melakukan reverse engineering berkas apk. operasi perangkat mobile $ ./apktool d twitter.apk twitter 2. Pengujian aplikasi mobile dapat dilakukan I: Baksmaling... langsung pada device atau dapat juga I: Loading resource table... menggunakan emulator I: Loaded. 3. Pengujian aplikasi mobile dibedakan menjadi 2: pengujian dinamis, pengujian I: Loading resource table from yang dilakukan saat aplikasi dijalankan; file: dan pengujian statis, pengujian tanpa /home/za/apktool/framework/1.apk menjalankan aplikasi. I: Loaded. 4. Pengujian dinamis berusaha mencari I: Decoding file-resources... informasi sensitif dalam keadaan tidak terenkripsi: baik saat melalui transport I: Decoding values*/* XMLs... layer maupun saat disimpan dalam I: Done. database di perangkat. I: Copying assets and libs... 5. Pengujian statis dasarnya adalah melakukan code review untuk memahami cara kerja aplikasi. Untuk aplikasi yang Sekarang sudah didapatkan berkas tidak bersifat opensource, perlu dilakukan 9/10
  • 10. reverse engineering. penelitian ini lebih lanjut: 1. Analisis dinamis: gunakan proxy untuk 7 Kesimpulan & Saran meng-intercept traffic antara aplikasi dengan server sehingga dapat melakukan Telah dijabarkan metodologi pengujian aplikasi analisis lebih dalam. mobile dengan studi kasus aplikasi Android: Wordpress untuk Android dan Twitter untuk 2. Analisis statis: mempelajari bagaimana Android. mengembangkan aplikasi Android yang aman sehingga dapat melakukan code Berikut ini adalah kesimpulan dari penelitian ini: review lebih baik. 1. Aplikasi Wordpress untuk Android selalu mengirimkan userid dan password dalam setiap request-nya dalam keadaan tidak 8 Referensi terenkripsi. APK-Tool, http://code.google.com/p/android- apktool/ 2. Aplikasi Wordpress untuk Android menyimpan userid dan password pada Jack Maninno, Reversing Android Apps 101, database dalam keadaan tidak terenkripsi. http://jack- mannino.blogspot.com/2010/09/reversing- 3. Aplikasi Twitter untuk Android android-apps-101.html menggunakan transport layer yang terenkripsi saat mengakses server. Userid, Jeff Six, Application Security for the Android password, dan twit dikirim dalam keadaan Platform, O'Reilly terenkripsi. Marko Gargenta, Learning Android, O'Reilly 4. Aplikasi Twitter untuk Android OWASP Mobile Security Project, menyimpan password pada database https://www.owasp.org/index.php/OWASP_Mobi dalam keadaan terenkripsi. Pesan le_Security_Project langsung (direct message) masih dapat dibaca karena tersimpan dalam format Situs Pengembang Android, clear text. http://developer.android.com Berikut ini adalah saran untuk mengembangkan Situs Pengembang Twitter, https://dev.twitter.com 10/10