IDSECCONF 2012 - Mobile Application Testing

Transcript

1. Pengujian Keamanan Aplikasi Mobile Studi Kasus: Android Zaki Akhmad indocisc

   10 Juni 2012 Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 1 / 26

2. Tentang Zaki Akhmad Surel [email protected] Kunci Publik 0xFD57BE80 di pgp.mit.edu

   Twitter @zakiakhmad indocisc Analis, 2007 - sekarang Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 2 / 26

3. If you fail a penetration test you know you have

   a very bad problem indeed. If you pass a penetration test you do not know that you don’t have a very bad problem (Gary McGraw) Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 3 / 26

4. Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012

   4 / 26

5. Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012

   4 / 26

6. Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012

   4 / 26

7. Daftar Isi Daftar Isi 1 Pengantar Konfigurasi Lab 2 Teori

   Pengujian Pengujian Dinamis Pengujian Statis 3 Hasil Pengujian Wordpress Dinamis Statis Twitter Dinamis Statis 4 Penutup Kesimpulan dan Saran 5 Referensi Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 5 / 26

8. Pengantar Pengantar Ponsel Pintar Hanya Sepintar Penggunanya 1 Penggunaan di

   tempat umum 2 Risiko hilang, siap? 3 Aplikasi 1 Kecenderungan membuat password yang sama 2 Tidak tahu apakah menggunakan kanal terenkripsi/tidak Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 6 / 26

9. Pengantar Konfigurasi Lab Konfigurasi Lab Langsung dari Device komputer ->

   kabel data - > ponsel Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 7 / 26

10. Pengantar Konfigurasi Lab Konfigurasi Lab Menggunakan Hub ponsel -> hub

    - > Komputer:Internet Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 8 / 26

11. Pengantar Konfigurasi Lab Konfigurasi Lab Menggunakan Emulator Zaki Akhmad (indocisc)

    Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 9 / 26

12. Teori Pengujian Dinamis vs Statis Zaki Akhmad (indocisc) Pengujian Keamanan

    Aplikasi Mobile 10 Juni 2012 10 / 26

13. Teori Pengujian Pengujian Dinamis Pengujian Dinamis Pengujian dinamis adalah pengujian

    yang dilakukan dengan menjalankan aplikasi 1 Analisis network traffic 2 Analisis remote services (HTTP/SOAP/dll) 3 Debug aplikasi Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 11 / 26

14. Teori Pengujian Pengujian Statis Pengujian Statis Pengujian statis adalah pengujian

    yang dilakukan tanpa menjalankan aplikasi 1 Dapatkan aplikasi 1 Ekstrak aplikasi dari device 2 Dapatkan berkas installer dari pengembang 2 Lakukan reverse engineering 3 Lakukan source code review Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 12 / 26

15. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Analisis Network Traffic

    Aktivitas yang dilakukan: Akses sebagai publik (tanpa otentikasi) Melakukan otentikasi, masuk sebagai authorized user Menulis tulisan baru Akses menu Wordpress Mengubah password Debug Aplikasi Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 13 / 26

16. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 14 / 26

17. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 14 / 26

18. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 14 / 26

19. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 14 / 26

20. Hasil Pengujian Wordpress Pengujian Dinamis Aplikasi Wordpress Debug Aplikasi Mencari

    informasi sensitif yang tersimpan dalam device 1 List device menggunakan adb 2 Masuk ke shell 3 Cari direktori database aplikasi 4 Gunakan perintah dump untuk melihat isi database Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 15 / 26

21. Hasil Pengujian Wordpress Pengujian Statis Aplikasi Wordpress Mencari kata password

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 16 / 26

22. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Aktivitas yang dilakukan: Install aplikasi Twitter untuk Android dari Google Play Jalankan kali pertama Login Twit Debug Aplikasi Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 17 / 26

23. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 18 / 26

24. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 18 / 26

25. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 18 / 26

26. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 18 / 26

27. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Analisis Network Traffic

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 18 / 26

28. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Debug Aplikasi Mencari

    informasi sensitif yang tersimpan dalam device 1 Dapatkan file .apk Twitter untuk Android 2 Install aplikasi pada emulator 3 Cari direktori database 4 Dump database Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 19 / 26

29. Hasil Pengujian Twitter Pengujian Dinamis Aplikasi Twitter Dump database twitter

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 20 / 26

30. Hasil Pengujian Twitter Pengujian Statis Aplikasi Twitter Lakukan reverse engineering

    1 unzip twitter.apk 2 Gunakan apk tool untuk mendapatkan berkas AndroidManifest.xml dalam format plain text. 3 Analisis berkas AndroidManifest.xml Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 21 / 26

31. Hasil Pengujian Twitter Pengujian Statis Aplikasi Twitter Berkas AndroidManifest.xml Twitter

    Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 22 / 26

32. Penutup Kesimpulan dan Saran Kesimpulan Kesimpulan 1 Wordpress untuk Android

    1 Setiap melakukan request, UserID dan Password dikirim dalam keadaan clear text. 2 UserID dan password tersimpan dalam database dalam format clear text. 2 Twitter untuk Android 1 Menggunakan transport layer terenkripsi saat mengakses server 2 UserID dan password tersimpan dalam keadaan terenkripsi 3 Direct message tersimpan dalam format clear text Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 23 / 26

33. Penutup Kesimpulan dan Saran Saran Saran 1 Pada pengujian dinamis,

    lakukan intercept traffic antara aplikasi dengan server menggunakan proxy sehingga dapat dilakukan analisis lebih mendalam 2 Pada pengujian statis, pelajari lebih detail bagaimana mengembangkan aplikasi Android (atau aplikasi mobile pada umumnya) sehingga dapat melakukan code review lebih baik Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 24 / 26

34. Referensi Referensi APK-Tool Jack Maninno, Reversing Android Apps 101 Jeff

    Six, Application Security for the Android Platform, O’Reilly OWASP Mobile Security Project Situs Pengembang Android Situs Pengembang Twitter Situs Pengembang Wordpress Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 25 / 26

35. Referensi Terima Kasih kurru sumanga thank you, arigatou, danke, merci

    beaucoup foto-foto flickr.com/zakiakhmad Zaki Akhmad (indocisc) Pengujian Keamanan Aplikasi Mobile 10 Juni 2012 26 / 26