Developer Mobile mengalami kesulitan yang sama seperti yang dialami oleh adegan Developer Web pada tahun 90-an dan 2000-an ketika validasi input yang tidak tepat menyebabkan banyak insiden keamanan.
Tetapi ketika Developer Mobile telah belajar untuk menyaring input pengguna untuk string berbahaya, beberapa developer ini belum mengerti betul pelajaran mereka dengan baik.
Logika bisnis di sisi klien… seperti tahun 1999
Dalam sebuah makalah penelitian yang diterbitkan awal tahun ini, Abner Mendoza dan Guofei Gu, dua akademisi dari Texas A&M University, telah menyoroti masalah aplikasi seluler saat ini yang masih menyertakan logika bisnis (seperti validasi input pengguna, otentikasi pengguna, dan otorisasi) di dalam komponen sisi klien dari kode mereka, bukan bagian sisi servernya.
Situasi yang disesalkan ini membuat pengguna aplikasi seluler ini rentan terhadap serangan injeksi parameter permintaan HTTP sederhana yang dapat dengan mudah dikurangi jika logika bisnis aplikasi akan tertanam di dalam komponen sisi servernya, di mana sebagian besar operasi ini berasal.
Tapi sementara meninggalkan logika bisnis di sisi klien mungkin terdengar lebih dari kesalahan desain aplikasi, itu sebenarnya masalah keamanan yang besar. Misalnya, penyerang dapat menganalisis aplikasi seluler (yang ia pasang di perangkatnya) dan menentukan format permintaan web yang dikirim ke server aplikasi seluler setelah input pengguna divalidasi. Penyerang kemudian dapat memodifikasi beberapa parameter permintaan ini untuk melakukan tindakan yang berbahaya.
Jutaan aplikasi berpotensi terpengaruh
Dalam makalah penelitian berjudul “Mobile Application Web API Reconnaissance: Web-to-Mobile Inconsistencies & Vulnerabilities“, Mendoza dan Gu baru-baru ini melihat vektor serangan kuno, namun masih valid.
Loading...
Reload document
Open in new tab Kedua peneliti menciptakan sistem bernama WARDroid yang menganalisis aplikasi seluler secara massal, menentukan format permintaan web mereka, dan mencoba untuk menentukan apakah ini rentan terhadap jenis serangan ini.
Para peneliti mengatakan mereka menguji WARDroid pada satu set 10.000 aplikasi populer acak dari Google Play Store.
“Kami mendeteksi logika yang bermasalah dalam API yang digunakan di lebih dari 4.000 aplikasi, termasuk 1.743 aplikasi yang menggunakan komunikasi HTTP yang tidak terenkripsi,” kata para peneliti.
Tapi karena WARDroid bukan indikator aman yang menyatakan bahwa template komunikasi aplikasi rentan, kedua peneliti juga secara manual menganalisis 1.000 aplikasi acak dari yang ditandai oleh sistem mereka, mengkonfirmasikan bahwa 962 menggunakan API dengan masalah logika validasi. Ekstrapolasi angka-angka ini ke seluruh Google Play Store, kedua akademisi percaya jutaan aplikasi lainnya mungkin rentan.
Masalah ditemukan di aplikasi perbankan dan e-commerce
Misalnya, beberapa aplikasi tempat mereka menemukan logika API yang bermasalah termasuk aplikasi perbankan, di mana mereka mengatakan mereka dapat mengubah detail transaksi.
Demikian pula, mereka juga menemukan kesalahan logika validasi dalam aplikasi kartu hadiah yang memungkinkan mereka memuat akun pengujian dengan uang untuk dibelanjakan di berbagai toko, dan kesalahan logika validasi serupa dalam model komunikasi aplikasi yang dibangun menggunakan SDK Shopify. Kerentanan yang terakhir ini memungkinkan tim riset untuk membeli produk dengan harga negatif, menciptakan diskon di dalam toko-toko ponsel berbasis Shopify.
“Anda tidak pernah ingin mempercayai input klien. Ini adalah pelajaran keras yang seharusnya sudah dipelajari dari pelajaran di platform web dan aplikasi web,” kata Mendoza di panggung sambil mempresentasikan penelitiannya pada Simposium IEEE ke-39 tentang Keamanan dan Privasi, diadakan di San Francisco dua minggu lalu.
“Pekerjaan ini menyoroti bahwa ini terus menjadi masalah – validasi masukan dan hanya menjadi sangat sadar memvalidasi atau menyanitasi input,” kata Mendoza, juga menyoroti bahwa logika bisnis sisi server harus seketat logika validasi sisi klien yang sudah diatur dengan keamanan yang ketat.
