Sebuah tim akademisi dari Columbia University telah mengembangkan alat khusus untuk menganalisis aplikasi Android secara dinamis dan melihat apakah mereka menggunakan kode kriptografi dengan benar atau tidak.
Dinamakan CRYLOGGER, alat ini digunakan untuk menguji 1.780 aplikasi Android, termasuk aplikasi paling populer di 33 kategori Play Store yang berbeda.
Peneliti mengatakan bahwa alat tersebut, yang memeriksa 26 aturan kriptografi dasar (lihat pada tabel di bawah), berhasil menemukan kerentanan di 306 aplikasi Android populer.
Tiga aturan teratas yang banyak dilanggar adalah:
- Aturan #18 – 1.775 aplikasi – Jangan gunakan PRNG yang tidak aman (pembuat nomor pseudorandom)
- Aturan #1 – 1.764 aplikasi – Jangan gunakan fungsi hash yang rusak (SHA1, MD2, MD5, dll.)
- Aturan #4 – 1.076 aplikasi – Jangan gunakan mode operasi CBC (skenario klien/server)
Ini adalah aturan dasar yang dipahami dengan baik oleh setiap kriptografer, tetapi aturan yang mungkin tidak disadari oleh beberapa pengembang aplikasi tanpa mempelajari keamanan aplikasi (AppSec) atau kriptografi lanjutan sebelum memasuki tahap pengembangan aplikasi.
Tim akademisi Columbia University mengatakan bahwa setelah mereka menguji aplikasi, mereka juga menghubungi semua pengembang dari 306 aplikasi Android yang ditemukan rentan.
“Semua aplikasinya populer: diunduh dari ratusan ribu hingga lebih dari 100 juta,” kata tim peneliti. “Sayangnya, hanya 18 pengembang yang menjawab email permintaan pertama kami dan hanya 8 dari mereka yang mengikuti kami beberapa kali dan memberikan masukan yang berguna tentang temuan kami.”
Para peneliti mengatakan mereka juga menghubungi pengembang 6Â library Android populer terdampak, tetapi seperti sebelumnya, mereka hanya menerima jawaban dari 2 di antaranya.
Karena tidak ada pengembang yang memperbaiki aplikasi dan library mereka, para peneliti menahan diri tidak menerbitkan nama aplikasi dan library yang rentan untuk menghindari kemungkinan upaya eksploitasi terhadap pengguna aplikasi.
Baca Juga: “Malware Android Baru BlackRock Bisa Mencuri Password dan Data Kartu Pembayaran“
Secara keseluruhan, tim peneliti yakin mereka telah membangun alat canggih yang dapat digunakan dengan andal oleh pengembang Android sebagai utilitas pelengkap CryptoGuard.
Kedua alat tersebut saling melengkapi karena CryptoGuard adalah penganalisis statis (menganalisis kode sumber sebelum dijalankan), sedangkan CRYLOGGER adalah alat analisis dinamis (menganalisis kode saat sedang dijalankan). Karena keduanya bekerja pada level yang berbeda, akademisi percaya bahwa keduanya dapat digunakan untuk mendeteksi kerentanan terkait kriptografi di aplikasi Android.
Sama seperti CryptoGuard, kode CRYLOGGER juga tersedia di GitHub.
Detail tambahan tentang penelitian ini tersedia dalam makalah bernama “CRYLOGGER: Detecting Crypto Misuses Dynamically,“ yang akan dipresentasikan pada IEEE Symposium on Security and Privacy, tahun depan, pada Mei 2021.
