Waduh! Ratusan Aplikasi Populer di Play Store Langgar Aturan Kriptografi Dasar
Cyberthreat.id – Peneliti menemukan sekitar 306 aplikasi di Google Play Store tak memenuhi aturan kriptografi dasar.
Tim peneliti Universitas Columbia, New York, AS itu terdiri atas Luca Piccolboni, Giuseppe Di Guglielmo, Luca P. Carloni, dan Simha Sethumadhavan.
Mereka menganalisis aplikasi-aplikasi dengan alat khusus yang dikembangkan sendiri: CRYLOGGER, demikian seperti dikutip dari ThreatPost, diakses Selasa (15 September 2020).
Alat itu mengecek seberapa jauh aplikasi-aplikasi populer di Google Play Store memenuhi pengamanan menurut “26 Aturan Kriptografi Dasar”
Aturan tersebut mencakup apakah apalikasi menghindari pemakaian: fungsih hash rusak, sandi buruk, sandi berulang, koneksi URL HTTP, atau kunci enkripsi yang buruk, dan lain-lain.
CRYLOGGER menganalisis 1.780 aplikasi populer dari 33 kategori. Dari analisis itu, tim peneliti menemukan bahwa ratusan aplikasi—telah diunduh hingga ratusan juta—ternyata melanggar setidaknya satu atau beberapa dari aturan kriptografi dasar.
“Riset ini menyoroti betapa mudahnya aplikasi seluler populer melanggar aturan keamanan dasar,” kata peneliti.
“Meski aturan yang dipakai tim peneliti untuk menganalisis aplikasi ialah umum bagi pengembang yang berspesialisasi dalam kriptografi, pembuat aplikasi seluler belum tentu ahli di bidang ini dan karenanya dapat membuat kesalahan yang sangat mendasar,” tulis ThreatPost.
Pengujian aplikasi itu dilakukan selama 10 hari untuk dijalankan pada emulator yang menjalankan Android 9.0.0r36.
Tiga aturan kriptografi umum yang paling banyak dilanggar oleh aplikasi, yaitu jangan gunakan pseudo random bit generator (PRNG) yang tak aman, atau pembuat nomor pseudorandom; jangan gunakan fungsi hash yang rusak; dan jangan gunakan mode operasi chiper block chaining (CBC).
Peneliti menghubungi pengembang dari semua 306 aplikasi, tapi hanya 18 pengembang yang menanggapi email pertama dan hanya delapan yang menanggapi dengan menyatakan bahwa temuan itu sebagai "umpan balik yang berguna" bagi pengembang. Tim juga menghubungi enam pengembang pustaka Android, dua di antaranya merespons.
CRYLOGGER dimaksudkan sebagai pendamping sumber terbuka dan dinamis untuk CryptoGuard, alat sumber terbuka lain yang tersedia di GitHub yang oleh para peneliti dianggap sebagai "salah satu alat statis paling efektif untuk mendeteksi penyalahgunaan kripto."
“Kami berharap pengembang aplikasi akan mengadopsinya untuk memeriksa aplikasi mereka serta perpustakaan pihak ketiga yang mereka gunakan,” tulis peneliti.[]
Redaktur: Andi Nugroho