Alat baru mendeteksi praktik keamanan yang tidak aman di aplikasi Android
Keamanan

Alat baru mendeteksi praktik keamanan yang tidak aman di aplikasi Android


Bagaimana Crylogger bekerja: 1. CRYLOGGER menjalankan aplikasi dengan pustaka crypto berinstrumen. CRYLOGGER mengumpulkan log yang berisi parameter panggilan API kripto. 3. CRYLOGGER memeriksa aturan crypto dan melaporkan semua pelanggaran. Kredit: Luca Piccolboni / Columbia Engineering

Ilmuwan komputer di Columbia Engineering untuk pertama kalinya telah menunjukkan bahwa adalah mungkin untuk menganalisis bagaimana ribuan aplikasi Android menggunakan kriptografi tanpa perlu memiliki kode aplikasi yang sebenarnya. Alat baru tim, CRYLOGGER, dapat mengetahui saat aplikasi Android menggunakan kriptografi secara tidak benar — alat ini mendeteksi apa yang disebut ‘penyalahgunaan kriptografi’ di aplikasi Android. Saat diberi daftar aturan yang harus diikuti untuk kriptografi aman — pedoman yang dikembangkan oleh ahli kriptograf dan organisasi seperti NIST dan IETF yang menentukan standar keamanan untuk melindungi data sensitif — CRYLOGGER mendeteksi pelanggaran aturan ini.

Aplikasi Android menggunakan algoritme kriptografi untuk mengamankan data pengguna, seperti nomor kartu kredit, sandi, nomor jaminan sosial, dll. Jika digunakan dengan benar, kriptografi melindungi data sensitif dengan membuatnya tidak dapat dipahami. Setiap algoritma kriptografi sesuai untuk skenario tertentu dan membutuhkan konfigurasi parameter tertentu. Pengembang aplikasi dan perpustakaan, bagaimanapun, dapat menyalahgunakan antarmuka pemrograman aplikasi (API) dari algoritma tersebut dengan menggunakan kunci konstan, kata sandi yang lemah, atau dengan salah mengonfigurasi parameter tertentu lainnya.

“Memilih algoritme yang benar dan mengonfigurasi parameternya sangat penting untuk menjaga keamanan data pengguna, tetapi memerlukan pemahaman tentang kriptografi,” kata penulis utama studi tersebut Luca Piccolboni, Ph.D. mahasiswa yang dibimbing oleh Luca Carloni, profesor ilmu komputer. “Pilihan algoritme yang salah dan / atau kesalahan konfigurasi parameternya dapat mengakibatkan pelanggaran data.”

CRYLOGGER adalah alat pertama yang mendeteksi penyalahgunaan kriptografi dengan menjalankan aplikasi alih-alih menganalisis kodenya. Pendekatan baru ini dijelaskan dalam makalah yang akan dipresentasikan pada 23-27 Mei di IEEE Symposium on Security and Privacy 2021. Selain Piccolboni dan Carloni, makalah ini ditulis oleh Giuseppe Di Guglielmo, ilmuwan peneliti asosiasi di departemen ilmu komputer, dan Simha Sethumadhavan, profesor ilmu komputer dan pakar keamanan siber.

Pengantar Singkat CRYLOGGER, alat sumber terbuka baru yang dikembangkan oleh ilmuwan komputer Columbia Engineering yang mendeteksi praktik keamanan tidak aman di aplikasi Android. Kredit: Luca Piccolboni / Columbia Engineering

CRYLOGGER, yang merupakan open source, memiliki beberapa keunggulan utama:

  • Ia dapat menganalisis aplikasi sumber tertutup, dan tidak perlu mengubah kode aplikasi atau binernya.
  • Ini menganalisis parameter aktual yang digunakan oleh aplikasi alih-alih melakukan analisis pada kode sumbernya dan hanya berfokus pada kode yang benar-benar dijalankan.
  • Itu dapat melakukan analisis antar-aplikasi: dapat mendeteksi ketika dua aplikasi berkomunikasi dengan cara yang tidak aman atau ketika data dibagikan ke beberapa aplikasi padahal seharusnya tidak.

Para peneliti menjalankan 1.780 aplikasi Android populer yang diunduh dari Google Play Store resmi — studi kasus terbesar tentang penyalahgunaan kriptografi yang tidak didasarkan pada analisis kode — dan menemukan bahwa hampir semua aplikasi berisi kode atau pustaka bekas yang tidak secara ketat mematuhi standar keamanan. Banyak dari mereka menggunakan algoritme yang rusak dan yang lainnya mengadopsi praktik kriptografi yang tidak aman untuk melindungi data pengguna.

Setiap pelanggaran tidak selalu berarti bahwa serangan mungkin terjadi. Pelanggaran aturan harus diperlakukan sebagai peringatan untuk diselidiki lebih lanjut. Beberapa pelanggaran dapat menjadi peringatan palsu karena sangat sulit untuk membedakan secara tepat dalam semua situasi. Para peneliti menghubungi lebih dari 300 pengembang untuk konfirmasi, tetapi hanya 10 yang memberikan umpan balik yang berguna.

Pratinjau Singkat presentasi Mei 2021, menjelaskan bagaimana CRYLOGGER mendeteksi penyalahgunaan crypto secara dinamis. CRYLOGGER adalah alat sumber terbuka baru yang dikembangkan oleh ilmuwan komputer Columbia Engineering yang mendeteksi praktik keamanan yang tidak aman di aplikasi Android. Kredit: Luca Piccolboni / Columbia Engineering

“Banyak pengembang tidak menganggap serangan seperti eskalasi hak istimewa dan serangan saluran samping mungkin terjadi pada ponsel, sehingga mereka menyimpan data secara lokal tanpa perlindungan yang memadai,” kata Sethumadhavan.

Tim juga menganalisis secara manual kode 28 aplikasi Android dan menemukan bahwa beberapa pelanggaran yang dilaporkan oleh CRYLOGGER berpotensi dapat dieksploitasi. Mereka melihat dua aplikasi penting CRYLOGGER. Pengembang dapat menggunakannya untuk menemukan penyalahgunaan kriptografi di aplikasi mereka serta di perpustakaan pihak ketiga yang mereka gunakan. Toko aplikasi, seperti Google Play Store, dapat menggunakan CRYLOGGER untuk menyaring aplikasi yang dikirimkan untuk memastikan aplikasi tersebut memenuhi standar keamanan dan aman untuk diunduh pengguna akhir. Google sudah menggunakan teknologi penyaringan serupa untuk menyingkirkan aplikasi yang tidak aman atau scam dan ini dapat diperluas untuk mempertimbangkan penyalahgunaan kriptografi.

Para peneliti sedang bekerja untuk meningkatkan akurasi CRYLOGGER dengan mendefinisikan teknik yang selanjutnya akan mengurangi jumlah alarm palsu. Mereka juga menggunakan CRYLOGGER untuk melakukan analisis antar-aplikasi sehingga dapat menganalisis bagaimana aplikasi bertukar data dan menentukan apakah data sensitif disimpan dengan aman. Selain itu, mereka menempatkan pemeriksaan aturan untuk penyalahgunaan kriptografi ke dalam perangkat keras, daripada perangkat lunak, untuk memaksa aplikasi menggunakan praktik yang aman dalam konteks kritis.

“Sementara kami terus berupaya meningkatkan akurasi CRYLOGGER, pendekatan kami dapat digunakan oleh toko aplikasi untuk mempromosikan praktik keamanan yang lebih baik,” tambah Carloni. “Dan kami yakin bahwa teknik CRYLOGGER dalam menganalisis ribuan aplikasi Android dengan menjalankannya dan mengumpulkan informasi yang nantinya dapat dianalisis secara offline juga dapat digunakan di domain keamanan lainnya.”

Penelitian tersebut berjudul “CRYLOGGER: Mendeteksi Penyalahgunaan Crypto Secara Dinamis”.


Anda dapat melakukan lebih banyak hal dengan suara Anda: Ucapkan, ‘Hai Google’ di Android untuk memerintah aplikasi pihak ketiga


Informasi lebih lanjut:
“CRYLOGGER: Mendeteksi Penyalahgunaan Crypto Secara Dinamis.” DOI: 10.1109 / SP40001.2021.00010, www.computer.org/csdl/proceedi… 3400a160 / 1mbmHwIxTb2

Disediakan oleh Fakultas Teknik dan Sains Terapan Universitas Columbia

Kutipan: Alat baru mendeteksi praktik keamanan yang tidak aman di aplikasi Android (2020, 9 November), diambil 27 November 2020 dari https://techxplore.com/news/2020-11-tool-unsafe-android-apps.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : SGP Prize