Inionline.id – Tim peneliti dari Columbia University beberapa waktu yang lalu berhasil mengembangkan sebuah tool untuk melihat apakah sebuah aplikasi menggunakan kriptografi yang rentan.
Tool bernama Crylogger ini telah dipakai untuk menguji 1.780 aplikasi populer Android di 33 kategori, pada September dan Oktober 2019.
Para peneliti menyebut, tool ini mengecek 26 aturan kriptografi dan menemukan bug di 306 aplikasi Android. Sejumlah aplikasi telah melanggar satu aturan dan beberapa aplikasi lain melanggar lebih dari satu aturan kriptografi.
Adapun aturan yang paling banyak dilanggar adalah larangan menggunakan PRNG yang tidak aman (1.775 aplikasi), larangan penggunaan fungsi hash yang rusak (1.764 aplikasi), dan larangan penggunaan mode operasi CBC (1.076 aplikasi).
Aturan-aturan di atas merupakan aturan standar, sayangnya para pengembang aplikasi tidak menyadari bahwa pelanggaran tersebut bisa memicu bahaya.
Mengutip ZDnet via Tekno Liputan6.com, peneliti Columbia University menyebut, setelah mereka melakukan pengujian aplikasi, mereka juga menghubungi 306 pengembang Android yang aplikasinya dianggap rentan.
Hanya 18 Pengembang yang Beri Jawaban
“Seluruh aplikasi cukup populer, dengan jumlah unduhan mulai dari ratusan ribu hingga lebih dari 100 juta. Sayangnya hanya 18 pengembang yang menjawab email kami dan hanya 8 yang terus memberi umpan balik atas temuan kami,” kata salah satu peneliti dari Columbia University.
Beberapa bugs kripto ada di kode aplikasi, sebagian bug lagi termasuk sebagai bagian dari library Java yang dipakai pada aplikasi.
Para peneliti menyebut, mereka juga telah menghubungi 6 pengembang library aplikasi Android terkemuka, namun hanya mendapatkan jawaban dari 2 di antaranya.
Karena tidak ada pengembang yang memperbaiki aplikasi dan library mereka, peneliti menahan diri untuk tidak menerbitkan nama aplikasi dan library yang dianggap rentan. Hal ini dilakukan untuk menghindari eksploitasi atas aplikasi.
Bisa Dipercaya Atau Tidak?
Tim peneliti percaya, mereka mengembangkan tool yang bisa dipercaya oleh pengembang Android, sebagai pelengkap CryptoGuard.
Kedua tool tersebut saling melengkapi karena CryptoGuard berfungsi menganalisis source code sebelum dijalankan. Sementara Crylogger adalah alat analisis dinamis yang berfungsi menganalisis kode saat sedang dijalankan.
Karena keduanya bekerja pada level yang berbeda, pada peneliti percaya keduanya bisa digunakan untuk mendeteksi bugs kriptografi di aplikasi Android, sebelum kode dijalankan pada perangkat pengguna.
