Pentesting Mobile Application untuk iDevices (iOS)

Proses analisis atas mobile apps terutama terkait penilaian keamanan aplikasi mulai berkembang saat ini, walaupun terbilang masih terbatas terutama terkait tools yang tersedia.

Secara umum terdapat 2 jenis metode analisis yaitu secara MANUAL dan menggunakan AUTOMATING app analysis dengan menggunakan tools dari pihak ketiga (third party).

Sejauh ini metode manual menghasilkan output yang terbaik dari sisi detil laporan, walaupun membutuhkan waktu pengerjaan yang relatif lama dan membutuhkan skill set yang mencukupi dari tenaga analis. Sedangkan penggunaan tools yang bersifat otomatis lebih mudah dan cepat, walaupun hasilnya relatif masih terbatas.  Analis bisa menggunakan tools ini sebagai pelengkap dari teknik manual.

Analis harus mengetahui keterbatasan dari penggunaan tools tersebut, mengingat sampai saat ini masih belum ada commercial tools yang cukup valid dalam melakukan analisis.  Umumnya, tools yang tersedia saat ini masih bersifat open-source (free projects), sehingga masih memiliki banyak keterbatasan.

Analis dapat menggunakan tools automated tersebut dalam beberapa kondisi sebagai berikut:

a. Evaluasi atas mobile apps yang baru sebelum mendapatkan persetujuan dari pihak internal;

b. Melalukan pen-test atau audit terkait aspek security dari mobile apps;

c. Evaluasi atas malware pada perangkat mobile;

d. Sebagai bagian dari Incident Response jika terjadi insiden pada perangkat mobile.

Salah satu tahapan dalam pengujian keamanan terhadap mobile apps adalah melalui prosedur pentesting atas applikasi tersebut.  Untuk aplikasi yang digunakan pada perangkat iOS atau iDevices terdapat satu referensi yang sangat menarik buat saya saat ini yaitu https://www.owasp.org/index.php/IOS_Application_Security_Testing_Cheat_Sheet.  Dari cheat sheet tersebut, kita bisa menyusun suatu check list yang harus atau akan dilakukan terkait analisis terhadap keamanan satu aplikasi.  Selain itu, dalam page URL tersebut ditampilkan daftar tools yang tersedia yang dapat digunakan.

Salah satu tools yang sering digunakan untuk perangkat iOS adalah snoop-it. Sudah cukup banyak tutorial yang dapat dijadikan acuan dalam menggunakan snoop it, antara lain:

https://reverse.put.as/wp-content/uploads/2011/06/pentestingiosapps-deepsec2012-andreaskurtz.pdf,

http://resources.infosecinstitute.com/ios-application-security-part-9-analyzing-security-of-ios-applications-using-snoop-it/ dan

http://andressjsu.blogspot.co.id/2015/02/snoop-it-setup-ios-pentesting-tool.html

 

Author: aph4ncmobile

Website ini khusus membahas bidang ilmu Mobile Phone Forensics and Security. Terutama yang berkaitan dengan serial buku Mobile Phone Forensics dan Security .

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s