Pentesting Mobile Application untuk perangkat Android

Sebelum melakukan analisis atas mobile apps untuk Android, tenaga analis harus memahami setidaknya empat komponen (components) fundamental dari aplikasi Android yaitu Activities, Services, Content Providers, dan Receivers. Serta Androd Intents sebagai mekanisme messaging antar komponen untuk dapat berinteraksi atau lebih dikenal sebagai Inter-Process Communication (IPC).

Seperti halnya pentesting mobile apps untuk iDevices (iOS), maka terdapat teknik dan tools untuk perangkat Android.  OWASP telah mengembangkan cheat sheet untuk dapat dijadikan acuan bagi para tenaga analis mobile apps yang tersaji pada URL sbb: https://www.owasp.org/index.php/Android_Testing_Cheat_Sheet

Analis bisa menggunakan beberapa tools untuk melakukan analisis atas mobile apps Android:

a. Androwarn;

Tools ini umumnya digunakan pada static analysis tool.  Androwarn akan membaca file APK dan memberikan laporan terkait potensi malicious behaviour termasuk: akses atas telephony identifier, akses atas device setting parameter, penyalahgunaan geolocation, akses dan manipulasi atas PIM data dan native code execution & filesystem binary execution.

b. Androsim;

Androsim dapat membandingkan 2 file APK untuk mengetahui sejumlah metode/code yang identik, mirip, baru atau dihapus dari kedua file APK tersebut.  Tool ini sangat berguna untuk:

  1. Mengindentifikasi app rip-offs yaitu ketika beberapa pengembang aplikasi memasukkan aplikasi mereka masing-masing pada Play Store yang pada kenyataannya bersumber dari satu aplikasi yang sama;
  2. Mengidentifikasi perbedaan dari 2 aplikasi.  Umumnya digunakan untuk mengidentifikasi perbedaan dari 2 mobile malware yang diduga berasal dari malware family yang sama atau untuk mengetahui 2 versi dari satu aplikasi.

c. Drozer Framework;

Tools ini merupakan client/server framework untuk mengevaluasi aplikasi Android yang terdiri atas Android application agent dan console component dari Windows/Linux.  Dengan tool ini, kita bisa menganalisis lebih jauh dari mekanisme Android IPC, mengetahui jumlah komponen dari aplikasi dan juga melakukan ‘crafting’ atas Intent messages atas services-services tertentu tanpa harus menulis Java code.

Author: aph4ncmobile

Website ini khusus membahas bidang ilmu Mobile Phone Forensics and Security. Terutama yang berkaitan dengan serial buku Mobile Phone Forensics dan Security .

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s