Manipulasi Transaksi Mobile Banking dengan Burp Suite

Sebagai analis keamanan aplikasi mobile banking, tentunya kita ingin mengetahui sampai sejauh mana keamanan aplikasi terhadap berbagai teknik serangan, termasuk Man-in-the-Middle (MiTM) attack berupa manipulasi transaksi HTTP.

Untuk mendukung skenario attack, saya menggunakan Burp Suite, Kali Linux sebagai server Bank dan Android Virtual Devices yang telah diinstal dengan mobile banking apps.  Gambar berikut menunjukkan skenario untuk melakukan penetration test atas mobile banking apps tersebut.

Clients Interception

Pada Android Virtual Device, saya telah menginstall mobile banking apps yang telah disetting agar semua packet data yang terkait dengan transaksi akan diforward ke Burp.  Gambar berikut ini menunjukkan screenshot dari mobile banking apps yang telah dijalankan.

Mobile banking apps 1

Selanjutnya, saya melakukan transfer sebanyak USD 3 dari dan rekening saya sendiri. Selanjutnya kita bisa melihat bagaimana data transaksi tersebut dapat di-intercept oleh Burp Suite (POST).

Burp Suite 01

Dari gambar tersebut terlihat jumlah transaksi transfer sebesar USD 3 serta nomor account simpanan baik sumber dan tujuan transaksi transfer.  Selanjutnya atas transaksi tersebut, saya lakukan send to Repeater.  Pada tab repeater tersebut saya melakukan rekayasa transaksi berupa transfer dari satu rekening orang lain ke dalam rekening saya.  Mengingat ada parameter yang membatasi jumlah transfer maksimal sebesar USD 100, maka saya mencoba membalik transfer sebesar minus USD 100,000. Ternyata transaksi ini berhasil.

Burp Suite 02

Jika melihat account balance dari savings account saya, maka akan terlihat jumlah uang masuk tersebut.

Mobile banking apps 2

Tentunya ini semua hanya skenario semata-mata untuk mengetahui ada tidaknya celah keamanan dari satu mobile banking apps melalui teknik penetration test.  Tujuan dari tulisan ini adalah menunjukkan penggunaan Burp Suite sebagai salah satu tools yang sangat efektif dalam penetration testing atas satu mobile apps.

Author: aph4ncmobile

Website ini khusus membahas bidang ilmu Mobile Phone Forensics and Security. Terutama yang berkaitan dengan serial buku Mobile Phone Forensics dan Security .

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s