Cara Bertahan Terhadap Peniruan Identitas Aplikasi Seluler

Sebagian besar pengguna yang menginstal aplikasi melalui saluran yang sah seperti Google Play Store atau Apple Store melakukannya dengan keyakinan penuh bahwa informasi mereka aman dari serangan berbahaya. Ini masuk akal, karena mereka adalah toko aplikasi resmi untuk seluruh dunia.

Namun, meskipun ada langkah-langkah keamanan yang ketat oleh Google dan Apple, penjahat dunia maya masih menemukan cara untuk melewati pemeriksaan ini. Mereka melakukan ini melalui peniruan identitas aplikasi.

Misalnya, karena Android memungkinkan pengguna memuat dan menginstal aplikasi yang diunduh dari sumber non-toko, penyerang cyber mengambil keuntungan dengan membuat aplikasi tiruan yang meniru yang sah. Mereka kemudian menggunakan aplikasi palsu untuk mengumpulkan data atau kredensial untuk penggunaan jahat.

Contohnya adalah ketika India melarang TikTok. Klon bernama TikTok Pro segera muncul dengan niat jahat untuk mencuri data dari perangkat pengguna. Penyerang juga memanfaatkan ketakutan COVID-19 untuk mengumpulkan data pengguna melalui aplikasi pelacakan palsu.

Penjahat dunia maya memanfaatkan tren kerja jarak jauh karena semakin banyak perusahaan yang mengizinkan karyawan mengakses aplikasi bisnis melalui perangkat seluler. Selain itu, jaringan internet pribadi jarang memiliki jenis tindakan keamanan yang tersedia dalam lingkungan kantor, seperti firewall, yang menciptakan banyak ruang bagi penyerang untuk mengorek data bisnis.

Di bawah ini kita melihat cara untuk mengidentifikasi peniruan identitas aplikasi, alat untuk mempertahankan diri dari serangan dan langkah-langkah yang harus dilakukan untuk keamanan yang lebih baik.

2 Jenis Peniruan Identitas Aplikasi

Selain contoh yang diberikan di atas, peniruan identitas aplikasi terjadi dalam banyak cara lain. Ingat, satu-satunya niat jahat penjahat dunia maya adalah mengakses data pengguna, API backend, dan informasi bisnis. Di bawah ini adalah dua metode peniruan identitas aplikasi utama yang diidentifikasi pada tahun 2021:

1. Aplikasi Penipuan

Peretas telah menemukan peluang melalui kloning aplikasi dengan membuat aplikasi yang tampak serupa yang meniru aplikasi yang sah. Peretas mengumpulkan informasi sensitif seperti detail perbankan, informasi kartu kredit, dan informasi biometrik melalui aplikasi kloning.

Sebanyak Google Play telah menerapkan langkah-langkah keamanan yang lebih kuat, terkadang terbukti tidak efektif karena ini murni permainan kucing-dan-tikus; segera setelah aplikasi seluler nakal ditarik keluar dari toko, mereka masuk lagi dengan kedok lain. Selain itu, pemuatan samping aplikasi tidak disarankan tetapi masih terjadi, membuat vektor serangan lain.

Penjahat cyber menggunakan informasi yang mereka curi untuk tujuan jahat seperti pengambilalihan akun, untuk mengalihkan pembayaran atau untuk menyedot poin hadiah. Atau, tujuannya mungkin sesederhana menjual informasi pribadi di Dark Web.

2. Manipulasi API

Manipulasi API adalah mekanisme yang ditujukan untuk mencuri data bisnis atau pribadi, atau mempermainkan bisnis perusahaan untuk keuntungan komersial. Ini dilakukan dengan mengeksploitasi kerentanan atau bug di API itu sendiri, atau dengan menggunakan kredensial valid yang telah dicuri dari bisnis lain – atau dibeli di Dark Web – untuk mengakses sistem back-end. Kedua vektor serangan didasarkan pada skrip dan menggunakan kunci API yang telah diekstraksi dari aplikasi seluler. Penelitian Gartner memperkirakan bahwa API akan menjadi permukaan serangan terkemuka pada tahun 2022.

Cara Bertahan terhadap Peniruan Identitas Aplikasi

Ini adalah tiga metode utama yang telah terbukti efektif sebagai pertahanan terhadap peniruan aplikasi seluler:

1. Menerapkan Mekanisme Pertahanan API

Banyak orang percaya bahwa melindungi aplikasi seluler melindungi API yang mereka konsumsi. Sayangnya, ini adalah logika yang salah. Pada kenyataannya, aplikasi seluler asli adalah kotak alat peretasan untuk pelaku kejahatan karena mereka dapat menggunakannya untuk merancang dan mengimplementasikan versi palsu dari aplikasi.

Selanjutnya, mereka dapat mempelajari permintaan/tanggapan API dan dengan cepat membuat skrip yang menghasilkan urutan API yang tidak dapat dibedakan dari lalu lintas aplikasi seluler asli.

Oleh karena itu, penting untuk mempertimbangkan keamanan API secara terpisah dari keamanan aplikasi seluler. Alat perlindungan API yang efektif harus dapat memverifikasi bahwa permintaan API yang masuk berasal dari instans aplikasi seluler asli yang beroperasi di lingkungan runtime tanpa kompromi.

3. Memanfaatkan Pengesahan Aplikasi

Attackers tahu bahwa jika mereka bisa memasang aplikasi palsu di perangkat seluler Anda, mereka dapat memanipulasi niat Anda serta mengekstrak data bisnis dan pribadi yang berharga. Mencegah aplikasi palsu memasuki toko aplikasi resmi mungkin tidak mungkin, seperti menghentikan pengguna dari memuat aplikasi dari sumber lain, tetapi apa yang dapat dilakukan adalah memastikan bahwa tidak ada aplikasi buruk ini yang dapat berkomunikasi dengan sistem backend Anda. Pengesahan aplikasi seluler

adalah metode yang sangat aman secara kriptografis di mana aplikasi dapat dibuktikan sebagai contoh asli dari aplikasi asli yang diunggah ke toko aplikasi. Jika bukti ini dapat diteruskan ke sistem backend bersama dengan setiap panggilan API, adalah mungkin untuk menutup semua aplikasi palsu, terlepas dari apakah itu berasal dari app store atau melalui side-loading.

3. Lakukan Pentesting

Pengujian penetrasi secara teratur mengekspos kerentanan dengan mensimulasikan potensi serangan pada aplikasi Anda untuk mengidentifikasi celah sebelum peretas mendapatkan akses ke sana. Praktik terbaik adalah bekerja dengan pentester eksternal, karena mereka kurang akrab dengan sistem Anda dan dapat secara mandiri mengidentifikasi kelemahan dengan lebih efektif.

Ada dua metode pentesting:

<

ul>

  • Pentesting internal: Dimana pengujian terjadi di belakang firewall aplikasi untuk mensimulasikan serangan dari dalam seperti sebagai seseorang yang menggunakan kredensial curian.liu
      iPentesting eksternal: Pentest eksternal mensimulasikan serangan terhadap aset perusahaan publik seperti situs web dan aplikasi seluler, untuk mengidentifikasi celah potensial yang mungkin digunakan penyerang untuk menyerang perusahaan atau pelanggannya.

    Praktik Terbaik Melawan Peniruan Identitas Aplikasi

    Alat pertahanan terbaik terhadap peniruan identitas aplikasi akan melindungi informasi pengguna serta API Anda, sehingga Anda dapat fokus untuk membangun fitur yang lebih baik dan mengembangkan platform Anda.

    Alat ini harus diintegrasikan ke dalam aplikasi seluler iOS atau Android Anda dengan memasang SDK yang berinteraksi dengan layanan cloud yang dapat memverifikasi keaslian aplikasi. Token seumur hidup singkat (~5 menit) dapat diteruskan ke backend API Anda misalnya, untuk membuktikan bahwa permintaan API berasal dari sumber asli dan memenuhi semua persyaratan runtime.

    Setiap transaksi juga harus diperiksa berdasarkan kebijakan keamanan yang Anda tetapkan , memberikan proses keamanan menyeluruh untuk aplikasi dan API Anda.

    Dave Stewart adalah CEO di Approov.

    Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi microsite
    kamiTulis komentar
    Bagikan artikel ini:

    <

    ul>iCloud Security

  • <

    ul>iInfoMalwareli

  • uLi

    <

    ul>iMobile Securityliu

    <

    ul>iInfoSec

  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: