1. Startup

Isu Keamanan di Aplikasi Mobile LinkedIn, Netflix, Foursquare dan Square

Firma keamanan komputer viaForensics melansir sebuah laporan yang menyebutkan bahwa ternyata sejumlah aplikasi mobile ternama pun memiliki isu keamanan karena menyimpan data personal berupa username dan password ke dalam perangkat ponsel pengguna tanpa dienkripsi. Seperti dikutip dari WSJ's Digits, LinkedIn, Netflix dan Foursquare menyimpan data personal tersebut di ponsel pintar Android.

Sementara untuk aplikasi Square di iPhone yang membantu transaksi kartu kredit langsung di ponsel, viaForensics menyatakan aplikasi tersebut memiliki flaw untuk menampilkan sejarah nilai transaksi pengguna dan bahkan memperlihatkan digital signature terbaru oleh pengguna yang menandatangani electronic receipt melalui aplikasi tersebut.

Temuan tersebut tentu cukup meresahkan karena jika aplikasi-aplikasi dari produk ternama saja bisa melakukan kesalahan tersebut, bagaimana dengan aplikasi yang tidak sepopuler nama-nama tersebut. Andrew Hogg, Chief Investigative Officer firma yang berbasis di Chicago ini mengatakan, "Data seharusnya tidak disimpan di ponsel. Jika disimpan di ponsel, data tersebut harus dienkripsi. Keamanan (saat ini) bukanlah prioritas utama para pengembang."

Meskipun demikian, seorang hacker membutuhkan keterampilan dan keberuntungan untuk dapat mengeksploitasi kerawanan ini, baik secara fisik memiliki akses ke ponsel yang bersangkutan ataupun membuat suatu piranti lunak berbahaya (malicious) yang diinstalasi ke dalam ponsel. Walau tidak mudah, kerawanan ini harusnya bisa diminimalisir jika pengembang dari awal peduli terhadap masalah keamanan ini. Selain data sensitif tersebut, viaForensics juga menemukan sejumlah data personal lain yang disimpan di ponsel Android berbentuk plain text, yaitu email yang dikirim melalui aplikasi LinkedIn, antrian film yang diinginkan oleh pengguna Netflix dan sejarah pencarian di bagian Foursquare's Places.

Untung saja, pihak pengembang (dalam hal ini LinkedIn, Foursquare dan Netflix) menyadari kerawanan tersebut dan serta merta menyebutkan telah atau akan memberikan pembaruan untuk menutupi celah tersebut. Foursquare mengatakan bahwa pembaruan per 7 Juni mengamankan data username dan password serta membersihkan data-data lainnya. Square sendiri dalam komentarnya mengatakan apa yang dia lakukan terhadap penyimpanan sejarah nominal transaksi terbaru sudah sesuai dengan standar yang berlaku tapi menolak berkomentar tentang permasalahan digital signature.

Google sendiri sebagai pengembang Android mewanti-wanti para pengembang untuk mengikuti sejumlah petunjuk keamanan dalam mengembangkan aplikasi Androidnya. Pengembang menurut suatu blog post Google bertanggung jawab penuh tentang bagaimana mengurusi informasi pengguna dan merekomendasikan untuk tidak menyimpan log informasi spesifik pengguna. Tentunya hal seperti ini bisa menjadi pelajaran bagi pengembang lokal untuk dapat meningkatkan keamanan aplikasi mobile buatannya dan memberikan kenyamanan bagi pengguna.

[sumber gambar]

Are you sure to continue this transaction?
Yes
No
processing your transaction....
Transaction Failed
Try Again

Sign up for our
newsletter

Subscribe Newsletter
Are you sure to continue this transaction?
Yes
No
processing your transaction....
Transaction Failed
Try Again