Serangan dunia maya dan pencurian data telah menjadi sangat umum akhir-akhir ini terutama ketika menyangkut aplikasi seluler. Akibatnya, aplikasi seluler yang mengalami pelanggaran keamanan dapat menderita kerugian finansial. Dengan banyaknya peretas yang ingin mencuri data pelanggan, mengamankan aplikasi ini telah menjadi prioritas nomor satu bagi organisasi dan tantangan serius bagi pengembang. Menurut penelitian terbaru Gartner, Siklus Hype untuk Keamanan Aplikasi, investasi dalam keamanan aplikasi akan meningkat lebih dari dua kali lipat selama beberapa tahun ke depan, dari $6 miliar tahun ini menjadi $13.7 miliar pada tahun 2026. Lebih lanjut, laporan tersebut menyatakan, โKeamanan aplikasi sekarang menjadi perhatian utama bagi pengembang dan keamanan profesional, dan penekanannya sekarang beralih ke aplikasi yang dihosting di cloud publik,โ Sangat penting untuk mendapatkan komponen dasar keamanan DevOps dengan benar. Berikut adalah 12 tips untuk mengamankan aplikasi seluler Anda:
1. Instal aplikasi dari sumber tepercaya:
Adalah umum untuk memiliki aplikasi Android yang diterbitkan ulang di pasar alternatif atau APK & IPA mereka tersedia untuk diunduh. Baik APK maupun IPA dapat diunduh dan diinstal dari berbagai tempat, termasuk situs web, layanan cloud, drive, media sosial, dan jejaring sosial. Hanya Play Store dan App Store yang diizinkan untuk menginstal file APK dan IPA yang dapat dipercaya. Untuk mencegah penggunaan aplikasi ini, kita harus memiliki deteksi pemeriksaan sumber (Play Store atau App Store) saat aplikasi dimulai.
2. Deteksi Akar:
Android: Penyerang dapat meluncurkan aplikasi seluler pada perangkat yang di-rooting dan mengakses memori lokal atau memanggil aktivitas atau maksud tertentu untuk melakukan aktivitas berbahaya dalam aplikasi.
iOS: Aplikasi pada perangkat yang di-jailbreak berjalan sebagai root di luar kotak pasir iOS. Ini dapat memungkinkan aplikasi untuk mengakses data sensitif yang disimpan di aplikasi lain atau menginstal perangkat lunak berbahaya yang meniadakan fungsionalitas kotak pasir.
Lebih lanjut tentang Deteksi Akar- https://owasp.org/www-project-mobile-top-10/2016-risks/m8-code-tampering
3. Penyimpanan Data:
Pengembang menggunakan Preferensi Bersama & Default Pengguna untuk menyimpan pasangan nilai kunci seperti token, nomor ponsel, email, nilai boolean, dll. Selain itu, saat membuat aplikasi, pengembang lebih memilih database SQLite untuk data terstruktur. Disarankan untuk menyimpan data apa pun dalam format enkripsi sehingga sulit untuk mengekstrak informasi oleh peretas.
4. Kunci Rahasia Aman:
Kunci API, kata sandi, dan token tidak boleh di-hardcode dalam kode. Disarankan untuk menggunakan teknik yang berbeda untuk menyimpan nilai-nilai ini sehingga peretas tidak dapat melarikan diri dengan cepat dengan merusak aplikasi.
Berikut tautan referensi: https://guides.codepath.com/android/Storing-Secret-Keys-in-Android
5. Kebingungan Kode
Penyerang dapat mendekompilasi file APK dan mengekstrak kode sumber aplikasi. Ini dapat mengekspos informasi sensitif yang disimpan dalam kode sumber aplikasi kepada penyerang yang dapat digunakan untuk melakukan serangan yang disesuaikan.
Lebih baik mengaburkan kode sumber untuk mencegah semua informasi sensitif yang terkandung dalam kode sumber.
6. Komunikasi yang Aman:
Penyerang dapat melakukan aktivitas jahat untuk meningkatkan tingkat serangan karena semua komunikasi terjadi melalui saluran yang tidak terenkripsi. Jadi selalu gunakan URL HTTPS di atas URL HTTP.
7. Penyematan SSL:
Penyematan sertifikat memungkinkan aplikasi seluler membatasi komunikasi hanya ke server dengan sertifikat valid yang cocok dengan nilai (pin) yang diharapkan. Menyematkan memastikan bahwa tidak ada data jaringan yang disusupi bahkan jika pengguna ditipu untuk memasang sertifikat root berbahaya di perangkat seluler mereka. Aplikasi apa pun yang menyematkan sertifikatnya akan menggagalkan upaya phishing tersebut dengan menolak mengirimkan data melalui koneksi yang disusupi
Silakan lihat:
https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning
8. Mengamankan permintaan & data respons API
Praktik standarnya adalah menggunakan HTTPS untuk perlindungan dasar panggilan REST API. Informasi yang dikirim ke server atau diterima dari server dapat dienkripsi lebih lanjut dengan AES, dll. Misalnya, jika ada konten sensitif, Anda dapat memilih untuk mengenkripsi sehingga meskipun HTTPS entah bagaimana rusak atau salah konfigurasi, Anda memiliki lapisan perlindungan lain dari enkripsi Anda.
9. Otentikasi Aplikasi Seluler yang Aman:
Jika aplikasi tidak menetapkan token sesi yang berbeda dan kompleks setelah login ke pengguna, penyerang dapat melakukan phishing untuk memikat korban agar menggunakan token yang dibuat khusus yang disediakan oleh penyerang dan dengan mudah melewati halaman login dengan sesi yang diambil. dengan menggunakan serangan MiTM.
i) Tetapkan token sesi yang berbeda dan kompleks kepada pengguna setiap kali dia berhasil masuk ke aplikasi.
ii) Hentikan masa pakai sesi segera setelah logout.
iii) Jangan gunakan token sesi yang sama untuk dua atau lebih alamat IP.
iv) Batasi waktu kedaluwarsa untuk setiap token sesi.
10. Izinkan Pencadangan
Larang pengguna untuk mencadangkan aplikasi jika berisi data sensitif. Memiliki akses ke file cadangan (yaitu ketika android:allowBackup="true"), dimungkinkan untuk memodifikasi/membaca konten aplikasi bahkan pada perangkat yang tidak di-rooting. Jadi disarankan untuk membuat izinkan cadangan salah.
11. Batasi mengakses layar aplikasi android dari aplikasi lain
Idealnya, aktivitas Anda tidak boleh memberikan ketentuan apa pun pada pembukaan dari layanan atau aplikasi lain. Jadikan itu benar hanya ketika Anda memiliki persyaratan khusus untuk mengakses layar bergetar Anda dari aplikasi lain, jika tidak, ubah ke android:diekspor= โsalahโ
12. Batasi penginstalan paket dari aplikasi android
REQUEST_INSTALL_PACKAGES izin memungkinkan aplikasi untuk instal paket baru di perangkat pengguna. Kami berkomitmen untuk mencegah penyalahgunaan di platform Android dan melindungi pengguna dari aplikasi yang memperbarui sendiri menggunakan metode apa pun selain mekanisme pembaruan Google Play atau mengunduh APK berbahaya.
Kesimpulan:
Aplikasi Seluler menjadi lebih dipersonalisasi dari sebelumnya dengan tumpukan data pribadi pelanggan yang disimpan di dalamnya setiap hari. Untuk membangun kepercayaan dan loyalitas di antara pengguna dan mencegah kerugian finansial dan kredensial yang signifikan bagi perusahaan, sekarang penting untuk memastikan aplikasi tersebut aman bagi pengguna. Mengikuti daftar periksa keamanan aplikasi seluler yang disebutkan di atas pasti akan membantu mencegah peretas meretas aplikasi.
Tentang Penulis:
Raviteja Aketi adalah Insinyur Perangkat Lunak Senior di Mantra Labs. Dia memiliki pengalaman yang luas dengan proyek-proyek B2B. Raviteja suka menjelajahi teknologi baru, menonton film, dan menghabiskan waktu bersama keluarga dan teman.
Baca blog terbaru kami: Menerapkan Arsitektur Bersih dengan Nest.JS
Pengetahuan itu layak disampaikan di kotak masuk Anda
- AI
- ai seni
- generator seni ai
- punya robot
- kecerdasan buatan
- sertifikasi kecerdasan buatan
- kecerdasan buatan dalam perbankan
- robot kecerdasan buatan
- robot kecerdasan buatan
- perangkat lunak kecerdasan buatan
- blockchain
- konferensi blockchain
- Psikologi kognitif
- kecerdasan
- kecerdasan buatan percakapan
- konferensi kripto
- dall's
- belajar mendalam
- Mendesain
- google itu
- Mesin belajar
- Lab Mantra
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- skala ai
- sintaksis
- Pengguna Pengalaman
- zephyrnet.dll
