1. Pendahuluan
Seringkali masalah keamanan sistem
aplikasi terabaikan, justru setelah semua peralatan dan infrastruktur pengaman
telah terpasang. Bahkan pentingnya pengamanan baru disadari setelah terjadi
bencana. Kerugian diakibatkan dari sebuah serangan terhadap sistem aplikasi
sangatlah besar, tetapi hal ini sangat sukar dideteksi, karena secara umum
tidak akan diakui dengan berbagai alasan. Tanpa pengamanan sistem aplikasi yang
baik, penerapan teknologi sehebat apapun akan sangat membahayakan
institusi/organisasi itu sendiri. Nilai informasi yang begitu penting dan strategis
mengakibatkan serangan dan ancaman terhadap sistem aplikasi dan arus informasi
semakin meningkat. Kebutuhan keamanan sistem aplikasi timbul dari kebutuhan
untuk melindungi data.
2. Pengertian
Aplikasi mobile
Menurut Buyens (2001) aplikasi mobile berasal dari kata application dan
mobile. Application yang artinya penerapan, lamaran, penggunaan. Secara istilah
aplikasi adalah program siap pakai yang direka untuk melaksanakan suatu fungsi
bagi pengguna atau aplikasi yang lain dan dapat digunakan oleh sasaran yang
dituju sedangkan mobile dapat di artikan sebagai perpindahan dari suatu tempat
ke tempat yang lain. Kata mobile mempunyai arti bergerak atau berpindah,
sehingga aplikasi mobile menurut Rangsang Purnama ( 2010 ) adalah sebutan untuk
aplikasi yang berjalan di mobile device .
Dengan
menggunakan aplikasi mobile, dapat dengan mudah melakukan berbagaii macam
aktifitas mulai dari hiburan, berjualan, belajar, mengerjakan pekerjaan kantor,
browsing dan lain sebagainya. Pemanfaatan aplikasi mobile untuk hiburan paling
banyak digemai oleh pengguna telepon seluler, karena dengan memanfaatkan adanya
fitur game, music player, sampai video player membuat kita mejadi semakin mudah
menikmati hiburan kapan saja dan dimanapun.
3. Karakteristik
Perangkat Mobile
Perangkat mobile memiliki banyak jenis dalam hal ukuran, desain dan
layout, tetapi mereka memiliki kesamaan karakteristik yang sangat berbeda dari
sistem desktop, yaitu antara lain :
a.
Ukuran yang kecil
Perangkat mobile
memiliki ukuran yang kecil. Konsumen menginginkan perangkat yang terkecil untuk
kenyamanan dan mobilitas mereka.
b.
Memory yang terbatas
Perangkat mobile
juga memiliki memory yang kecil, yaitu primary (RAM) dan secondary (disk).
Pembatasan ini adalah salah satu faktor yang 11 mempengaruhi penulisan program
untuk berbagai jenis dari perangkat ini. Dengan pembatasan jumlah dari memory,
pertimbangan-pertimbangan khusus harus diambil untuk memelihara pemakaian dari
sumber daya yang mahal ini.
c.
Daya proses yang terbatas Sistem mobile tidaklah setangguh
rekan mereka yaitu desktop. Ukuran, teknologi dan biaya adalah beberapa faktor
yang mempengaruhi status dari sumber daya ini. Sepertiharddisk dan RAM, Anda
dapat menemukan mereka dalam ukuran yang pas dengan sebuah kemasan kecil.
d.
Mengkonsumsi daya yang rendah Perangkat mobile menghabiskan
sedikit daya dibandingkan dengan mesin desktop. Perangkat ini harus menghemat
daya karena mereka berjalan pada keadaan dimana daya yang disediakan dibatasi
oleh baterai-baterai.
e.
Kuat dan dapat diandalkan Karena perangkat mobile selalu
dibawa kemana saja, mereka harus cukup kuat untuk menghadapi benturan-benturan,
gerakan, dan sesekali tetesantetesan air.
f.
Konektivitas yang terbatas Perangkat mobile memiliki bandwith
rendah, beberapa dari mereka bahkan tidak tersambung. Kebanyakan dari mereka
menggunakan koneksi wireless. 12
g.
Masa hidup yang pendek
Perangkat-perangkat konsumen
ini menyala dalam hitungan detik kebanyakan dari mereka selalu menyala. Coba
ambil kasus sebuah handphone, mereka booting dalam hitungan detik dan
kebanyakan orang tidak mematikan handphone mereka bahkan ketika malam hari. PDA
akan menyala jika anda menekan tombol power mereka.
4. Masalah
Keamanan Informasi
Penggunaan
perangkat mobile dapat meningkatkan produktivitas kerja, walau penggunaan
perangkat ini akan menimbulkan masalah baru yaitu masalah keamanan, beberapa
masalah keamanan pada sistem mobile yaitu :
4.1.Web-based
and network-based attacks
Serangan ini
biasanya dilakukan oleh situs-situs berbahaya atau bekerja sama dengan website
yang sah. Situs menyerang jaringan konten yang dianggap mempunyai lubang
kemanan dengan mengirimkan malicious logic ke browser korban, sehingga browser akan
menjalankan perintah sesuai pilihan penyerang.
Setelah browser
berhasil dikuasai, malicious logic akan mencoba untuk menginstal malware pada
sistem atau mencuri data rahasia yang mengalir melalui browser Web.
Web-based and
network-based attacks melakukan serangan dengan cara menyusup sebagai pengguna
ke web server agar tidak dicurigai, Server akan mengindentifikasi penyusup ini sebagai
klien. Setelah itu dengan mudah web ini akan menyerang server.
Kemudian Situs
menyerang dengan mengirimkan sebuah set data berbahaya ke Web browser, yang
menyebabkan Web browser akan menjalankan instruksi berbahaya dari penyerang. Setelah
Web browser dapat dikuasai maka situs penyerang akan memiliki akses ke riwayat
user yang pernah ada seperti : login, nomor kartu kredit, password, dll, dan
bahkan mungkin dapat mengakses bagian lain dari perangkat (seperti kalender,
kontak yang database, dll).
4.2.Malware
Malware dapat
dibagi menjadi tiga kategori tingkat tinggi yaitu :
• Traditional
computer viruses
• Computer worms
• Trojan horse
programs
Virus ponsel
menyebar melalui media berikut: bluetooth, infrared, Wi-Fi, dan kabel data
serta internet. Traditional computer viruses bekerja dengan menempelkan diri
sendiri ke program host yang sah seperti sebuah parasit menempel pada organisme
inang..
4.3.worm
Computer worms
menyebar dari perangkat ke perangkat melalui jaringan. Worm atau cacing adalah
virus yang bertempat tinggal pada memori ponsel yang aktif dan bisa
menduplikasi dengan sendirinya. Worm menyebar ke ponsel lain melalui email,
chatting, LAN, dan Bluetooth.
Contoh Virus jenis
worm ini adalah Cabir. Cabir menyebar melalui koneksi Bluetooth dan masuk ke dalam
ponsel melalui inbox. Saat kita mengklik file sis tersebut dan menginstallnya,
Cabir mulai mencari mangsa baru ponsel dengan akses Bluetooth terbuka untuk
menginfeksinya. Nama lain dari Cabir adalah SymbOS/Cabir.A Cabir akan
mengaktifkan Bluetooth secara periodik sekitar 15-20 menit sekali. Tidak ada
kerusakan file yang terjadi apabila ponsel kita terkena virus ini maka baterai
akan cepat habis untuk mencari perangkat Bluetooth lainnya. Untuk mencegahnya
yang dapat kita lakukan adalah matikan fitur Bluetooth pada ponsel kita dan
kita hanya mengaktifkan kalau dibutuhan saja. Selain Cabir salah satu jenis
virus worm lainnya adalah Commwarrior yang menyebar melalui MMS dan koneksi Bluetooth.
Setiap tanggal 14, ponsel akan me Reset dengan sendirinya. Nama lain dari
Commwarrior antara lain adalah SymbOS/commwarrior.a. Salah satu cara untuk
mencegahnya adalah dengan tidak menggunaka Bluetooth secara sembarangan dan
jangan menerima file yang tidak diketahui asal-usulnya
4.4.Trojan
horse
Trojan Horse
adalah suatu program jahat yang berpurapura ramah. Trojan dapat merusak program
pada ponsel. Trojan tidak dapat menduplikasi dirinya seperti worm. Salah satu
jenis virus Trojan lainnya adalah Doomboot. Virus yang bernama lengkap
SymbOS.Doomboot.A. Cara kerja dari virus ini adalah dengan membuat file korup
dan setelah ponsel terinfeksi maka virus lainnya akan ditempatkan dalam ponsel
kita. File yang korup tadi akan membuat ponsel tidak dapat melakukan booting.
Contoh dari
malware mobile adalah :
• iPhoneOS.Ikee
worm
Yang ditargetkan
pada IOS berbasis perangkat (misalnya, iPhone)
• Ancaman
Android.Pjapps
Yang terdaftar terinfeksi
perangkat Android di sebuah hacker-controlled botnet.
4.5.Social
Engineering Attacks
Social
Engineering Attacks, seperti phishing, memanfaatkan Social Engineering untuk
mengelabui pengguna agar mengungkapkan informasi yang sensitive atau informasi
yang dianggap penting. Social Engineering Attacks juga dapat digunakan untuk menarik
perhatian user sehingga user akan menginstal malware pada perangkat mobile yang
digunakannya tanpa sadar akan adanya ancaman bahaya.
4.6.Resource
Abuse
Tujuan dari
serangan Abuse adalah penyalahgunaan jaringan, komputasi, atau sumber daya
identitas perangkat untuk tujuan unsanctioned. Dua pelanggaran paling umum yang
sering terjadi adalah mengirimkan email spam dan meluncurkan serangan denial of
service pada salah satu situs web, pada suara operator seluler atau jaringan
data. Seperti relay spam, penyerang diam-diam mengirimkan email spam ke sasaran
yang dituju, kemudian menginstruksikannya untuk meneruskan email tersebut melalui
email atau pesan SMS standar layanan kepada korban, dimana korban tidak akan
curiga karena spam seolah-olah berasal dari devices yang digunakan. Untuk
denial of service attack, penyerang akan menginstruksikan perangkat yang dituju
untuk mengirim data sehingga jaringan terkesan sibuk (misalnya, network
packets, pesan SMS, dll ) ke satu atau lebih
target di
Internet. Mengingat bandwidth yang tersedia pada sistem nirkabel terbatas, maka
serangan ini akan berpotensi mempengaruhi kualitas layanan suara atau data pada
jaringan
nirkabel di samping berdampak pada situs yang ditargetkan.
4.7.
Data Loss
Kehilangan data
sering terjadi ketika sebuah informasi yang sensitif atau dianggap penting
diketahui oleh karyawan atau hacker melalui jaringan data yang tidak aman.
Misalnya seorang
karyawan perusahaan dapat mengakses kalender kerja mereka atau daftar kontak karyawan
dari perangkat mobile yang mereka miliki Jika mereka kemudian menyinkronkan
perangkat ini dengan PC rumah mereka, misalnya, untuk menambahkan
musik atau
konten multimedia lainnya, secara tidak sadar data perusahaan akan masuk ke
komputer rumah pengguna dan menjadi target hacker. Contoh kasus lain adalah
dimana pengguna dapat mengakses lampiran email perusahaan pada perangkat mobile
mereka yang mungkin isi email tersebut merupakan hal yang penting dan di
anggap, kemudian
memiliki
perangkat mobile tersebut dicuri. Dalam beberapa kasus, penyerang dapat
mengakses lampiran yang sensitif hanya dengan mengekstraksi built-in SD kartu
memori flash dari devices
4.8.Data
Integrity Threats
Dalam serangan integritas data, penyerang
mencoba untuk merusak atau memodifikasi data tanpa izin dari pemilik data itu.
Penyerang mungkin mencoba untuk memulai serangan dengan mengganggu sistem
operasi dari suatu perusahaan yang mempunyai potensi untuk keuntungan finansial
(misalnya, untuk mengenkripsi data pengguna sampai pengguna membayar biaya
tebusan). Selain serangan yang disengaja seperti itu, data juga
dapat rusak atau diubah
secara alami (misalnya, oleh korupsi data acak). Sebagai contoh, program
malware dapat menghapus atau memodifikasi isi dari buku alamat perangkat mobile
atau kalender.
5. Contoh kasus pada sistem keamanan
mobile banking
Dalam
dekade terakhir, jumlah pengguna perbankan online meningkat pesat. Hal ini menyebabkan
banyak pengembang untuk menyelidiki metode yang lebih
nyaman bagi pelanggan untuk melakukan remote transaksi
perbankan. Mobile
banking merupakan
skema
nyaman baru pelanggan untuk melakukan transaksi, dan diperkirakan
akan meningkat sebagai meningkatnya jumlah pengguna telepon
seluler. Perkembangan teknologi mobile banking bertujuan
membangun
aplikasi untuk perangkat portabel yang memastikan aman
pengguna dapat mengirim informasi perbankan melalui Jaringan
GSM. Solusi mobile banking maju
memberikan platform bagi pengguna untuk bank dengan
menggunakan SMS dan GPRS. Tetapi ada beberapa lubang keamanan pada
sistem mobile
banking,
masalah
yang
dimaksud sebagai berikut:
[1]
Masalah jaringan GSM: Masalah dengan algoritma
otentikasi
A3/A8.
Algoritma ini adalah istilah yang digunakan untuk
menjelaskan mekanisme yang digunakan untuk mengotentikasi
handset pada jaringan telepon selular. A3 dan A8
sebenarnya tidak algoritma enkripsi, tapi placeholder. Dalam
A3/A8
algoritma yang umum digunakan adalah COMP128.
Algoritma
COMP128 rusak oleh Wagner dan Goldberg dalam waktu
kurang dari satu hari. Hal ini menimbulkan kekhawatiran
GPRS memiliki sebagai yang aman mekanisme komunikasi.
Setelah cracking COMP128 Wagner dan Goldberg melanjutkan untuk
membuktikan bahwa adalah mungkin untuk mendapatkan Nilai
Ki, sehingga sehingga memungkinkan untuk melakukan
kloning SIM. Masalah dengan algoritma A5, Algoritma
A5 yang digunakan
untuk mencegah casual eavesdropping dengan
mengenkripsi
komunikasi antara stasiun bergerak (handset)
dan
BSS(Base
Station subsystem). Kc adalah nilai Ki dan RAND dimasukkan
ke dalam algoritma A5. Nilai Kc adalah kunci rahasia
yang digunakan dengan algoritma A5 untuk enkripsi antara
stasiun bergerak dan BSS.
Attack
on the RAND value, Ketika AUC(Authentication
Center)
berupaya
untuk otentikasi kartu SIM, nilai RAND yang dikirim
ke kartu SIM dapat dimodifikasi oleh penyusup gagal otentikasi.
Hal ini dapat menyebabkan penolakan serangan layanan.
[2]
Keamanan masalah dengan SMS: Ide awal untuk penggunaan SMS itu
dimaksudkan agar pelanggan dapat mengirim pesan non-sensitif
di seluruh jaringan GSM terbuka. Reksa otentikasi, enkripsi
teks, end-to-end
keamanan,
nonrepudiation dihilangkan selama desain arsitektur GSM.
Pada bagian ini kami mendiskusikan beberapa masalah
keamanan menggunakan SMS. Forging
Originator’s Address, SMS spoofing adalah
serangan
yang melibatkan pihak ketiga mengirimkan pesan SMS yang
tampaknya dari pengirim. Hal ini dimungkinkan untuk mengubah
originator field
alamat
dalam header
SMS
ke yang
lain alfa-numerik string. Hal ini dapat menyembunyikan
alamat
pengirim aslinya, dan melakukan tipuan serangan masquerading.
SMS
Encryption,
Data Format default untuk pesan SMS adalah dalam plaintext. Enkripsi
hanya terlibat selama transmisi adalah enkripsi antara
stasiun base transceiver dan stasiun mobile. Enkripsi end-to-end
saat
ini tidak tersedia. Algoritma enkripsi yang digunakan
adalah A5 yang terbukti rentan. Oleh karena itu algoritma
yang lebih aman diperlukan.
[3]
Masalah keamanan dengan Implementasi current GPRS:
Security
issues with present implementations that use WAP, Implementasi
mobile banking saat ini yang menggunakan WAP telah terbukti
sangat aman, tetapi terdapat beberapa lubang yang dapat
menyebabkan komunikasi tidak aman. Beberapa lubang meliputi:
Tidak ada enkripsi end-toend antara klien dan bank server. Ada end-to-end
untuk
enkripsi antara
klien dan Gateway dan antara Gateway dan Server Bank.
Untuk mengatasi ini, server bank dapat memiliki Access Point
Name (APN) sendiri di salah satu jaringan GPRS. APN ini akan
berfungsi sebagai Gateway WAP untuk bank. Oleh karena
itu klien akan dihubungkan langsung ke bank tanpa ketiga
pihak di tengah komunikasi. Kriptografi kunci public kunci
ukuran yang ditawarkan oleh WTLS standar tidak cukup kuat
untuk memenuhi aplikasi persyaratan keamanan WAP saat ini.
Mengingat rendah kekuatan pengolahan perangkat genggam,
ukuran kunci telah telah dibatasi. Anonymous suite
pertukaran
kunci yang ditawarkan oleh WTLS handshake tidak
dianggap
aman. Baik klien maupun server otentikasi. Bank harus
menyediakan fungsionalitas untuk melarang opsi ini dari
handshaking.
Security issues associated with using the plain GPRS
network, Jaringan Inti GPRS terlalu umum, tetapi tidak
melayani
untuk beberapa perbankan persyaratan keamanan.
Beberapa
persyaratan termasuk; Kurangnya pemegang rekening atau bank otentikasi.
Bank dapat memberikan APN yang unik untuk mengakses server
Bank, tetapi tanpa ini atau beberapa orang lain mekanisme
otentikasi dapat menyamar sebagai Bank. Semua masalah ini
menimbulkan kekhawatiran fabrikasi baik informasi bank
atau pemegang rekening informasi, Penyediaan fungsi
untuk menghindari modifikasi data dan memastikan integritas
data baik untuk pemegang rekening dan Bank. Metode untuk
memenuhi kerahasiaan datam antara stasiun bergerak dan
server bank telah terbukti lemah, dan operator jaringan dapat
melihat informasi rekening pemegang. Hal ini menimbulkan
masalah keamanan baik bagi bank dan pemegang rekening. Bank
tidak dapat membuktikan bahwa pemegang rekening melakukan
tindakan spesifik dan pemegang rekening tidak dapat
membuktikan bahwa bank melakukan tindakan tertentu. GPRS
menyediakan fasilitas penanganan session, tetapi tidak
menangani Bank sesi khusus; ini dapat menyebabkan
inkonsistensi pada bank samping
mengangkat
isu-isu keamanan.
b)
Penanggulangan ancaman pada sistem keamanan mobile
banking
[1]Solusi
keamanan SMS, Solusi ini menyediakan protocol messaging
aman yang menggunakan SMS. Protokol pesan aman
mengatasi keamanan yang ada kekurangan dalam arsitektur
GSM. Protokol pesan telah telah terintegrasi dengan
sistem mobile banking sehingga dapat meningkatkan keamanan
SMS banking. Protokol SMS yang aman meliputi; Message
Structure,
Pesan
SMS dijamin dibagi menjadi beberapa bidang untuk
mengakomodasi untuk berbagai
pemeriksaan
keamanan yang diperlukan untuk protokol. Untuk mempermudah pemahaman
tentang struktur pesan,. Angka-angka di atas field adalah jumlah minimum
byte diperlukan untuk setiap field dalam pesan. Jumlah
byte untuk setiap bidang dapat ditingkatkan tergantung
pada pelaksanaan persyaratan.
