Android merupakan sistem operasi mobile yang bersifat terbuka dan banyak digunakan, sehingga menjadi target umum dalam pengujian keamanan aplikasi mobile. Praktikum ini bertujuan untuk melakukan eksplorasi lanjutan menggunakan Android Debug Bridge (ADB) serta analisis statis awal terhadap file APK untuk mengidentifikasi konfigurasi berisiko dan data sensitif yang tersimpan secara tidak aman.
Perintah adb devices digunakan untuk memverifikasi bahwa emulator Android telah terhubung dengan ADB dan siap digunakan untuk proses pengujian.
Sebelum memulai praktik, pindah ke direktori kerja yang digunakan dengan menjalankan perintah berikut pada Command Prompt.
Menampilkan daftar aplikasi terpasang dan memfilter package F-Droid:
Digunakan untuk menampilkan seluruh package aplikasi yang terpasang pada emulator. Dari hasil ini, dipilih satu aplikasi target untuk dianalisis lebih lanjut.
Mengambil informasi detail aplikasi F-Droid:
Menyimpan hasil informasi package ke file untuk dokumentasi:
Perintah ini memberikan informasi detail seperti permission, activity, service, serta status debuggable pada aplikasi.
Menentukan lokasi file APK F-Droid pada emulator:
Mengambil file APK F-Droid dari emulator ke sistem host Windows:
APK diekstrak langsung dari emulator untuk dilakukan analisis statis di sisi host Windows.
Pastikan file tersedia
Menampilkan daftar database milik aplikasi F-Droid pada emulator
Mengambil file database aplikasi F-Droid dari emulator ke host Windows (jika akses diizinkan):
Hasil ini menunjukkan bahwa data internal aplikasi tidak dapat diakses tanpa hak istimewa root, sesuai dengan model keamanan Android.
Aktifkan Root pada Emulator
Menampilkan daftar database milik aplikasi F-Droid pada emulator
Mengambil file database aplikasi F-Droid dari emulator ke host Windows
(Opsional, tapi direkomendasikan) Ambil file WAL & SHM
Setelah emulator dijalankan dalam mode root, direktori internal aplikasi F-Droid dapat diakses menggunakan ADB. File database berhasil diambil dari /data/data/org.fdroid.fdroid/databases untuk keperluan analisis lebih lanjut.
Mengambil log sistem yang berkaitan dengan aktivitas aplikasi F-Droid:
Menghasilkan bugreport perangkat yang mencakup informasi sistem dan aplikasi F-Droid:
File log dan bugreport digunakan sebagai bukti pendukung untuk analisis perilaku dan troubleshooting aplikasi.
Mengarahkan trafik aplikasi F-Droid yang mengakses localhost:8080 pada emulator ke proxy di host (misalnya Burp Suite)
Meneruskan koneksi dari host ke emulator pada port tertentu jika diperlukan untuk pengujian:
Konfigurasi ini digunakan untuk menganalisis dan memantau komunikasi jaringan aplikasi F-Droid melalui proxy.
File APK dibuka menggunakan JADX GUI pada Windows untuk melihat struktur source code, resource, serta file konfigurasi aplikasi.
Beberapa konfigurasi berisiko yang diperiksa:
Tidak ditemukan konfigurasi android:debuggable="true" pada AndroidManifest.xml. Hal ini menunjukkan bahwa aplikasi F-Droid tidak dijalankan dalam mode debug pada build produksi, sehingga mengurangi risiko reverse engineering dan debugging tidak sah.
Ditemukan 1 konfigurasi android:allowBackup="true". Konfigurasi ini memungkinkan data aplikasi dicadangkan melalui mekanisme backup Android, yang berpotensi dimanfaatkan untuk mengekstrak data aplikasi apabila perangkat berada dalam kondisi tidak aman.
Ditemukan 10 komponen (Activity dan/atau Service) dengan atribut android:exported="true". Komponen yang diekspos dapat diakses oleh aplikasi lain, sehingga berpotensi menimbulkan risiko jika tidak dilindungi dengan permission atau validasi input yang memadai.
Tidak dilakukan klasifikasi sebagai temuan karena permission yang terdaftar pada AndroidManifest.xml masih relevan dengan fungsi utama aplikasi F-Droid, seperti akses jaringan untuk sinkronisasi repository. Oleh karena itu, tidak ditemukan permission yang dikategorikan sebagai berlebihan atau tidak relevan.
Dilakukan pencarian string plaintext seperti:
Hasil pencarian kata kunci api menunjukkan bahwa kemunculannya berasal dari library dan komponen internal Android (AndroidX) yang berkaitan dengan versi API. Tidak ditemukan endpoint backend, API key, atau data sensitif yang ditulis secara hardcoded, sehingga tidak dikategorikan sebagai temuan berisiko.
Hasil pencarian kata kunci username dan password menunjukkan bahwa kemunculan istilah tersebut berasal dari resource aplikasi, mekanisme autentikasi standar, serta library pihak ketiga (misalnya pengelolaan kredensial dan UI input). Tidak ditemukan username atau password hardcoded dalam bentuk plaintext. Oleh karena itu, temuan ini tidak dikategorikan sebagai kerentanan, melainkan bagian dari implementasi fungsional aplikasi.
Ditemukan beberapa string URL API yang ditulis secara langsung di dalam source code, yang berpotensi dimanfaatkan oleh pihak tidak bertanggung jawab.
Konfigurasi tersebut dapat dimanfaatkan untuk melakukan reverse engineering, pencurian data, manipulasi aktivitas aplikasi, serta penyalahgunaan API backend. Jika aplikasi dipublikasikan ke pengguna umum, risiko kebocoran data menjadi tinggi.
Berdasarkan hasil eksplorasi ADB lanjutan dan analisis statis awal terhadap aplikasi F-Droid, dapat disimpulkan bahwa proses pengujian berhasil mengidentifikasi beberapa konfigurasi dan karakteristik keamanan aplikasi. Eksplorasi ADB memastikan konektivitas emulator, instalasi aplikasi, pengambilan APK, log, serta data internal aplikasi. Analisis statis menggunakan JADX menunjukkan tidak adanya kredensial hardcoded, namun ditemukan konfigurasi allowBackup yang aktif, beberapa komponen aplikasi yang diekspos, serta URL API yang ditulis secara plaintext. Kondisi tersebut berpotensi dimanfaatkan untuk reverse engineering dan penyalahgunaan aplikasi apabila dirilis ke publik, sehingga diperlukan penguatan konfigurasi dan pembatasan akses untuk meningkatkan keamanan aplikasi.