Pengujian keamanan aplikasi mobile memerlukan kombinasi analisis statis dan dinamis untuk memahami risiko secara menyeluruh. Pada praktik ini digunakan tiga tools utama, yaitu MobSF untuk analisis statis, ADB sebagai penghubung dan orkestrasi perangkat, serta Frida untuk instrumentasi dinamis pada runtime aplikasi Android. Seluruh proses dilakukan pada lingkungan Windows 11 tanpa WSL dan tanpa virtual machine.
Tahap persiapan awal dilakukan untuk menjalankan MobSF (Mobile Security Framework) menggunakan Docker pada sistem operasi Windows 11. MobSF akan digunakan sebagai alat utama untuk melakukan analisis statis terhadap file APK Android.
Pastikan Docker sudah terpasang dan berjalan dengan normal.
Kemudian jalankan perintah berikut pada Command Prompt atau PowerShell:
Perintah ini digunakan untuk mengunduh image resmi MobSF versi terbaru dari Docker Hub ke sistem lokal.
Setelah image berhasil diunduh, jalankan container MobSF dengan melakukan mapping port 8000 container ke port 8000 host:
Setelah container berjalan, buka browser dan akses alamat berikut: http://localhost:8000/
Jika berhasil, halaman dashboard MobSF akan tampil dan siap digunakan untuk analisis APK.
Gunakan kredensial default MobSF untuk masuk ke dashboard:
Setelah login, MobSF siap digunakan untuk melakukan analisis statis aplikasi Android.
Install Frida dan Frida-tools menggunakan pip:
Tunggu hingga proses instalasi selesai tanpa error. Lalu periksa versi Frida untuk memastikan instalasi berhasil:
Pastikan frida-server berjalan di device:
Catat hasilnya, biasanya: x86_64
Pastikan: Versi sama dengan Frida CLI → 17.5.2 dan ABI sama dengan device
Contoh nama file:
frida-server-17.5.2-android-x86_64.xz
Ekstrak sampai dapat file:
Rename menjadi:
Dari folder tempat frida-server berada:
Diamkan Terminal ini. Jika berhasil: Tidak ada error dan Cursor diam (frida-server running)
Menentukan lokasi file APK F-Droid pada emulator:
Mengambil file APK F-Droid dari emulator ke sistem host Windows:
APK diekstrak langsung dari emulator untuk dilakukan analisis statis di sisi host Windows.
Pastikan file tersedia
Setelah login, pada halaman utama MobSF, klik tombol Upload & Analyze.
Pilih file APK yang telah disiapkan sebelumnya (target.apk).
Tunggu proses upload dan analisis statis berjalan hingga selesai. Proses ini biasanya memakan waktu beberapa detik hingga beberapa menit, tergantung ukuran aplikasi.
Setelah proses analisis selesai, MobSF akan menampilkan halaman Summary Report yang berisi beberapa bagian utama sebagai berikut:
1. Manifest Summary
Menampilkan konfigurasi utama dari AndroidManifest.xml, antara lain:
2. Binary Analysis
Menampilkan hasil analisis terhadap kode aplikasi, meliputi:
Jika muncul process list → frida-server AKTIF
Buat file JavaScript baru, misalnya: hook.js
Isi file hook.js dengan script hooking sederhana berikut:
Script ini digunakan untuk memastikan bahwa Frida berhasil melakukan hooking ke runtime aplikasi.
Jalankan aplikasi target di device. Dari host Windows, jalankan perintah berikut:
Gunakan PID F-Droid (tadi: 3648):
Berdasarkan hasil analisis statis aplikasi menggunakan MobSF, diperoleh beberapa temuan penting terkait konfigurasi keamanan, komponen aplikasi, serta potensi risiko sebagai berikut:
1. Konfigurasi Aplikasi
android:debuggable
android:allowBackup
Risiko:
Data aplikasi berpotensi diekstrak melalui backup jika perangkat atau akun pengguna terkompromi.
Mitigasi:
Set android:allowBackup="false" untuk aplikasi produksi yang menangani data sensitif.
2. Komponen yang Diekspos (Exported Components)
Ditemukan beberapa activity dan receiver dengan android:exported="true", antara lain:
Risiko:
Komponen yang diekspos dapat dipanggil oleh aplikasi lain jika tidak dilindungi validasi atau permission tambahan, berpotensi menyebabkan component abuse.
Mitigasi:
Batasi komponen dengan android:exported="false" jika tidak diperlukan
Tambahkan validasi intent dan permission khusus pada komponen yang harus diekspos
3. Permissions Aplikasi
Tidak ditemukan permission berisiko tinggi seperti:
Permission yang digunakan sebagian besar relevan dengan fungsi aplikasi (network, storage, package management).
Risiko:
Beberapa permission seperti MANAGE_EXTERNAL_STORAGE dan QUERY_ALL_PACKAGES bersifat luas dan perlu kontrol ketat.
Mitigasi:
Terapkan prinsip least privilege dan evaluasi kembali permission dengan cakupan luas.
4. Hardcoded Strings / API Key Sensitif
Tidak ditemukan API key atau credential sensitif secara eksplisit pada manifest.
Informasi seperti versi aplikasi (1.23.1) tetap dapat terungkap melalui analisis runtime (dibuktikan pada tahap Frida).
Risiko:
Informasi internal dapat digunakan untuk fingerprinting aplikasi.
Mitigasi:
Minimalkan informasi sensitif di log dan string runtime
Gunakan obfuscation (ProGuard / R8)
Hasil analisis statis menggunakan MobSF menunjukkan bahwa aplikasi tidak berjalan dalam mode debug, namun masih mengaktifkan fitur allowBackup yang berpotensi memungkinkan ekstraksi data aplikasi. Ditemukan beberapa activity dan receiver yang diekspos ke luar aplikasi, sehingga berisiko terhadap penyalahgunaan komponen jika tidak dilengkapi validasi tambahan. Tidak ditemukan permission berisiko tinggi yang tidak relevan maupun API key sensitif secara eksplisit, meskipun informasi internal aplikasi masih dapat terungkap melalui analisis dinamis.
1. Hooking Runtime Berhasil
Frida berhasil attach ke proses aplikasi dengan PID 3648.
Script hook.js dieksekusi tanpa crash.
2. Class MainActivity Tidak Ditemukan
Frida gagal menemukan class org.fdroid.fdroid.MainActivity.
Makna Temuan:
Risiko:
Penyerang dapat memetakan struktur aplikasi melalui trial-and-error hooking
Mitigasi:
Terapkan obfuscation (R8 / ProGuard)
Minimalkan informasi class name yang mudah ditebak
3. Intersepsi Log Debug (Log.d)
Hook pada android.util.Log.d() berhasil.
Makna Temuan:
Mitigasi:
Hapus atau minimalkan log debug pada build produksi
Gunakan conditional logging (disable pada release build)
4. Kebocoran Informasi melalui String.toString()
Frida berhasil menangkap string internal aplikasi:
Makna Temuan (KRUSIAL):
Risiko:
Fingerprinting aplikasi (versi, fitur, kondisi internal)
Membantu eksploitasi lanjutan yang spesifik versi
Mitigasi:
Hindari menyimpan informasi sensitif dalam string runtime
Gunakan obfuscation string
Validasi lingkungan runtime (anti-instrumentation / anti-Frida)
Hasil analisis dinamis menggunakan Frida menunjukkan bahwa aplikasi dapat diinstrumentasi dan diamati pada saat runtime. Meskipun class MainActivity tidak ditemukan, hooking terhadap fungsi umum seperti Log.d dan String.toString berhasil dilakukan dan menghasilkan informasi internal aplikasi, seperti versi aplikasi. Hal ini membuktikan adanya potensi kebocoran informasi runtime yang tidak terdeteksi pada analisis statis.
Bukti pengujian dikumpulkan dalam bentuk screenshot, antara lain:
Seluruh bukti disimpan sebagai dokumentasi pendukung laporan.
Berdasarkan rangkaian pengujian yang dilakukan, integrasi analisis statis dan dinamis pada aplikasi Android berhasil dilaksanakan menggunakan MobSF, ADB, dan Frida. Analisis statis dengan MobSF mengungkap konfigurasi keamanan aplikasi, seperti aktifnya fitur allowBackup, adanya beberapa komponen yang diekspos, serta penggunaan permission dengan cakupan luas namun masih relevan dengan fungsi aplikasi. Selanjutnya, melalui analisis dinamis menggunakan Frida, berhasil dilakukan instrumentasi runtime dengan metode attach berdasarkan PID, yang membuktikan bahwa aktivitas internal aplikasi dapat diintersep saat berjalan, termasuk log debug dan string internal seperti informasi versi aplikasi. Meskipun tidak ditemukan kerentanan kritis secara langsung, hasil pengujian menunjukkan potensi kebocoran informasi runtime dan risiko penyalahgunaan komponen jika tidak dikonfigurasi dengan baik. Oleh karena itu, penerapan mitigasi seperti pembatasan komponen yang diekspos, penonaktifan log debug pada build produksi, serta penggunaan obfuscation menjadi langkah penting untuk meningkatkan keamanan aplikasi Android secara keseluruhan.