Sebuah tim peneliti dari University Columbia telah mengembangkan sebuah alat khusus untuk menganalisis apakah aplikasi-aplikasi Android menggunakan kode kriptografi dengan cara yang tidak aman.

Alat ini dinamai Cyrlogger yang telah digunakan untuk menguji 1.780 aplikasi Android, mewakili aplikasi populer di 33 kategori pada September dan Oktober 2019.

Para peneliti mengatakan alat tersebut mengecek 26 aturan kriptografi dan menemukan ada bug di 306 aplikasi Android. Di mana beberapa aplikasi telah melanggar satu aturan dan beberapa aplikasi lainnya melanggar lebih dari satu aturan terkait kriptografi.

Tiga aturan teratas yang paling banyak dilanggar meliputi larangan menggunakan PRNG yang tidak aman sebanyak 1.775 aplikasi, lalu larangan menggunakan fungsi hash yang rusak sebanyak 1.764 aplikasi dan larangan menggunakan mode operasi CBC sebanyak 1.076 aplikasi.

Aturan tersebut adalah aturan dasar, namun banyak yang tidak disadari oleh para pengembang karena tidak mempelajari keamanan aplikasi (APPSec) atau kriptografi lanjutan sebelum memasukkan ruang pengembangan aplikasi.

Peneliti University Columbia mengatakan setelah mereka menguji aplikasi, mereka juga telah menghubungi semua pengembang dari 306 aplikasi Android yang dinilai rentan.

"Semua aplikasinya populer, diunduh dari ratusan ribu hingga lebih dari 100 juta. Sayanganya, hanya 18 pengembang yang menjawab email kami dan hanya 8 dari mereka yang memberikan umpan balik terkait temuan kami," kata tim peneliti dari University Columbia yang dilansir detiKINET dari ZDNet

Sementara beberapa bug kripto ada di kode aplikasi, beberapa bug umum juga termasuk sebagai bagian dari library Java yang dipakai pada aplikasi.

Para peneliti mengatakan mereka juga telah menghubungi 6 pengembang library aplikasi Android populer. Namun seperti sebelumnya mereka hanya mendapatkan respon dari 2 diantaranya.

Karena tidak ada pengembang yang memperbaiki aplikasi dan library mereka, para peneliti menahan diri untuk tidak menerbitkan nama aplikasi dan library yang dinilai rentan untuk menghindari upaya eksploitasi terhadap pengguna aplikasi.

Secara keseluruhan, tim peneliti yakin bahwa mereka mengembangkan alat yang dapat dipercayai oleh pengembang Android sebagai utilitas pelengkap CryptoGuard.

Kedua alat tersebut saling melengkapi karena CryptoGuard adalah penganalisis statis yang menganalisis kode sumber sebelum dijalankan, sedangkan Cyrlogger adalah alat analisis dinamis yang menganalisis kode saat sedang dijalankan.

Karena keduanya bekerja pada level yang berbeda, akademisi percaya bahwa keduanya dapat digunakan untuk mendeteksi bus terkait kriptografi di aplikasi Android sebelum kode aplikasi mengenai perangkat pengguna.