PASSCODE VULNERABILITY ON POCKET EXPENSE FOR ios

dokumen-dokumen yang mirip
LINE CHAT VULNERABILITY:

Content Injection at Accounts Page that could Result Reflected Cross Site Scripting

TUTORIAL MENJAILBREAK IOS7 PADA IPAD DENGAN MUDAH

Cara Menghapus dan Menyembunyikan History Download Aplikasi di App Store

PT. SINARMAS SEKURITAS. Panduan Instalasi. Simas Mobile for iphone & ipad

Missing CSRF Token that could Illegally Send a Message

Missing CSRF Token that could Illegally Delete the Conversation

Token s Problem that could result of Unrestricted Deletion of People s Bank Account and User s Bank Account Enumeration

Cara Aktivasi Di Website Bank Mandiri

Cara Backup Application Data di ios Menggunakan Appbackup [jailbreak]

PERBEDAAN CHROME DENGAN CHROMIUM

Cara Membuka Iphone Yang Terkunci

Pendahuluan. Praktikum Pengantar Pengolahan Citra Digital Departemen Ilmu Komputer Copyright 2008 All Rights Reserved

APLIKASI E-PROCUREMENT

CIMB GROUP. ios User Manual

Server & Client Overview

APLIKASI E-PROCUREMENT MTI. Versi 1.0

BAB I PENDAHULUAN. 1.1 Latar Belakang Penelitian. Teknologi tidak dapat dipisahkan dari kehidupan manusia, selama

ipad Tampilan layar ipad

Format Pelaporan Bug. Pelaporan Bug dilakukan dengan cara mengirim ke milis

GioBox ios Application Manual

Bypassing the Limitation of Brute Force Attack on Microsoft Service Account that could Lead to Account Take Over

Beberapa Cara Upload Website ke Hosting Server

b. Materi Kuliah Online Pada bagian ini, netter dapat men-download materi kuliah Quantum yang disampaikan di ruang kelas.

MENGGUNAKAN APLIKASI TELEGRAM DI BERBAGAI PERANGKAT

Gambar 10.1 Contoh Tabel Paradox

Cara Menggunakan Aplikasi ShareIt

1.1 Perkembangan Foto Video

PANDUAN PENGGUNAAN. Permohonan Perpanjangan Jangka Waktu Merek Terdaftar Melalui Aplikasi e-filing DJKI

Metode Autentikasi melalui Saluran Komunikasi yang Tidak Aman

User Guide. System Sertifikasi LSP TIK Indonesia LSP TIK INDONESIA

Petunjuk Teknis Instalasi MySQL dan Penempatan File Database SIKI

LATAR BELAKANG A. Tujuan

Mengenal dan Bermain dengan Android

I. LATAR BELAKANG Naskah atau dokumen merupakan salah satu produk yang dihasilkan dalam sebuah tatanan organisasi, mulai dari perencanaan,

Ada berbagai jenis sistem operasi (OS) yang dijalankan perangkat keras yang beredar pasaran:

PENGEMBANGAN ALAT BANTU PEMROGRAMAN APLIKASI PERANGKAT BERGERAK MENGGUNAKAN JAVA

Instalasi Aplikasi Pada Perangkat Mobile. instalasi aplikasi pada perangkat mobile berbasis android :

Travelair N Penyimpanan Nirkabel

BAB I PENDAHULUAN. mutlak. IM berbeda dengan dari cara penggunaannya, IM bisa dikelompokkan

MANUAL GRIPS RA 3.6.2

PT. GRAND BEST INDONESIA

PT. INTI KARYA PERSADA TEHNIK (IKPT)

PERBEDAAN ANDROID DAN IPHONE

Bagaimana Cara Menerbitkan Buku Digital?

7 Aplikasi Pendidikan Berbasis Sosial Mendia

Making Provisions for Applications and Services

BAB IV HASIL DAN UJI COBA

App Nota. Copyright <07/12/2017> by <Asep Iksan Jukara, S.IP.>. All Rights Reserved.

PANDUAN INSTALASI CLIENT KUNANG-KUNANG DIGITAL SIGNAGE (LINUX SYSTEM) 16 Maret 2015

BAB V IMPLEMENTASI DAN PENGUJIAN SISTEM

Manual Book MedisClick AAI International Page 1

Cara menggunakan APENDO Versi 3.1 Untuk Memasukan Dokumen Penawaran

User Guide Outlook Web Application (OWA)

BAB 1 PENDAHULUAN. untuk mengirimkan pesan, tetapi juga bisa menggunakan layanan yang tersedia di

BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI

PT. INTI KARYA PERSADA TEHNIK (IKPT)

Prosedur instalasi aplikasi Tuntun adalah dengan mengunduh Tuntun.apk pada

Masuk ke website Refworks

BAB 2 TINJAUAN PUSTAKA

Sakuku, Bikin Hangout Makin All Out!

Halaman StyleJob Buyer (Admin)

Panduan Pengunaan Google Apps

MANUAL BOOK USER SISWA JBCLASS

DAFTAR ISI. A. Memperkenalkan Kentongan... 1

FAQ MEGA MOBILE Apa itu layanan Mega Mobile? Apa saja syarat untuk memperoleh atau menggunakan layanan Mega Mobile?

Making Provisions for Applications and Services

RINGKASAN SOP REGISTRASI ITDS

MANUAL BEL SEKOLAH OTOMATIS [BOIS]

Panduan Instalasi. AndaraLink Android. Bank Andara. Version P a n d u a n I n s t a l a s i A n d a r a L i n k A n d r o i d

BAB 1 PENDAHULUAN. yang berbeda-beda untuk mendapatkan makanan yang diinginkan. Pada saat ini

MANUAL PROCEDURE PETUNJUK & MEKANISME PENGOPERASIAN ELEARNING

Cara Root Hp Android Langsung Dari Hp Android Menggunakan Framaroot

Bagaimana Cara Mengakses e-journals di Cambridge Core. By Jona Giovani Cambridge University Press 2017

Perbedaan dan Kelebihan serta Kekurangan Gmail dan Yahoo Mail

MENYUSUN WEB-BASED ASSASSMENT SEBAGAI SISTEM PENILAIAN OTOMATIS BERBASIS WEB MENGGUNAKAN QUIZSTAR 1 Oleh : Sabar Nurohman, M.

No Produk Manfaat 1 Asuransi Kesehatan Kumpulan (SmartHealth Classic Premier, SmartHealth Blue Sapphire, SmartHealth Light Titanium)

Pengenalan Dan Penggunaan Onedrive

PANDUAN PENGGUNAAN APLIKASI E-LHKASN.

Buletin Foto dan Dokumentasi

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

6 Fitur Unggulan iphone 5S

FAKTOR INTERNAL PERUSAHAN APPLE Inc.

Analisa Dan Perancangan Sistem Aktivasi Lisensi Software Sesuai Dengan Spesifikasi Hardware

Methods of Manual Penetration Testing (Actual Exploit)

Frequently Asked Questions (FAQ) Gratis Uang Saku Rp ,- dengan Aplikasi Mobile Mandiri Fiestapoin

Modul Teknis Penggunaan Mendeley dalam Penulisan KTI

BAB III PERANCANGAN SISTEM

TUTORIAL Manajemen File Mendeley

Rancang Bangun Aplikasi Pencatatan Pengeluaran Biaya Dan Pelaporan Anggaran Biaya Karyawan Marketing And Admission

Cara Mudah Membuat Website

FAQ LAYANAN MEGA MOBILE

Petunjuk Teknis Aplikasi E-Licensing Perbankan bagi User External

SISTEM INFORMASI AIR TANAH

BAB 1 PENDAHULUAN 1.1 Latar Belakang

Sleman Sembada, Sleman Membaca PERPUSTAKAAN DIGITAL BUKU MANUAL SLEMAN1 VERSI WINDOWS

Transkripsi:

PASSCODE VULNERABILITY ON POCKET EXPENSE FOR ios July 22 th, 2014 @YoKoAcc (yk@firstsight.me) [Indonesian Version]

DAFTAR ISI DAFTAR ISI... 1 DAFTAR GAMBAR... 2 I. ABSTRAK... 3 II. PENDAHULUAN... 3 III. AFFECTED VERSION AND CONDITION... 4 IV. PROOF OF CONCEPT... 4 V. RESPONSE FROM DEVELOPER... 6 VI. SUMMARY AND RECOMMENDATION... 7 VII. ADDITIONAL INFORMATION... 8 1 P a g e

DAFTAR GAMBAR Figure 1 Pocket Expense Version for ios... 4 Figure 2 Pocket Expense Application Directory... 4 Figure 3 SQLite Files on Directory Folder... 5 Figure 4 PocketExpense Database Structure... 5 Figure 5 Passcode on ios 7 - ipad Mini Retina Display... 5 Figure 6 Passcode on ios 6 - iphone 4s... 6 Figure 7 Pocket Expense v.4.5.1... 6 Figure 8 Bug Report to Developer... 7 Figure 9 Purchase Date and Purchase History... 8 Figure 10 Show in itunes Store... 8 2 P a g e

I. ABSTRAK Di dalam kehidupan sehari-hari, sering kali seseorang mengalami kesulitan dalam mengatur pola keuangannya dengan tepat. Pengaturan ini sendiri pada umumnya dapat berupa pencatatan aktivitas pemasukan ataupun pengeluaran baik yang sudah lalu maupun yang akan datang. Di era yang serba digital seperti sekarang ini, pencatatan secara manual tentunya telah menjadi kendala tersendiri yang sudah pasti akan sulit terwujud bagi sebagian besar orang. Selain karena tidak begitu efektif dalam hal pencatatan dan pencarian, proses secara manual ini pun memiliki hambatan tersendiri dikarenakan sulitnya untuk melindungi catatan yang ada dari adanya penggunaan tanpa izin. Dengan melihat kebutuhan dalam mengatasi kendala yang ada inilah, beberapa developer maupun perusahaan bermunculan untuk membuat dan menawarkan berbagai perangkat lunak yang dapat membuat penggunanya dapat dengan mudah mengatur pola keuangan mereka. Spending Tracker, Money Monitor, ataupun Pocket Expense hanyalah beberapa perangkat lunak yang terbilang cukup terkenal dan menjajaki pencarian utama untuk kata kunci money ataupun account pada itunes Indonesia. Beberapa developer atau perusahaan pun menyadari pentingnya data yang ada sehingga mereka juga menawarkan perlindungan yang dinilai dapat menjaga kerahasiaan penggunanya. Pada umumnya, perlindungan ini berupa PIN yang secara umum juga dikenal sebagai Passcode. Pada topik ini, penulis akan membahas mengenai kelemahan akan keamanan (Passcode) yang ditawarkan oleh Pocket Expense (http://www.appxy.com/pocket-expense/) yang telah penulis laporkan ke pihak developer pada July 7 th, 2014 GMT+7 lalu. II. PENDAHULUAN Passcode merupakan suatu kebutuhan pasti bagi setiap orang yang ingin menjaga kerahasiaan akan suatu hal yang dianggap perlu untuk dirahasiakan. Berdasarkan pengertian dari OxfordDictionaries, Passcode berarti A string of characters used as a password, especially to gain access to a computer or smartphone. Di lain sumber, passcode pun dapat disamakan sebagai password yang juga merupakan suatu mekanisme yang umum dipakai dalam penunjukan suatu identitas. Passcode dan Password ini sendiri pun dinilai sebagai suatu hal yang umumnya dibuat oleh pengguna. Secara garis besar, perbedaan di antara keduanya (baik passcode maupun password) terletak dari sisi karakter yang dimasukan. Bila pada passcode pengguna diharuskan hanya memasukan angka, maka pada password, pengguna dapat memasukan campuran dari alphabet, angka, maupun simbol. Mari kita langsung masuk ke inti dari topik ini. Seperti yang telah dijelaskan sebelumnya, Pocket Expense merupakan salah satu aplikasi yang menawarkan kemudahan untuk penggunanya mengatur pola keuangan. Appxy selaku developer pun menawarkan fitur penggunaan passcode yang hanya dapat diperoleh penggunanya bila telah membeli pro version dari aplikasi terkait. Sesuai dengan pembahasan di bagian abstrak, pada aplikasi ini, penulis mendapati bahwa seorang Attacker dapat memperoleh passcode dari aplikasi Pocket Expense yang telah diatur oleh penggunanya dalam melindungi data yang ada. Tentunya, dengan memanfaatkan passcode ini, Attacker akan dapat menggunakannya untuk login ke dalam aplikasi terkait atau bahkan memanfaatkannya untuk login ke idevice milik pengguna. Mengapa demikian? Karena pada umumnya, seseorang akan menggunakan passcode yang sama sebagai suatu penunjuk identitas di berbagai sistem yang memiliki fitur login dengan passcode. Terlebih lagi, passcode pada Pocket Expense juga berjumlah 4 digit seperti halnya milik idevice yang dikeluarkan oleh Apple (bila pengguna hanya mengaktifkan simple passcode pada idevice miliknya). Sekedar informasi, penulis menggunakan Pocket Expense versi 4.5.1. yang merupakan 1 versi sebelum versi 5.2.1 yang telah dikeluarkan oleh Appxy setelah penulis melaporkan kerentanan pada passcode yang ada. 3 P a g e

Figure 1 Pocket Expense Version for ios III. AFFECTED VERSION AND CONDITION Versi dari Pocket Expense yang memiliki celah keamanan ini yaitu versi 4.5.1. Berikut ini merupakan kondisi yang memungkinkan Attacker untuk membaca passcode dari Pocket Expense: 1. idevice tidak perlu berada dalam keadaan ter-jailbreak. 2. idevice tidak perlu berada dalam keadaan stand by. Dengan kata lain, celah ini juga dapat dimanfaatkan walau idevice yang ada sedang dalam keadaan ter-lock oleh passcode untuk idevice itu sendiri. 3. Penulis mencoba di Pocket Expense untuk iphone dan ipad dengan ios versi 6.1.3 dan 7.1.1. IV. PROOF OF CONCEPT 1. Hubungkan idevice yang memiliki Pocket Expense di dalamnya dengan PC. 2. Akses direktori Applications pada idevice dengan iexplorer tools seperti ifunbox. 3. Masuk ke aplikasi Expense. Figure 2 Pocket Expense Application Directory 4 P a g e

4. Masuk ke dalam direktori Documents dan kita akan melihat beberapa file yang salah satu di antaranya merupakan file ber-format sqlite. Figure 3 SQLite Files on Directory Folder 5. Buka file PocketExpense1.0.0.sqlite dengan SQLiteBrowser atau semacamnya. Figure 4 PocketExpense Database Structure 6. Setelah itu, akses ke table ZSETTING dan perhatikan bagian ZPASSCODE. Anda akan melihat bahwa passcode yang digunakan untuk melindungi data dari Pocket Expense ini tersimpan secara plaintext dan dapat diakses walaupun idevice tidak dalam keadaan ter-jailbreak. Figure 5 Passcode on ios 7 - ipad Mini Retina Display 5 P a g e

Figure 6 Passcode on ios 6 - iphone 4s Figure 7 Pocket Expense v.4.5.1 V. RESPONSE FROM DEVELOPER Belum terdapat respon dari pihak developer terhadap email yang berisikan kerentanan dari aplikasi Pocket Expense yang telah penulis kirimkan pada July 7 th, 2014 lalu. Namun uniknya, pihak developer telah memperbaiki dan mengupdate kedua aplikasi mereka (untuk iphone dan ipad) di App Store per July 16 th, 2014. Hal yang sangat disayangkan adalah, pengguna Pocket Expense berbayar pada versi 4.5.1 tidak akan mendapatkan update terkait kerentanan yang ada dan bahkan versi ini telah dihilangkan oleh pihak developer. Dengan kata lain, pengguna diharuskan untuk membeli kembali aplikasi yang telah dibuat yang sekarang telah menjadi versi 5. Namun sisi positif dari hal ini adalah, pengguna sudah tidak perlu mengkhawatirkan kendala yang ada. 6 P a g e

Figure 8 Bug Report to Developer VI. SUMMARY AND RECOMMENDATION Secara umum, dengan memanfaatkan kerentanan ini, tentunya Attacker akan dapat meraih akses ke dalam data yang tersimpan di dalam aplikasi terkait. Selain itu, kerentanan ini pun dapat membahayakan pengguna idevice yang terbiasa menyamaratakan value dari passcode yang ada. Sebagai contoh, passcode yang digunakan oleh pengguna pada aplikasi Pocket Expense ini yaitu 5566. Bukan tidak mungkin bila pengguna pun menggunakan simple passcode yang sama pada idevice mereka yang berarti akan dapat mengakibatkan penyalahgunaan dengan dampak yang lebih besar. Dengan melihat status yang ada terkait hal ini, maka rekomendasi yang dapat diterapkan oleh para pengguna bila tidak hendak membeli versi terbaru dari aplikasi ini adalah: 1. Mematikan fitur simple passcode apabila memang pengguna lebih terbiasa menggunakan satu jenis kombinasi untuk keseluruhan identitas. 2. Bila tetap ingin menggunakan simple passcode, maka pengguna dianjurkan untuk membedakan antara passcode untuk login ke idevice dengan passcode untuk login ke aplikasi Pocket Expense. Dan bila pengguna tidak memiliki keberatan untuk membeli versi terbarunya, tentu hal ini sudah tidak menjadi kekhawatiran tersendiri mengingat bahwa Pocket Expense sudah tidak lagi menyimpan value dari passcode sesuai dengan yang dipaparkan pada paper sederhana ini. 7 P a g e

VII. ADDITIONAL INFORMATION 1. Penulis menggunakan Pocket Expense berbayar dengan versi 4.5.1 untuk ipad dan iphone yang penulis beli dari App Store pada April 2014 lalu. Figure 9 Purchase Date and Purchase History 2. Logo dari versi berbayar Pocket Expense dibedakan dengan versi gratis nya. Bila pada versi gratis logonya berwarna merah, maka pada versi berbayar, logonya berwarna biru. 3. Pocket Expense berbayar untuk ipad (v.4.5.1) sudah tidak memperoleh update. Hal ini dapat dilihat dengan membuka daftar aplikasi kita pada perangkat lunak itunes dan mencoba mengakses Pocket Expense di App Store melalui daftar yang sudah di-download. Figure 10 Show in itunes Store 4. Penulis tidak mengetahui secara pasti jadwal release versi 5 berbayar nya karena bila merujuk terhadap versi 5 berbayar di App Store, jadwalnya release nya per bulan Mei 2014. Sedangkan perbaikan untuk versi gratis nya muncul per 16 July 2014 yang melompat dari versi 4.5.1 ke versi 5. 8 P a g e

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan