Peneliti Temukan Bug Kripto Berbahaya di 306 Aplikasi Android

"Seluruh aplikasi cukup populer, dengan jumlah unduhan mulai dari ratusan ribu hingga lebih dari 100 juta. Sayangnya hanya 18 pengembang yang menjawab email kami dan hanya 8 yang terus memberi umpan balik atas temuan kami," kata salah satu peneliti dari Columbia University.

Beberapa bugs kripto ada di kode aplikasi, sebagian bug lagi termasuk sebagai bagian dari library Java yang dipakai pada aplikasi.

Para peneliti menyebut, mereka juga telah menghubungi 6 pengembang library aplikasi Android terkemuka, namun hanya mendapatkan jawaban dari 2 di antaranya.

Karena tidak ada pengembang yang memperbaiki aplikasi dan library mereka, peneliti menahan diri untuk tidak menerbitkan nama aplikasi dan library yang dianggap rentan. Hal ini dilakukan untuk menghindari eksploitasi atas aplikasi.

Tim peneliti percaya, mereka mengembangkan tool yang bisa dipercaya oleh pengembang Android, sebagai pelengkap CryptoGuard.

Kedua tool tersebut saling melengkapi karena CryptoGuard berfungsi menganalisis source code sebelum dijalankan. Sementara Crylogger adalah alat analisis dinamis yang berfungsi menganalisis kode saat sedang dijalankan.

Karena keduanya bekerja pada level yang berbeda, pada peneliti percaya keduanya bisa digunakan untuk mendeteksi bugs kriptografi di aplikasi Android, sebelum kode dijalankan pada perangkat pengguna.

(Tin/Ysl)