Text
Analisis tren keamanan aplikasi Android pendaftaran pasien rumah sakit di indonesia terhadap risiko insufficient cryptography, insecure communication dan insecure data storage
Aplikasi Pendaftaran Online Rumah Sakit berbasis Android merupakan aplikasi penyedia jasa pelayanan kesehatan yang diciptakan untuk membantu memenuhi kebutuhan masyarakat dalam melakukan pendaftaran tanpa harus datang ke rumah sakit. Pada penelitian ini dilakukan analisis tren keamanan terhadap 3 (tiga) risiko kerentanan (Insecure Data Storage, Insecure Communication dan Insufficient Cryptography) pada 10 (sepuluh) aplikasi Pendaftaran Online Rumah Sakit diantaranya mengidentifikasi risiko maupun dampak kerentanan yang ditemukan, kemudian memberikan rekomendasi untuk mengantisipasi kerentanan tersebut. Metode yang digunakan penelitian ini mengacu pada OWASP Mobile Security Testing Guide (MSTG) yang terdiri dari 5 (lima) langkah yaitu preparation, intelligence gathering, mapping the application, exploitation dan reporting. Tahap preparation menyediakan segala kebutuhan sebelum melakukan pengujian. Tahap intelligence gathering dilakukan pengumpulan informasi terkait 10 (sepuluh) aplikasi dengan keyword Pendaftaran Online Rumah Sakit. Tahap mapping the application dilakukan analisis statis dan identifikasi menggunakan tool MobSF dan Visual Studio Code untuk memperoleh pemahaman terkait aplikasi dan menemukan kerentanan yang berpotensi terjadi. Tahap exploitation dilakukan validasi terhadap kerentanan yang ditemukan. Kemudian pada tahap reporting dilakukan dokumentasi dan pengolahan data yang diperoleh dari pengujian. Berdasarkan analisis tren pada aplikasi dengan keyword Pendaftaran Online Rumah Sakit teridentifikasi bahwa masih ditemukannya 3 (tiga) risiko kerentanan yaitu Insecure Data Storage (menguji penyimpanan lokal terhadap data sensitif, identifikasi data yang tersimpan pada local system, identifikasi log terhadap data sensitif, identifikasi data sensitif yang dikirim ke pihak ketiga, identifikasi cache keyboard dalam keadaan non-aktif pada fitur input teks, analisis data sensitif yang tersimpan dan terindikasi dapat diakses melalui IPC mechanisms dan memeriksa pengungkapan data sensitif melalui antarmuka pengguna), Insecure communication (memverifikasi enkripsi data pada jaringan, eavesdrop pada komunikasi jaringan yang tidak aman, melakukan verifikasi identitas pada endpoint) dan Insufficient Cryptography (melakukan pengujian terhadap konfigurasi algoritma standar kriptografi yang digunakan, identifikasi protokol kriptografi standar yang digunakan dan mengidentifikasi algoritma kriptografi yang tidak aman dan/atau tidak digunakan). Berdasarkan pengujian dan analisis tren keamanan terhadap 3 (tiga) jenis risiko kerentanan diperoleh hasil dengan nilai persentase tertinggi yaitu pada jenis risiko kerentanan Insecure Data Storage dengan nilai sebesar 52%. Berdasarkan kerentanan tersebut, diberikan rekomendasi keamanan diantaranya seperti melakukan enkripsi data sensitif pada penyimpanan khususnya pada file sharedpreferences aplikasi maupun file lain yang terindikasi menyimpan data sensitif, tidak menyimpan log pada memori/penyimpanan, semua data yang dikirim ke layanan pihak ketiga harus dianonimkan maupun dienkripsi, menonaktifkan keyboard cache pada aplikasi, menerapkan kebijakan keamanan dan memastikan aplikasi menerapkan perizinan yang tepat, memastikan bahwa teks yang dituliskan pada fitur input text aplikasi diganti dengan karakter lain yang tidak dapat dibaca, memastikan informasi sensitif dikirim melalui secure channels dengan menggunakan HttpsURLConnection atau SSLSocket, menggunakan CA (Certificate Authority) Trusted yang berasal dari penyedia sertifikat resmi dan terverifikasi, dan melakukan konfigurasi algoritma kriptografi sesuai dengan best practice dari NIST (National Institute of Technology) dan BSI (British Standards Institution). --
The Android-based Hospital Online Registration Application is a health service provider application that was created to help meet the needs of the community in registering without having to come to the hospital. In this study, an analysis of security trends was carried out on 3rd risk vulnerabilities (Insecure Data Storage, Insecure Communication, Insufficient Cryptography) in 10th Hospital Online Registration applications including identifying the risks and impacts of vulnerabilities found, then providing recommendations to anticipate these vulnerabilities. The method used in this study refers to the OWASP Mobile Security Testing Guide (MSTG) which consists of 5th steps, namely preparation, intelligence gathering, mapping the application, exploitation, reporting. The preparation stage provides all the needs before conducting the test. The intelligence gathering stage was carried out by collecting information related to 10th applications with the keyword Hospital Online Registration. The mapping phase of the application carried out static analysis and identification using MobSF and Visual Studio Code tools to gain an understanding of the application and find potential vulnerabilities. In the exploitation stage, validation is carried out on the vulnerabilities found. Then at the reporting stage, documentation and processing of data obtained from testing are carried out. Based on trend analysis on applications with the keyword Hospital Online Registration, it was identified that 3 (three) vulnerabilities were still found, such as Insecure Data Storage (testing local storage for sensitive data, identifying data stored on the local system, identifying sensitive data logs, identifying sensitive data). sent to third parties, identification of keyboard caches that are disabled in text input features, analysis of stored and indicated sensitive data accessible through IPC mechanisms and checking for disclosure of sensitive data through user interfaces), Insecure communication (verifies data encryption on the network, eavesdrop on insecure network communications, verifying identity at endpoints) and Insufficient Cryptography (testing the configuration of the standard cryptographic algorithm used, identifying the standard cryptographic protocol used and identifying the cryptographic algorithm unsafe and/or unused fi). Based on testing and analysis of security trends for 3 (three) types of vulnerability risk, the results with the highest percentage value are the Insecure Data Storage vulnerability risk type with a value of 52%. Based on these vulnerabilities, security recommendations are given, such as encrypting sensitive data on storage, especially in application shared preferences files and other files indicated to store sensitive data, not storing logs in memory/storage, all data sent to third party services must be anonymized or encrypted, disable keyboard cache in applications, enforce security policies and ensure applications apply proper permissions, ensure that text written in the application's text input feature is replaced with other unreadable characters, ensure sensitive information is sent through secure channels using HttpsURLConnection or SSLSocket, using CA (Certificate Authority) Trusted originating from official and verified certificate providers, and configure cryptographic algorithms according to best practices from NIST (National Institute of Technology) and BSI (British Standards In institutions).
Availability
Detail Information
- Series Title
-
-
- Call Number
-
2022 RID a
- Publisher
- Bogor : Politeknik Siber dan Sandi Negara., 2022
- Collation
-
xxi, 76 hlm.
- Language
-
Indonesia
- ISBN/ISSN
-
--
- Classification
-
--
- Content Type
-
-
- Media Type
-
-
- Carrier Type
-
-
- Edition
-
--
- Subject(s)
- Specific Detail Info
-
-
- Statement of Responsibility
-
Ridho Mauldiansyah
Other version/related
No other version available
File Attachment
Comments
You must be logged in to post a comment
Computer Science, Information & General Works 
Philosophy & Psychology 
Religion 
Social Sciences 
Language 
Pure Science 
Applied Sciences 
Art & Recreation 
Literature 
History & Geography