Temuan security penyimpanan file pada lokal storage tidak di-enkrip, memang tidak se-fancy temuan sqlinjection atau xss. Beberapa developer bahkan menggangap sepele temuan ini. Developer akan ber-argumentasi bahwa tidak mudah untuk mengambil file yg ada di HP begitu saja. Hal ini dikarenakan developer menganggap satu satu nya cara agar sebuah file didalam HP dapat diambil adalah apabila
- HP user tercuri
- Yang mencuri harus mengetahui password HP tersebut
- Kemudian yang mencuri harus melakukan root terlebih dahulu terhadap HP tersebut
- Barulah file atau data yang ada di dalam HP bisa dimanfaatkan
Asumsi developer diatas memang tidak salah, akan tetapi ada beberapa aplikasi yang sebenarnya bisa mencuri atau mengambil data data pada HP.
Belum lama ini kami menemukan sebuah aplikasi P2P lending yang tidak hanya meminta permission read dan write kepada “EXTERNAL STORAGE”, tetapi aplikasi ini juga meminta akses “INTERNAL STORAGE”. Apabila HP dari user memiliki fasilitas root dan user tidak mengerti apa saja permission yang perlu di-allow saat instalasi. Sepertinya langkah pencurian HP yang ada diatas bisa diskip.
Walaupun benar pencurian dilakukan oleh aplikasi lain dan bukan termasuk kelemahan aplikasi client, akan tetapi harusnya aplikasi client bisa menjaga agar aplikasi nya tidak dengan mudah dapat dibaca isi local storage nya . Hal ini dapat dilakukan dengan melakukan enkripsi pada setiap file yang akan disimpan pada local storage HP.
Terimakasih telah membaca artikel ini