Security Musing and Writings

From time to time, our security professionals love to write-up their personal musing on a certain security issue. We hope some of these contents may provide additional food for thought. The write-up reflects each individual’s personal views and does not necessarily represent Securxcess as an organization.


SimCard swap attack ramai diperbincangkan, kenapa baru sekarang?


Akhir akhir ini marak berita tentang serangan simcard swap. Bagaimana cara serangan ini dilakukan dan apa pencegahan nya?


P2P lending mengambil data customernya tanpa izin, apakah benar?


Apakah benar aplikasi P2P Lendingmengambil data customer secara ilegal ?


Aplikasi Android menyimpan data secara plaintext. Aman kok datanya ga bisa diambil, apakah benar?


Beberapa developer bahkan menggangap sepele temuan local security storage tidak aman. Tapi apakah sebenernya menyimpan file dengan plaintext pada HP aman?


Aplikasi Android login hanya menggunakan sms, apakah aman?


Aplikasi mobile login hanya dengan menggunakan SMS sekarang makin marak. Akan tetapi apakah metode login ini aman?


QRIS sebagai pengimplementasian satu QR Code untuk Indonesia apakah transaksi anda aman?


Pemerintah mewajibkan implementasi QRIS untuk semua transaksi QRCode di Indonesia. Pengetesan implementasi QRIS pun diwajibkan, pa saja yang di pentest?


Temuan aplikasi dapat dijalankan pada device yang sudah di root/jailbreak apakah masih perlu ?


Kami akan mencoba ngebahas salah satu temuan yang paling sering ditemukan ketika pentest mobile aplikasi tidak adanya deteksi root


Don't Count on IP Address and Metadata Too Much


In investigating or tracing a security incident, we are sometimes asked to determine from whence or where an incident occurred, besides its perpetrator. Usually, we perform IP address tracing to get some sort of evidence. Another possible scenario is when we are faced with a situation where a file is thought to be the evidence and we are required to ascertain that. Sometimes in this case, merely checking its metadata is considered one of the best ways in determining whether it is valid as a piece of evidence. Unfortunately, it is not the case; not even close.