idNSA.id – Pengujian peneliti: 30 aplikasi kesehatan seluler untuk dokter menemukan bahwa semuanya memiliki API yang rentan.
Sekitar 23 juta pengguna aplikasi mobile kesehatan (mHealth) terkena serangan Application Programming Interface (API) yang dapat mengekspos informasi sensitif, menurut para peneliti.
Secara umum, API adalah perantara antara aplikasi yang menentukan bagaimana mereka dapat berkomunikasi satu sama lain dan memungkinkan mereka untuk bertukar informasi.
Peneliti Alissa Knight dengan Approov mencoba membobol API dari 30 vendor aplikasi mHealth yang berbeda, dengan perjanjian dia tidak akan mengidentifikasi yang rentan. Ternyata, mereka semua rentan
Jumlah rata-rata unduhan untuk setiap aplikasi yang diuji adalah 772.619.
Menurut laporan yang dihasilkan dari Approov, dari 30 aplikasi mHealth populer yang dianalisis, 77 persen di antaranya berisi key API hardcode, yang memungkinkan penyerang menghadang pertukaran informasi itu - beberapa di antaranya tidak kedaluwarsa. Tujuh persen di antaranya adalah milik pemroses pembayaran pihak ketiga yang secara eksplisit memperingatkan agar secret key mereka tidak di-hardcode dalam plaintext.
7 persen lainnya berisi nama pengguna dan kata sandi hardcode.
Namun bukan itu saja: Lebih dari seperempat (27 persen) aplikasi seluler yang diuji tidak memiliki perlindungan kode-obfuscation terhadap reverse engineering; dan semuanya tanpa kecuali tidak memiliki penyematan sertifikat, yang mencegah serangan man (or woman) in the middle (MITM), untuk menghadang komunikasi untuk mengamati dan memanipulasi catatan.
Selain itu, 50 persen penuh API yang diuji tidak mengautentikasi permintaan dengan token.
Dan terakhir, jika satu catatan pasien dapat diakses, seringkali banyak lainnya dapat diakses: 100 persen endpoint API yang diuji rentan terhadap serangan Broken Object Level Authorization (BOLA), yang memungkinkan peneliti untuk melihat Personal Health Information (PHI) dan Personal Identifiable Information (PII) untuk pasien yang tidak dimasukkan ke akun dokter peneliti.
Laporan itu mengatakan ada lebih dari 318.000 aplikasi yang tersedia di toko aplikasi.
"Permukaan serangan yang berkembang ini dengan cepat menarik perhatian sindikat kejahatan transnasional yang ingin mengunci dan membocorkannya untuk memeras pembayaran dari pemilik datanya dan menjualnya kepada penawar tertinggi," tulis Knight dalam laporan tersebut.
Pelaku ancaman memiliki insentif finansial yang besar untuk menargetkan API aplikasi mobile kesehatan ini. Knight menunjukkan bahwa sementara tarif yang berlaku di antara penjahat cybersecurity untuk nomor Jaminan Sosial adalah $1 dan nomor kartu kredit dijual seharga sekitar $110, uang besar ada dalam catatan medis lengkap, yang masing-masing harganya sekitar $1.000.
