idNSA.id - Google menerbitkan posting blog yang merekomendasikan pengembang aplikasi seluler untuk mengenkripsi data yang dihasilkan aplikasi mereka pada perangkat pengguna, terutama ketika mereka menggunakan penyimpanan eksternal yang tidak terlindungi yang rentan terhadap pembajakan.
Selain itu, mengingat tidak banyak referensi framework yang tersedia untuk hal yang sama, Google juga menyarankan untuk menggunakan security library yang mudah diterapkan yang tersedia sebagai bagian dari paket perangkat lunak Jetpack-nya.
Pustaka Jetpack Security (alias JetSec) bersumber terbuka memungkinkan pengembang aplikasi Android dengan mudah membaca dan menulis file terenkripsi dengan mengikuti best security practice termasuk menyimpan kunci kriptografi dan melindungi file yang mungkin berisi data sensitif, kunci API, token OAuth.
Untuk memberikan sedikit konteks, Android menawarkan pengembang dua cara berbeda untuk menyimpan data aplikasi. Yang pertama adalah penyimpanan khusus aplikasi, juga dikenal sebagai penyimpanan internal, di mana file disimpan dalam sandbox yang dimaksudkan untuk penggunaan aplikasi tertentu dan tidak dapat diakses oleh aplikasi lain pada perangkat yang sama.
Yang lainnya adalah penyimpanan bersama, juga dikenal sebagai penyimpanan eksternal, yang berada di luar perlindungan sandbox dan sering digunakan untuk menyimpan file media dan dokumen.
Namun, telah ditemukan bahwa sebagian besar aplikasi menggunakan penyimpanan eksternal untuk menyimpan data sensitif dan pribadi pada pengguna dan tidak mengambil langkah-langkah yang memadai untuk melindunginya dari aplikasi lain, memungkinkan penyerang untuk mencuri foto dan video , dan merusak file (disebut "Media File Jacking").
Konsekuensi dari hal yang sama ditunjukkan dua tahun yang lalu dengan serangan " man-in-the-disk " yang memungkinkan penyerang untuk mengkompromikan aplikasi dengan memanipulasi data tertentu yang dipertukarkan antara itu dan penyimpanan eksternal.
Penelitian lain menunjukkan side channel attack menggunakan penyerang mana yang dapat mengambil gambar secara diam-diam dan merekam video - bahkan ketika mereka tidak memiliki izin perangkat khusus untuk melakukannya, tetapi hanya dengan memanfaatkan akses ke penyimpanan eksternal perangkat.
Untuk mencegah serangan seperti itu, Android 10 dikirimkan dengan fitur yang disebut ' Penyimpanan Scoped ' yang mem -sandbox data masing-masing aplikasi di penyimpanan eksternal juga, sehingga membatasi aplikasi dari mengakses data yang disimpan oleh aplikasi lain di perangkat Anda. Tetapi perpustakaan JetSec mengambilnya selangkah lebih maju dengan menawarkan solusi yang mudah digunakan untuk mengenkripsi data untuk tingkat perlindungan ekstra.
"Jika aplikasi Anda menggunakan penyimpanan bersama, Anda harus mengenkripsi data," perusahaan menguraikan . "Dalam direktori home aplikasi, aplikasi Anda harus mengenkripsi data jika aplikasi Anda menangani informasi sensitif termasuk tetapi tidak terbatas pada informasi pengenal pribadi (PII), catatan kesehatan, perincian keuangan, atau data perusahaan."
Terlebih lagi, Google juga merekomendasikan bahwa pengembang aplikasi harus menggabungkan enkripsi dengan informasi biometrik untuk keamanan dan privasi tambahan.
Pustaka Keamanan Jetpack awalnya pratinjau Mei lalu di konferensi pengembang tahunannya. Itu datang sebagai bagian dari perluasan Android Jetpack , kumpulan komponen perangkat lunak Android yang membantu pengembang mengikuti praktik terbaik dan merancang aplikasi berkualitas tinggi.
Sumber Artikel: TheHackerNews
