Google Menyarankan Pengembang Android untuk Mengenkripsi Data Aplikasi Pada Perangkat
Google hari ini menerbitkan posting blog yang merekomendasikan pengembang aplikasi seluler untuk mengenkripsi data yang dihasilkan aplikasi mereka pada perangkat pengguna, terutama ketika mereka menggunakan penyimpanan eksternal yang tidak terlindungi yang rentan terhadap pembajakan.
Selain itu, mengingat tidak banyak kerangka referensi yang tersedia untuk hal yang sama, Google juga menyarankan untuk menggunakan perpustakaan keamanan yang mudah diterapkan yang tersedia sebagai bagian dari paket perangkat lunak Jetpack-nya.
Pustaka Jetpack Security (alias JetSec) bersumber terbuka memungkinkan pengembang aplikasi Android dengan mudah membaca dan menulis file terenkripsi dengan mengikuti praktik keamanan terbaik, termasuk menyimpan kunci kriptografi dan melindungi file yang mungkin berisi data sensitif, kunci API, token OAuth.
Untuk memberikan sedikit konteks, Android menawarkan pengembang dua cara berbeda untuk menyimpan data aplikasi. Yang pertama adalah penyimpanan khusus aplikasi, juga dikenal sebagai penyimpanan internal, di mana file disimpan dalam folder berpasir yang dimaksudkan untuk penggunaan aplikasi tertentu dan tidak dapat diakses oleh aplikasi lain pada perangkat yang sama.
Yang lainnya adalah penyimpanan bersama, juga dikenal sebagai penyimpanan eksternal, yang berada di luar perlindungan kotak pasir dan sering digunakan untuk menyimpan file media dan dokumen.
Namun, telah ditemukan bahwa sebagian besar aplikasi menggunakan penyimpanan eksternal untuk menyimpan data sensitif dan pribadi pada pengguna dan tidak mengambil langkah-langkah yang memadai untuk melindunginya dari aplikasi lain, memungkinkan penyerang mencuri foto dan video, dan merusak file (disebut "Media File Jacking").
Konsekuensi dari hal yang sama ditunjukkan dua tahun yang lalu dengan serangan "man-in-the-disk" yang memungkinkan penyerang untuk mengkompromikan aplikasi dengan memanipulasi data tertentu yang dipertukarkan antara itu dan penyimpanan eksternal.
Penelitian lain menunjukkan serangan saluran samping yang menggunakan penyerang yang diam-diam dapat mengambil gambar dan merekam video – bahkan ketika mereka tidak memiliki izin perangkat khusus untuk melakukannya, tetapi hanya dengan memanfaatkan akses ke penyimpanan eksternal perangkat.
Untuk mencegah serangan seperti itu, Android 10 dikirimkan dengan fitur yang disebut 'Penyimpanan scoped'Bahwa kotak pasir setiap data aplikasi di penyimpanan eksternal juga, dengan demikian membatasi aplikasi dari mengakses data yang disimpan oleh aplikasi lain di perangkat Anda. Tetapi perpustakaan JetSec mengambilnya selangkah lebih maju dengan menawarkan solusi yang mudah digunakan untuk mengenkripsi data untuk tingkat perlindungan ekstra.
"Jika aplikasi Anda menggunakan penyimpanan bersama, Anda harus mengenkripsi data," perusahaan menguraikan. "Di direktori home aplikasi, aplikasi Anda harus mengenkripsi data jika aplikasi Anda menangani informasi sensitif termasuk tetapi tidak terbatas pada informasi pengenal pribadi (PII), catatan kesehatan, perincian keuangan, atau data perusahaan."
Terlebih lagi, Google juga merekomendasikan bahwa pengembang aplikasi harus menggabungkan enkripsi dengan informasi biometrik untuk keamanan dan privasi tambahan.
Pustaka Keamanan Jetpack awalnya pratinjau Mei lalu di konferensi pengembang tahunannya. Itu datang sebagai bagian dari perluasan Android Jetpack, kumpulan komponen perangkat lunak Android yang membantu pengembang mengikuti praktik terbaik dan merancang aplikasi berkualitas tinggi.
