ANALISIS KEAMANAN DATA PADA APLIKASI ANDROID MENGGUNAKAN HTTP CANARY (STUDI KASUS : SIAKADU UNESA MOBILE)

DATA SECURITY ANALYSIS ON ANDROID APPLICATION USING HTTP CANARY (CASE STUDY: SIAKADU UNESA MOBILE)

Saat ini, Teknologi berkembang pesat dan kita harus beradaptasi dengan cepat, salah satu teknologi tersebut adalah Internet, manusia dapat mencari informasi apapun dengan mudah, transaksi jual beli, dan sebagainya menggunakan website. Unesa sebagai Lembaga Pendidikan juga menggunakan website sebagai sumber informasi, untuk lebih memudahkan pengguna, Unesa mempunyai Siakad Unesa versi mobile, dalam Siakad Unesa versi mobile Mahasiswa bisa mendapatkan informasi seperti absensi, jadwal kuliah, lokasi kelas, nama Dosen, hasil nilai studi, riwayat pembayaran spp, profile Mahasiswa, dan lain sebagainya. Pada aplikasi yang menggunakan REST API tentunya membutuhkan koneksi internet untuk mengirim dan mendapatkan informasi dari server.  Aplikasi yang tidak menerapkan standar keamanan akan dengan mudahnya dimodifikasi atau diretas oleh pihak yang tidak bertanggung jawab. Dalam penelitian ini penulis menganalisis keamanan API pada aplikasi dengan menggunakan MitM untuk sniffing dan REST CLIENT untuk uji coba REST API serta saran untuk menghindari hal seperti yang telah disebutkan terjadi. Http Canary sebagai MitM dapat merekam seluruh traffic antara client dengan server, Postman sebagai REST CLIENT digunakan untuk uji coba REST API. Dari hasil pengujian yang telah dilakukan oleh penulis, aplikasi Siakad Unesa versi Mobile dinilai kurang aman, yakni hanya dengan menggunakan HTTP Canary sebagai MitM, MitM dapat merekam seluruh aktifitas aplikasi walaupun ber-SSL, dan server tidak memerlukan autentikasi pengguna dari aplikasi saat melakukan request API, selain itu tidak adanya pembatasan untuk melakukan request API sehingga seseorang dapat melakukan request berulang tanpa hambatan serta tidak adanya proses validasi NIM pengguna yang sedang login dengan yang diminta ke server sehingga Mahasiswa dapat meminta informasi tentang Mahasiswa lain.

Kata Kunci— Sniff, MitM, REST CLIENT, REST API, Website, Siakad.

Abstract — In today's world, technology is developing rapidly and we have to adapt fast.  One of these technologies is the internet, where humans are able to find any information easily, perform sell and purchase transactions, and so on through websites.  UNESA as an educational institution also utilizes websites as a source of information. To make it easier for users, UNESA has a mobile version of the Siakad Unesa. In the mobile version of Siakad Unesa, students are able to get information such as attendance, class schedules, class locations, lecturer names, study scores, tuition payment history, student profiles, et cetera. For applications which use REST API, an internet connection is a default requirement to send and receive information from the server. Applications which do not implement security standards will be easily modified or hacked by irresponsible parties. In this study, the writer analyzes the security of the API in the application using MitM for sniffing and REST CLIENT for testing the REST API as well as suggestions to avoid the risks mentioned above from happening. HTTP Canary as MitM may record all traffic between the client and server. Postman as a REST CLIENT is used for testing the REST API. From the results of the experiments that have been conducted by the writer, the Mobile version of the Siakad Unesa application is considered to be less secure, due to only using HTTP Canary as MitM. MitM is able to record all application activities even if they have SSL, and the server does not require user authentication from the application when making API requests, hence anyone is able make repeated requests without a problem and there is no student identification number validation process for users who are currently logged in with those requested to the server, thus students may ask for information about other students.

Keywords— Sniff, MitM, REST CLIENT, REST API, Website, Siakad