Static Analysis

Setelah konfigurasi telah dilakukan baik disisi server maupun client, langkah pertama yaitu melakukan static analysis. Hal yang pertama dilakukan dapat melakukan static analysis menggunakan MobSF.

Static analysis merupakan teknik pengujian keamanan yang dilakukan dengan menganalisis source code, bytecode, dan resource aplikasi Android (APK) tanpa benar-benar menjalankan aplikasi tersebut. Tujuannya adalah untuk mengidentifikasi potensi kerentanan, kelemahan keamanan, dan praktik coding yang buruk dengan memeriksa struktur, sintaks, dan konfigurasi aplikasi.

Untuk menjalankan tool MobSF dengan mudah, cukup dengan menjalankan perintah berikut dengan menyiapkan aplikasi docker pada device yang digunakan.

docker pull opensecurity/mobile-security-framework-mobsf:latest docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest default credentials yang digunakan adalah mobsf/mobsf

Untuk detail penggunaan MobSF dapat dilihat pada link berikut https://github.com/MobSF/Mobile-Security-Framework-MobSF

Jika sudah, untuk melakukan static analisis, upload file .apk yang akan dianalis tersebut

Dari hasil static analysis yang telah dilakukan menggunakan MobSF ini, ditemukan beberapa informasi mengenai:

• Permission application yang rentan

• Manifest Analysis

• Possible Hardcoded Secrets

• Activities

• Isi dari file AndroidManifest.xml

Selain menggunakan MobSF, analysis dapat juga digunakan menggunakan aplikasi Jadx. Dengan aplikasi Jadx ini dapat melakukan decompile file .apk yang ada.

Thanks, Stay Ethical & Happy Hacking! 🍻