Windows Mobile Security Software Analysis - Narenda Wicaksono

Windows Mobile Security Software Analysis

Smartphone saat ini menjadi piranti mobile yang cukup populer dikalangan profesional perusahaan karena fungsionalitasnya yang dapat mendukung kinerja profesional. Smartphone dengan sistem operasi Windows Mobile merupakan salah satu yang paling populer. Dampaknya, aplikasi Windows Mobile cukup banyak popularitasnya di pasaran. Beberapa diantaranya merupakan aplikasi yang menyimpan informasi personal yang penting dan sensitif misalnya: informasi finansial, kartu kredit, account email, dan nomor sandi pribadi (password). Namun beberapa aplikasi yang menyimpan informasi yang penting dan sensitif yang beredar di pasaran justru tidak memiliki sistem keamanan yang baik. Bahkan ada sebuah aplikasi messenger yang menyimpan password di registry dalam bentuk plain teks. Dapat dibayangkan betapa mudahnya membaca password account email pemilik piranti. Akan lebih mengerikan lagi jika informasi tersebut jatuh ke tangan orang yang tidak bertanggung jawab, misalnya menggunakan account tersebut untuk menyebarkan virus atau black mail. Berikut akan dibahas mengenai kelemahan-kelemahan dari beberapa aplikasi tersebut. Pembahasan akan difokuskan pada skema perlindungan terhadap password, skema proteksi data, dan skema proteksi aplikasi.

Perlindungan Terhadap Password

Beberapa aplikasi Windows Mobile yang beredar dipasaran ternyata menyimpan password dalam registry sistem operasi Windows Mobile. Untuk menampilkan daftar registry sistem operasi Windows Mobile digunakan sebuah kakas perangkat lunak gratis yaitu PHM Registry Editor. Aplikasi tersebut menyimpan user name dan password account pengguna dalam bentuk plain teks di alamat registry:  HKCU\Software\PDAapps\VeriChat\client# yang dapat dengan mudah di baca dengan kakas PHM Registry Editor. Aplikasi lain yang menyimpan password pengguna dalam bentuk plain teks pada registry antara lain: Agile Messenger, MSN Messenger Force, Imov Messenger dan File Transfer Anywhere (File Transfer Protocol client). Sedangkan beberapa aplikasi berikut menyimpan password dan informasi account dalam bentuk file teks yang tidak disembunyikan antara lain: IM+PPC (Messenger Application), NeoFTP (File Transfer Protocol client), dan ThunderHawk (Web Browser).

Skema Proteksi

Microsoft Money for Windows Mobile 2006 adalah sebuah program untuk manajemen finansial. Untuk menjalankan aplikasi tersebut, pengguna akan diminta untuk mengisikan password yang valid. Password tersebut bukan digunakan untuk mengenkripsi data karena data pengguna disimpan dalam plain teks di brankas basis data. Password tersebut hanya digunakan untuk menvalidasi proses aplikasi agar berjalan. Data pengguna dapat dengan mudah dibuka dengan program Query Analyzer sederhana.

Password tersebut disimpan dalam alamat registry: HKLM\SOFTWARE\Microsoft\Money2000CE\Options\Display dalam cipher teks. Sistem enkripsinya pun menggunakan algoritma yang lemah dan dapat dengan mudah dipecahkan. Alasan penggunaan algoritma sederhana tersebut tidak dapat dimengerti, mengingat Cryptography Application Programming Interface (CryptoAPI) Windows Mobile secara default telah menyediakan beberapa algoritma enkripsi yang cukup kuat. Bug lain yang sangat menyedihkan dari perangkat lunak produk Microsoft ini adalah, menghapus key password pada registry mengakibatkan aplikasi akan berpikir bahwa opsi password tidak diset oleh pemilik account sehingga aplikasi ini dapat diakses tanpa password.

Masalah yang terakhir ini juga terjadi pada beberapa aplikasi lain dengan skema yang sedikit berbeda, misalnya pada Pocket Money yang jika ingin mematikan proteksi password cukup dengan mengubah nilai key registry:\HKLM\SOFTWARE\Handmark\PocketMoney\Active Password ke nilai 0. Masalah ini terjadi dengan skema serupa pada MoneyTracer dan Passman.

Algoritma yang Tidak Sempurna

Ada sebuah contoh lagi tentang kelemahan aplikasi yang dilindungi oleh password. Kasus ini terjadi pada Password Master, sebuah aplikasi Windows Mobile yang menyediakan penyimpanan password, dan informasi berharga lainnya. Kelemahan dari aplikasi ini adalah menyediakan fitur ‘hint’ yang memberikan kesempatan kepada pengguna untuk mendapatkan password jika mereka lupa password berdasarkan jawaban atas pertanyaan rahasia. Jika seorang pemakai Password Master tidak pernah melakukan konfigurasi pada fitur ini, maka program akan memberikan password kepada siapapun pemakai terhadap apapun jawaban atas pertanyaan ‘hint’ tersebut. Sebuah algoritma yang sangat tidak aman untuk sebuah aplikasi yang mengorganisasi informasi yang sensitif dan selayaknya memiliki tingkat keamanan yang tinggi.

Sistem Keamanan Operasi

Klaim Microsoft terhadap keamanan sistem operasi Windows Mobile tidak sepenuhnya benar. Karena Windows Mobile tidak seperti Windows XP yang menerapkan arsitektur keamanan tingkat tinggi misalnya: otentikasi Kerberos, sistem enkripsi file atau firewall. Bahkan proses signing untuk DLL atau EXEs yang populer melalui Mobile2Mobile dapat dengan mudah ditembus dengan simple buffer overflow. Oleh karena itu mengerti limitasi dari sistem operasi mutlak diperlukan agar dapat mengembangkan aplikasi yang benar-benar aman.

Windows Mobile secara default memiliki fitur proteksi yang akan melindungi isi piranti dari pengguna yang tidak berhak dengan otentikasi password. Skema penghapusan terhadap informasi penting, sudah banyak diterapkan oleh beberapa pengembang piranti lunak Windows Mobile jika pengguna salah memasukkan password dalam aplikasi yang mereka kembangkan. Akan tetapi informasi tersebut biasanya berupa basis data atau informasi yang dikelola oleh aplikasi tersebut. Belum ada aplikasi yang melindungi data-data yang dikelola oleh aplikasi-aplikasi dalam Windows Mobile. Misalnya file Word, Excel atau PDF yang terdapat pada Memory External.

Share this post: | | | |
Published Wednesday, February 7, 2007 9:49 AM by Narenda Wicaksono
Filed under:

Comments

# Windows Mobile Security Software Analysis « Saiddoang's Blog

Wednesday, November 3, 2010 8:45 AM by Windows Mobile Security Software Analysis « Saiddoang's Blog

Pingback from  Windows Mobile Security Software Analysis « Saiddoang's Blog

Powered by Community Server (Commercial Edition), by Telligent Systems