Smartphone saat ini menjadi piranti mobile yang cukup populer dikalangan
profesional perusahaan karena fungsionalitasnya yang dapat mendukung kinerja
profesional. Smartphone dengan sistem
operasi Windows Mobile merupakan
salah satu yang paling populer. Dampaknya, aplikasi Windows Mobile cukup banyak popularitasnya di pasaran. Beberapa
diantaranya merupakan aplikasi yang menyimpan informasi personal yang penting
dan sensitif misalnya: informasi finansial, kartu kredit, account email, dan nomor sandi pribadi (password). Namun beberapa aplikasi yang menyimpan informasi yang
penting dan sensitif yang beredar di pasaran justru tidak memiliki sistem keamanan
yang baik. Bahkan ada sebuah aplikasi messenger
yang menyimpan password di registry dalam bentuk plain teks. Dapat
dibayangkan betapa mudahnya membaca password
account email pemilik piranti. Akan
lebih mengerikan lagi jika informasi tersebut jatuh ke tangan orang yang tidak
bertanggung jawab, misalnya menggunakan account
tersebut untuk menyebarkan virus atau black
mail. Berikut akan dibahas mengenai kelemahan-kelemahan dari beberapa
aplikasi tersebut. Pembahasan akan difokuskan pada skema perlindungan terhadap password, skema proteksi data, dan skema
proteksi aplikasi.
Perlindungan Terhadap Password
Beberapa aplikasi Windows Mobile yang beredar dipasaran ternyata menyimpan password dalam registry sistem operasi Windows
Mobile. Untuk menampilkan daftar registry
sistem operasi Windows Mobile digunakan
sebuah kakas perangkat lunak gratis yaitu PHM
Registry Editor. Aplikasi tersebut menyimpan user name dan password account pengguna dalam bentuk plain teks
di alamat registry: HKCU\Software\PDAapps\VeriChat\client#
yang dapat dengan mudah di baca dengan kakas PHM Registry Editor. Aplikasi lain yang menyimpan password pengguna dalam bentuk plain teks pada registry antara lain: Agile
Messenger, MSN Messenger Force, Imov Messenger dan File Transfer Anywhere (File
Transfer Protocol client). Sedangkan beberapa aplikasi berikut menyimpan password dan informasi account dalam bentuk file teks yang tidak disembunyikan
antara lain: IM+PPC (Messenger Application), NeoFTP (File Transfer Protocol client), dan
ThunderHawk (Web Browser).
Skema Proteksi
Microsoft
Money for Windows Mobile 2006
adalah sebuah program untuk manajemen finansial. Untuk menjalankan aplikasi
tersebut, pengguna akan diminta untuk mengisikan password yang valid. Password
tersebut bukan digunakan untuk mengenkripsi data karena data pengguna disimpan
dalam plain teks di brankas basis data. Password tersebut hanya digunakan untuk
menvalidasi proses aplikasi agar berjalan. Data pengguna dapat dengan mudah
dibuka dengan program Query Analyzer
sederhana.
Password tersebut disimpan dalam alamat registry: HKLM\SOFTWARE\Microsoft\Money2000CE\Options\Display
dalam cipher teks.
Sistem enkripsinya pun menggunakan algoritma yang lemah dan dapat dengan mudah
dipecahkan. Alasan penggunaan algoritma sederhana tersebut tidak dapat
dimengerti, mengingat Cryptography Application Programming Interface (CryptoAPI) Windows Mobile secara default
telah menyediakan beberapa algoritma enkripsi yang cukup kuat. Bug lain yang sangat menyedihkan dari
perangkat lunak produk Microsoft ini
adalah, menghapus key password pada registry mengakibatkan aplikasi akan berpikir
bahwa opsi password tidak diset oleh pemilik
account sehingga aplikasi ini dapat diakses tanpa password.
Masalah
yang terakhir ini juga terjadi pada beberapa aplikasi lain dengan skema yang
sedikit berbeda, misalnya pada Pocket Money yang jika ingin mematikan proteksi
password cukup dengan mengubah nilai key
registry:\HKLM\SOFTWARE\Handmark\PocketMoney\Active Password ke nilai 0. Masalah
ini terjadi dengan skema serupa pada MoneyTracer dan Passman.
Algoritma yang Tidak Sempurna
Ada
sebuah contoh lagi tentang kelemahan aplikasi yang dilindungi oleh password. Kasus ini terjadi pada Password Master, sebuah aplikasi Windows Mobile yang menyediakan
penyimpanan password, dan informasi
berharga lainnya. Kelemahan dari aplikasi ini adalah menyediakan fitur ‘hint’ yang memberikan kesempatan kepada
pengguna untuk mendapatkan password
jika mereka lupa password berdasarkan
jawaban atas pertanyaan rahasia. Jika seorang pemakai Password Master tidak pernah melakukan konfigurasi pada fitur ini,
maka program akan memberikan password
kepada siapapun pemakai terhadap apapun jawaban atas pertanyaan ‘hint’ tersebut. Sebuah algoritma yang
sangat tidak aman untuk sebuah aplikasi yang mengorganisasi informasi yang
sensitif dan selayaknya memiliki tingkat keamanan yang tinggi.
Sistem Keamanan Operasi
Klaim Microsoft terhadap keamanan sistem operasi
Windows Mobile tidak sepenuhnya benar. Karena Windows Mobile tidak seperti
Windows XP yang menerapkan arsitektur keamanan tingkat tinggi misalnya:
otentikasi Kerberos, sistem enkripsi file atau firewall. Bahkan proses signing
untuk DLL atau EXEs yang populer melalui Mobile2Mobile
dapat dengan mudah ditembus dengan simple
buffer overflow. Oleh karena itu mengerti limitasi dari sistem operasi
mutlak diperlukan agar dapat mengembangkan aplikasi yang benar-benar aman.
Windows
Mobile secara default memiliki fitur proteksi yang
akan melindungi isi piranti dari pengguna yang tidak berhak dengan otentikasi password. Skema penghapusan terhadap
informasi penting, sudah banyak diterapkan oleh beberapa pengembang piranti
lunak Windows Mobile jika pengguna salah
memasukkan password dalam aplikasi
yang mereka kembangkan. Akan tetapi informasi tersebut biasanya berupa basis
data atau informasi yang dikelola oleh aplikasi tersebut. Belum ada aplikasi
yang melindungi data-data yang dikelola oleh aplikasi-aplikasi dalam Windows
Mobile. Misalnya file Word, Excel atau PDF yang terdapat pada Memory External.