Iseng gara-gara adek terus-terusan nonton NET. TV agar bisa jawab pertanyaan kuis di aplikasi NET Connect, akhirnya coba sniffing aplikasi ini.
Pertama yang saya lakukan adalah mencoba scan dengan Wireshark, dan berikut hasilnya bisa kita lihat, API dari aplikasi ini unsecure! kita dengan mudah bisa membaca data apa saja yang di kirim ke API tersebut dan sebaliknya, kita bisa melihat data apa saja yang dikirim ke HP kita!
API login
Untuk melihat profile pengguna
Kita bisa mengganti password tanpa harus tahu password pengguna, cukup user id saja!
Mengganti profile
Dan masih banyak lagi akses API yang bisa kita lihat
Lucunya lagi adalah penggunaan auth basicnya! YWRtaW46MTIzNA== (tahu kan itu diencode pake apa? :p)
Sebenernya aplikasi ini cukup aman dari penggunaan token (bisa kita generate), autentifikasi link API (meskipun cuman pake YWRtaW46MTIzNA==) semuanya enggak ada gunanya kalau koneksinya sendiri unsecure.
Saya sendiri jadi bertanya-tanya, apa pihak developer sengaja memberikan celah? you know lah kan lumayan kalau dapet iphone.
UPDATE 18/10/2016
Pihak developer membalas email
0 komentar:
Posting Komentar