Android Static Analysis dengan MobSF

Bagi rekan-rekan yang berkecimpung dalam dunia Reverse Engineering mungkin istilah Static Analysis sudah tidak asing lagi. Static Analysis merupakan sebuah analisis terhadap sebuah aplikasi ataupun code tanpa melakukan eksekusi. Biasanya digunakan untuk menemukan bug pada sebuah code/aplikasi, coding guidelines, code quality dan beberapa security point yang seharusnya diperhatikan seperti Android Manifest contohnya bila yang kita analisis adalah android app.

Pada tulisan kali ini, kita akan membahas MobSF untuk melakukan Static Analysis Android. Pada dasarnya, MobSF dapat melakukan analysis terhadap Android, iOS, dan Windows.

Jadi Apa itu MobSF?

Menurut sumber laman MobSF menyebutkan bahwa MobSF adalah sebagai berikut:

Mobile Security Framework (MobSF) is an intelligent, all-in-one open source mobile application (Android/iOS/Windows) automated pen-testing framework capable of performing static and dynamic analysis. It can be used for effective and fast security analysis of Android, iOS and Windows mobile Applications and supports both binaries (APK, IPA & APPX ) and zipped source code. MobSF can also perform Web API Security testing with it’s API Fuzzer that can do Information Gathering, analyze Security Headers, identify Mobile API specific vulnerabilities like XXE, SSRF, Path Traversal, IDOR, and other logical issues related to Session and API Rate Limiting.

Pemasangan MobSF

* Requirements

– Python 2.7
– JDK 1.7

Dipastikan bahwa sistem yang sedang berjalan sudah memiliki python versi 2.7 dengan pip yang sudah terpasang. Bila sudah, lakukan clone dengan git:

Atau, bisa juga langsung download berkas zip yang tersedia pada laman berikut:

https://github.com/MobSF/Mobile-Security-Framework-MobSF/releases

Pasang paket yang dibutuhkan oleh MobSF dengan menggunakan:

Tunggu sampai semua proses pemasangan paket yang dibutuhkan selesai. Pastikan tidak terjadi kesalahan saat proses melakukan pemasangan paket untuk MobSF. Selanjutnya, jalankan web server MobSF dengan menggunakan perintah:

Akan tampil seperti gambar berikut:

MobSF runserver
MobSF runserver

Nah, untuk menghindari error atau permasalahan saat melakukan analyze, lakukan migrate terlebih dahulu untuk memperbarui dan migrasi database pada MobSF:

MobSF migrate
MobSF migrate

Bila sudah berhasil, kita jalankan kembali web servernya seperti yang sudah dilakukan sebelumnya. Buka url http://127.0.0.1:8000/ maka akan tampil halaman utama dari MobSF sebagai berikut:

Halaman Utama MobSF
Halaman Utama MobSF

Untuk melakukan analyze, kita cukup drag and drop atau upload berkas apk dari aplikasi yang akan kita analisis. Saya disini menggunakan aplikasi 9gag sebagai bahan percobaan. Tunggu hingga proses analyze selesai dan nantinya akan disuguhkan dengan hasil reporting dari aplikasi tersebut. Bila ingin melihat proses yang sedang berjalan, bisa dicek melalui terminal saat menjalankan webserver.

Oke, setelah proses analyzing selesai. Akan tampil seperti beberapa gambar berikut:

Tampilan Informasi MobSF
Tampilan Informasi MobSF
Signer Certificate MobSF
Signer Certificate MobSF
Android Permission MobSF
Android Permission MobSF
Manifest Analysis MobSF
Manifest Analysis MobSF

 

Masih banyak lagi hasil report yang tidak bisa saya tampilkan disini untuk mengurangi page load 😛

Dengan MobSF, jadi lebih memudahkan Pentester ataupun security auditor dalam melakukan assessment terhadap mobile application. Akhir kata, semoga tulisan ini bermanfaat.

Aan Wahyu

Aan Wahyu

Hanya seorang penyuka Wayang( Terutama Wayang Golek) dan penggiat Open Source serta penikmat dan pembuat puisi. Saat ini memakai distro Arch Linux sebagai OS yang digunakan untuk kebutuhan sehari-hari. Founder dari Sinau Development. Tertarik dengan Research Development dan Non-Profit Organization yang bersifat Open Source dan juga sebagai kontributor di RumahVOIP serta Indonesian Research and Development Center( RNDC ) dan aktif juga diforum Open Source lainnya.
Aan Wahyu