Static Analysis Aplikasi Android/iOS Menggunakan MobSF

Pengenalan     

Sedikit penjelasan yang bersinggungan dengan judul postingan kali ini yaitu Static Analysis. Static Analysis sendiri memiliki definisi yaitu analisis akan suatu program atau aplikasi dalam keadaan kita tidak benar-benar menjalankannya, tetapi kita hanya membaca dan melihat program atau mungkin source code dari program itu sendiri.

Selanjutnya yaitu, MobSF ( Mobile Security Framework ) adalah salah satu tool open source all-in-one untuk melakukan static analysis tadi, tetapi bisa juga untuk penetration testing pada aplikasi mobile, tool ini juga cukup powerful karena sudah mendukung beberapa binary format seperti (APK, XAPK, IPA dan APKX). Keunggulan dari tool ini selain dapat melakukan static analysis juga dapat dipakai untuk melakukan dynamic analysis.

Bagaimana sih cara instalasinya? Langsung saja ke pembahasan selanjutnya.


Tahapan Persiapan

1. Untuk pengguna MacOS

  • Install Git
  • Install Python 3.7/3.8
  • Pengguna MacOS Catalina harus menghapus python3 yang ada lalu menginstal ulang Python dari python.org. dan setelah instalasi selesai, buka directory /Application/python3.7 dan jalankan Update Shell Profile.command lalu install Certificates.command 
  • Install open JDK 8+
  • Install command line tools xcode-select --install
  • Selanjutnya download dan install wkhtmltopdf seperti pada intruksi ini ==> https://github.com/JazzCore/python-pdfkit/wiki/Installing-wkhtmltopdf
  • Dan untuk pengguna MacOS Mojave install header jika tersedia

 sudo installer -pkg /Library/Developer/CommandLineTools/Package/macOS_SDK_header_for_macOS_10.14..pkg -target /

2. Untuk Ubuntu/Debian based Linux

  • Install Git
    sudo apt-get install git
  • Install Python 3.7/3.8
    sudo apt-get install python3.7
  • Install JDK 8+
    sudo apt-get install openjdk-8-jdk
  • Install the following dependencies
    sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-deb lib-xml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

3. Untuk Windows 

    Mohon diperhatikan bahwa untuk proses instalasi persyaratan yang diatas telah di penuhi atau diinstall dengan benar


Tahapan Instalasi 

- Installasi pada Linux/Mac

  • Buka terminal dan ketikan

git clone https;//github.com/MobSF/Mobile-Security-Framework-MobSF.git

  • cd Mobile-Security-Framework-MobSF

./setup.sh

- Installasi pada Windows

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF
setup.bat

 

 Dan ada cara installasi MobSF yang lebih simple jika kalian sudah menginstall docker, tetapi dengan cara ini MobSF tidak support terhadap dynamic analysis

- Prebuilt Docker image dari DockerHub

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it --rm -p 8000:8000 opensecurity/mobile-framework-mobsf:lates 

- Supaya persistence ( tetap )

docker run -it --rm --name mobsf -p 8000:8000 -v <local_dir_kamu>:/root/.MobSF opensecurity/mobile-security-framework-mobsf:latest 

- Building Image dari Dockerfile

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF
docker build -t mobsf
docker run -t --rm -p 8000:8000 mobsf

 

Selanjutnya kita ke cara bagaimana sih cara menggunakannya ?

 Pertama yang harus disiapkan adalah

  1. Niat
  2. Teh teh pucuk
  3. Dan sedikit percikan cinta wkwkw

 

Oke langsung saja buka terminal dan masuk ke home root ketikan 

sudo su

cd Mobile-Security-Framework-MobSF

./run.sh 

Nah jika responnya sudah seperti itu berarti sudah bisa di akses dengan membuka localhost:8000 atau 0.0.0.0:8000 pada web browser yang kamu pakai

Oke sekarang kita lanjutkan dengan melakukan upload apk yang mau kita analysis

 
 
Tunggu sampai proses upload selesai
 
 
        Nah mungkin sampai sini saja tutorial kali ini untuk selanjutnya kalian bisa explore sendiri mengenai vulnerability yang biasa ditemukan pada aplikasi :D  
 
Dan satu lagi, MobSF ini bisa juga Dynamic Analysis loh..., nantikan tutor selanjutnya mengenai pentest mobile ya :D

 

Comments