MAJALAH ICT – Jakarta. Aplikasi Super sedang merevolusi dunia seluler, khususnya di wilayah ASEAN, tempat populasi muda yang paham teknologi memicu permintaan atas aplikasi multifungsi yang lancar. Aplikasi jenis ini menggabungkan berbagai layanan—mulai dari pengiriman pesan dan pembayaran hingga pemesanan kendaraan dan belanja—menjadi satu platform terpadu. Penggabungan ini menawarkan kenyamanan yang tak tertandingi tetapi juga menghadirkan tantangan keamanan yang signifikan. Untuk memanfaatkan tren Aplikasi Super (Super App), pengembang harus memprioritaskan langkah-langkah keamanan yang tangguh guna melindungi pengguna dan memastikan integritas platformnya.
Aplikasi Super khususnya sangat populer di kalangan konsumen Gen-Z dan Milenial, dan sebagai tempat tinggal bagi salah satu populasi termuda dunia, ASEAN diperkirakan akan menjadi supermarket bagi Aplikasi Super. Menyadari pentingnya hal ini, Indonesia telah mengambil langkah-langkah besar ke arah ini. Di awal tahun, Presiden Joko Widodo meluncurkan GovTech Indonesia bernama INA Digital untuk mempercepat transformasi digital dan integrasi layanan digital pemerintah. Selain itu, GoJek, salah satu Aplikasi Super teratas Indonesia, memiliki hampir 30 juta pengguna bulanan di Indonesia saja.
Tidak semua yang berkilau…
Demografi ASEAN, ekosistem Aplikasi Super yang sedang berkembang, dan pemain kuat seperti Grab, GoTo, WeChat, dan AliPay menunjukkan masa depan yang mengutamakan perangkat seluler. Namun, yang tak kalah pentingnya adalah menjaga keamanan berbagai aplikasi. Melindungi Aplikasi Super dan penggunanya dari ancaman keamanan siber sangat penting, tidak hanya untuk mengamankan Personal Identifiable Information (PII) dan transaksi finansial, tetapi juga untuk menjaga kepercayaan pengguna dan keterlibatan pada aplikasi.
Nilai suatu Aplikasi Super terletak pada penggunaan dan kenyamanannya, yang hanya mungkin terjadi apabila aplikasi mampu menyeimbangkan keamanan dengan pengalaman pengguna. Pengembang meyakini bahwa menyajikan semua layanan dalam pengalaman aplikasi tunggal akan mendorong keterlibatan dan loyalitas pengguna, serta pendapatan rata-rata per pengguna (Average Revenue Per User/ARPU). Namun, untuk mencapainya diperlukan integrasi yang saksama dan komponen pihak ketiga dalam jumlah yang belum pernah ada, seperti promo Beli Sekarang Bayar Nanti, program loyalitas, atau fungsi pasar P2P dalam platform aplikasi.
Dalam kerangka kerja Aplikasi Super, pengembang harus mengelola alur kerja, Application Programming Interfaces (API), panggilan jaringan, fungsi baca/tulis, dan lainnya, yang sering kali disediakan pihak ketiga. Integrasi ini dapat menimbulkan pencurian data dan ancaman kebocoran di titik antarmuka.
Seiring makin maraknya Aplikasi Super, berikut ini adalah beberapa ancaman keamanan paling umum yang harus ditanggulangi secara proaktif oleh pengembang dan tim keamanan.
1. Kurangnya Perlindungan API
Karena fungsionalitas Aplikasi Super jauh melampaui aplikasi yang berdiri sendiri, sering kali pengembang tidak menerapkan pengawasan atau kendali keamanan penuh dan visibilitas terhadap API dan aplikasi mitra “lain” dalam ekosistem toko aplikasi. Dalam mengintegrasikan elemen fungsional ke dalam Aplikasi Super, pengembang berisiko membahayakan postur keamanan aplikasi, dan dengan demikian membuat aktivitas berbagi, melindungi, atau mengirimkan informasi identitas pribadi, data transaksi atau data pembayaran, perilaku serta preferensi pengguna, rentan terhadap pencurian data.
Melindungi dan mengenkripsikan string, token, kunci, dan informasi penting lain yang diperlukan untuk terhubung dengan API layanan backend sangat penting dalam menjaga integritas Aplikasi Super dan kepercayaan konsumen. Menutup kesenjangan ini memerlukan model keamanan yang mencakup enkripsi data tidak aktif (data-at-rest encryption), anti-tampering, anti-hooking, anti-instrumentation, dan perlindungan keamanan lainnya.
2. Menggunakan Satu Model Keamanan Secara Konsisten dalam Aplikasi Super yang Heterogen
Aplikasi Super memerlukan lebih dari satu model perlindungan karena pengembang dan tim keamanan harus mengelola matriks kompatibilitas yang kompleks, mencocokkan perlindungan dengan kode sumber (bahasa pemrograman) dan komponen pihak ketiga (dengan kendali terbatas atas teknologi dasar yang digunakan pihak ketiga). Keamanan akan terganggu jika pengembang tidak menerapkan produk keamanan tangkas yang mampu melindungi semua kerangka kerja dan metode dalam tiap aplikasi secara bersamaan.
3. Pencegahan Penipuan Seluler
Dengan penawaran berbasis transaksi yang berbeda-beda dalam Aplikasi Super, peluang terjadinya penipuan (fraud) dan transaksi penipuan (fraudulent transaction) turut meningkat. Survei Global Consumer Expectations of Mobile Apps, atau Ekspektasi Pelanggan terhadap Aplikasi Seluler, yang dilakukan AppDome pada 2024 menyoroti tindakan penipuan sebagai sumber ketakutan utama pengguna terhadap keamanan aplikasi seluler. Sebagian besar konsumen menyatakan bahwa mencegah terjadinya tindakan penipuan sudah menjadi tanggung jawab pembuat aplikasi. Untuk melindungi pelanggan dari lanskap tindakan penipuan yang selalu berubah, produsen aplikasi perlu memperoleh inteligensi secara real-time untuk mendeteksi dan merespons semua ancaman dan serangan yang dihadapi aplikasi dalam proses produksi, dan segera memperbarui model keamanan agar konsumen tetap menaruh kepercayaan terhadap merek.
4. Serangan Dinamis, Penjejalan Kredensial, dan IVT Terhadap Aplikasi Super
Sebagai “aplikasi multifungsi”, Aplikasi Super merupakan sasaran empuk yang rentan terhadap berbagai ancaman. Untuk “mempersenjatai” Aplikasi Super, misalnya, penyerang hanya perlu menyerang salah satu bagian aplikasi seperti fungsionalitas Beli Sekarang Bayar Nanti (Buy Now Pay Later/BNPL) atau fungsi driver. Ini saja cukup, karena komponen beroperasi secara independen sehingga peretas hanya memerlukan satu mata rantai yang lemah untuk mengganggu, mengambil alih, atau menyerang bagian proses aplikasi tersebut. Dengan demikian, menjalankan atau menyembunyikan serangan dalam aplikasi menjadi jauh lebih mudah.
Apabila Aplikasi Super tidak memiliki perlindungan yang cukup atas string, token, dan kunci API, peretas dapat memanfaatkan informasi ini untuk meluncurkan DDoS (Distributed Denial of Service), penjejalan kredensial, dan serangan jaringan brutal lainnya terhadap proses back-end aplikasi seluler. Maka, selain pertahanan aplikasi seluler yang komprehensif, produsen aplikasi juga perlu melindungi Firewall Aplikasi Web (Web Application Firewall) dari serangan bot seluler.
5. Enkripsi Data-in-Transit yang Lemah dan Perlindungan MiTM
Aplikasi Super terdiri dari beberapa titik akhir layanan yang penting dan saling bergantung, yang masing-masing harus dilindungi dengan penyematan sertifikat aman. Melindungi login penting dan titik akhir layanan seluler utama, serta koneksi vital lainnya (untuk memastikan semua upaya koneksi berasal dari host atau server yang sah) sangat penting untuk berfungsinya suatu aplikasi. Untuk Aplikasi Super, biasanya saya merekomendasikan penambahan satu lagi perlindungan berbasis jaringan ke dalam campuran solusi keamanan. Solusi keamanan jaringan memengaruhi kinerja aplikasi dan biasanya hanya bisa menangani satu titik akhir pada waktu bersamaan.
Pertahanan ofensif
Aplikasi Super, yang biasanya ditujukan untuk keterlibatan, diharapkan akan mendominasi platform digital di tahun-tahun mendatang, khususnya di Asia, sebagai salah satu wilayah yang pertama kali mengadopsi Aplikasi Super.
Namun, calon tim pengembang Aplikasi Super harus terlebih dahulu mengembangkan dasar pertahanan yang kuat dan tangkas, yang dikombinasikan dengan inteligensi secara real-time mengenai ancaman dan serangan terhadap aplikasi yang sedang dikembangkan. Diperlukan rencana pertahanan yang ofensif untuk tetap berada di depan para peretas serta penjahat siber lain untuk melindungi aplikasi dan pengguna dari penipuan, malware, serta risiko lain yang dapat menggagalkan Aplikasi Super sebelum sempat melibatkan diri, mempersonalisasi, dan mengembangkan pangsa pasarnya.
Ditulis oleh Jan Sysmans, Mobile App Security Evangelist, Appdome.
