{"id":155,"date":"2014-04-23T17:25:26","date_gmt":"2014-04-23T10:25:26","guid":{"rendered":"http:\/\/sybond.web.id\/blog\/?p=155"},"modified":"2014-12-24T08:00:11","modified_gmt":"2014-12-24T01:00:11","slug":"security-e-money-bank-mandiri","status":"publish","type":"post","link":"https:\/\/sybond.web.id\/blog\/2014\/04\/23\/security-e-money-bank-mandiri\/","title":{"rendered":"Let’s hack!<\/del> Membedah e-money Bank Mandiri"},"content":{"rendered":"

\"\"<\/p>\n

Kenapa e-money Bank Mandiri? Ada beberapa alasan mengapa saya penasaran dengan keamanan produk e-money ini.<\/p>\n

    \n
  1. Saat ini produk e-money yg ada di dompet saya<\/del><\/li>\n
  2. Saat ini produk e-money yg meluncurkan aplikasi reader (mandiri e-money info<\/a>)<\/li>\n<\/ol>\n

    Dari dua<\/span> alasan tersebut saya coba mem-“bedah” keamanan untuk produk e-money tersebut. Kenapa?\u00a0Saya pikir memberikan aplikasi pembaca kartu seperti memberikan kunci yang patah untuk mengintip isi sebuah kotak yang dikunci dengan gembok. Pertanyaan selanjutnya apakah kunci patah tadi hanya bisa untuk mengintip saja? atau bahkan bisa membuka isi kotak?<\/p>\n

    Jika belum mudeng<\/em> maksud analogi saya di atas, ada analogi lain: bayangkan anda akan masuk ke sebuah rumah yang memiliki dua lapis pintu. Di balik pintu pertama terdapat ruang tamu dengan foto-foto harta benda yang berada di dalam rumah itu. Di balik pintu kedua kemungkinan kita bisa menemukan harga yang sebenarnya. Di depan rumah tersebut ada pelayan yang bertugas hanya mengantar anda untuk masuk rumah melewati pintu pertama. Pelayan tersebut membawa beberapa kunci, bisa jadi salah satu kunci yang lain merupakan kunci untuk memasuki pintu kedua.<\/p>\n

    Mari kita cari tahu..<\/strong><\/p>\n

    Anggap saja aplikasi mandiri e-money info itu adalah pelayan tadi. Pelayan ini bisa membuka pintu pertama yaitu informasi saldo dalam kartu e-money.<\/p>\n

    Teknis..<\/strong><\/p>\n

    Aplikasi mandiri e-money info merupakan aplikasi Android yang akan berjalan di atas Dalvik VM. Format executable Dalvik (yang biasa dikenal sebagai format .dex<\/code>) tidak lebih sama dengan Java bytecode (atau .class<\/code> file). Jaman awal-awal Android dulu saya sempat terpesona dengan ide\u00a0Dan Bornstein yaitu menyederhanakan bytecode Java kedalam format baru Dalvik ini.<\/p>\n

    Namun pada akhirnya VM tetaplah VM. Keamanan sebuah sourcecode dipertanyakan, karena akan mudah dalam merubah bytecode Java ke bentuk source code nyaris sesuai dengan aslinya.<\/p>\n

    Oke, ini kan .dex bukan .class<\/strong><\/p>\n

    Tidak masalah, .dex<\/code> bisa dengan mudah diconvert ke bentuk .jar<\/code> atau .class<\/code>. Mari coba kita intip file .apk<\/code> dari mandiri e-money info ini dengan aplikasi 7zip.<\/p>\n

    ...\r\n2013-10-09 16:31:54 .....         4632         1245  res\\layout-xlarge\\main.xml\r\n2013-10-09 16:31:52 .....        60824        27475  classes.dex\r\n2013-09-03 19:01:54 .....        13432         5348  lib\\armeabi\\libmandirinfc.so\r\n2013-10-09 16:31:54 .....        10915         3889  META-INF\\MANIFEST.MF\r\n2013-10-09 16:31:54 .....        10968         4071  META-INF\\CERT.SF\r\n2013-10-09 16:31:54 .....         1504         1145  META-INF\\CERT.RSA<\/pre>\n
    Sangat cerdas, tapi perlu diperhitungkan keefektifan metode ini jika diimplementasikan dengan VM. Karena Dalvik tidak jauh dengan Java, maka Dalvik juga mengenal dengan JNI. Ini adalah implementasi Java untuk dapat memanggil atau berinteraksi dengan fungsi-fungsi dari sebuah native library<\/em>.<\/p>\n
    Maksud saya efektif adalah setiap native library<\/em> harus punya exported function(s)<\/em> atau variable(s)<\/em>. Yang harus didefinisikan secara jelas dalam source java-nya. Dengan begitu setidaknya ada bagian dari native library<\/em> yang “mudah” terekspos. Attacker<\/em> dapat menganalisa parameter apa saja yang dilempar dari native library<\/em> ke java vice versa<\/em>.<\/p>\n
    Mari kita lihat lebih jauh..<\/strong><\/p>\n
    Setelah menganalisa classes.dex<\/code>, dapat di ambil beberapa java class yang berfungsi sebagai definisi java untuk native library<\/em> yang dipergunakan. Berikut adalah potongan source hasil analisa:<\/p>\n
    package noi.mandiri.util;\r\npublic class xxx\r\n{\r\n  static\r\n  {\r\n    System.loadLibrary(\"mandirinfc\");\r\n  }\r\n  public static native String appID();\r\n  public static native byte[] commandAPDUforBalance();\r\n  public static native byte[] commandAPDUforNumber();\r\n  public static native byte[] commandAPDUforPrepaid();\r\n  public static native String ivKey();\r\n  public static native String sKey();\r\n}<\/pre>\n
    Dapat disimpulkan, native library tadi melempar beberapa parameter berupa array byte<\/code> dan string<\/code>. Dari nama fungsi dapat diketahui apa kira-kira data array byte tersebut. \ud83d\ude00<\/p>\n
    Kembali ke analogi sebelumnya tentang pelayan. Saya sengaja tidak menjabarkan secara detil mengenai hasil exploit saya. Tapi intinya dapat disimpulankan bahwa jawaban dari pertanyaan di awal sudah terjawab. Yaitu ternyata pelayan tadi hanya memegang kunci pintu pertama. Kunci-kunci yang lain ternyata hanya kunci dummy<\/em>. Syukurlah \ud83d\ude42<\/p>\n
    Saran perbaikan untuk pengembang Bank Mandiri<\/strong><\/p>\n
      \n
    1. Proteksi java sourcecode dengan obfuscator<\/li>\n
    2. Proteksi export function name dengan merubah nama fungsi native library<\/li>\n
    3. Atau bahkan porting semua ke NDK, dan menyisakan java hanya untuk UI (jika memungkinkan)<\/del> Since\u00a0NDK has no access to NFC at all, except by means of calling back into Java code<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"
      Kenapa e-money Bank Mandiri? Ada beberapa alasan mengapa saya penasaran dengan keamanan produk e-money ini. Saat ini produk e-money yg ada di dompet saya Saat ini produk e-money yg meluncurkan aplikasi reader (mandiri e-money info) Dari dua alasan tersebut saya coba mem-“bedah” keamanan untuk produk e-money tersebut. Kenapa?\u00a0Saya pikir memberikan aplikasi pembaca kartu seperti memberikan […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[78,10],"tags":[89,88,90,87],"_links":{"self":[{"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/posts\/155"}],"collection":[{"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/comments?post=155"}],"version-history":[{"count":18,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/posts\/155\/revisions"}],"predecessor-version":[{"id":203,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/posts\/155\/revisions\/203"}],"wp:attachment":[{"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/media?parent=155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/categories?post=155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sybond.web.id\/blog\/wp-json\/wp\/v2\/tags?post=155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
    Sekilas dari isi file .apk<\/code> terlihat selain classes.dex<\/code> terdapat pula libmandirinfc.so<\/code>. Oke, ini menantang. Kenapa? karena ternyata beberapa bagian code aplikasi ini ditulis dengan native library<\/em> (NDK<\/a>). Yang artinya untuk mengintip logic<\/em> dibalik code perlu analisa lebih jauh dengan disassembler<\/em>, atau proses reverse engineering<\/em> yang sesungguhnya (IMHO).<\/p>\n