Mudahnya Meretas Aplikasi Gojek

Foto: CNN Indonesia
Jakarta, CNN Indonesia -- Siapa sangka, aplikasi Gojek ternyata menyimpan banyak cela, dan tak perlu menjadi pakar untuk membuktikannya.

Cela di aplikasi Gojek memungkinkan siapa saja bisa meningtip data pengguna dan mitranya, lengkap dengan riwayat transaksi dan saldo para pemilik akun Gojek.

Bug ini ditemukan oleh programmer Indonesia, Yohanes Nugroho. Kepada CNN Indonesia ia ceritakan beberapa fakta mengenai kelemahan sistem Gojek.

"Kelemahan mendasarnya adalah mereka mendahulukan fitur, tapi mengorbankan security. Selama 6 bulan ini sudah banyak jasa baru diluncurkan (dan aplikasinya sudah diupdate berkali-kali), tapi securitynya belum diperbaiki," katanya, kepada CNN Indonesia, Senin (11/1).

Beberapa kelemahan yang cukup fatal adalah, siapa pun bisa mengubah pendapatan mitra Gojek manapun, ini dilakukan dengan melakukan POST ke https://api.gojek.co.id/gojek/drivers/ dengan data baru yang ingin diganti. Selain pendapatan, informasi lainnya juga bisa diubah. Untungnyabug ini sudah diperbaiki di URL yang baru, walau hingga kini data tersebut masih bisa dilihat.

Informasi lain yang bisa digali dari bug aplikasi Gojek adalah informasi pribadi para driver-nya dengan melakuan GET ke https://api.gojek.co.id/gojek/drivers/ID. Data pribadi bisa dilihat sampai ke nama anak pengendara, dan daftar riwayat order yang sudah diselesaikan.

Kemudian dari sisi pengguna yang merugikan adalah, mudahnya peretas mendapatkan nama user, email, nomer ponsel pengguna. Selain dengan melakukan pencarian dengan kata kunci nama/email, peretas juga bisa melakukan bruteforce sekuensial di alamat URL yang sama.

REUTERS/Garry Lotulung

Dengan bug ini siapa pun bisa mengganti nomer ponsel, email, dan nama user orang lain, tanpa perlu mengetahui passwordnya. Bug ini masih ada dan sangat parah, peretas bisa mengambil alih akun orang lain.

Sebagian besar cara di atas sebenarnya sudah tidak bisa dilakukan karena Gojek sudah melakukan pembenahan, namun tetap saja masih ada bug tersisa yang dibeberkan Yohanes kepada CNN Indonesia, percobaan sederhana pun dilakukan untuk membuktkan.

CNN Indonesia menggunakan nomer id penulis untuk bereksperimen, dari situ terlihat riwayat order yang pernah penulis lakukan, lengkap dengan informasi jenis pesanan, tempat untuk diantar, tarif, dan berbagai hal lainnya. Nomer telepon dan alamat juga dicantumkan di informasi itu.

Ironisnya lagi, untuk mendapatkan semua informasi itu penulis tak membutuhkan software khusus, cukup dengan bantuan aplikasi peramban (browser).

“Semua API gojek berbasis HTTP, jadi bermodal browser saja bisa mengeksploitasi API-nya jika sudah tahu alamatnya. Untuk mengetahui berbagai alamat ini bisa dilakukan dengan reverse engineering ataupun sniffing (ini relatif mudah),” tutur Yohanes menutup perbincangan denganCNN Indonesia.
Mudahnya Meretas Aplikasi Gojek Mudahnya Meretas Aplikasi Gojek Reviewed by Nala Meliala on Monday, January 11, 2016 Rating: 5

No comments:

Powered by Blogger.