Back to IF3210 Pengembangan Aplikasi Piranti Bergerak

OWASP Mobile Top 10 and Mobile Security Landscape

Questions/Cues

  • Mengapa mobile device memiliki risiko keamanan yang unik dibanding platform lain?
  • Bagaimana evolusi OWASP Mobile Top 10 dari 2014 ke 2016 hingga 2024?
  • Apa perbedaan utama antara OWASP Mobile Top 10 2016 dan 2024?
  • Apa saja lima tantangan keamanan enterprise di era mobile?
  • Bagaimana tiga domain keamanan (device, network, application) saling berkaitan?

Reference Points

  • IF3210 Pengembangan Aplikasi Piranti Bergerak (Slides 1-17)

Mobile sebagai Platform Dominan dan Tantangan Keamanannya

Perangkat mobile telah menjadi platform utama dalam kehidupan digital modern. Lima tren besar mendorong dominasi ini: mobile sebagai primary platform untuk akses internet, sumber insights dari data pengguna, media utama untuk bertransaksi (mobile commerce), membangun continuous brand experience, dan menjadi gateway menuju ekosistem IoT. Dominasi ini menjadikan mobile sebagai target empuk bagi penyerang.

Keunikan mobile sebagai platform menciptakan tantangan keamanan tersendiri. Perangkat mobile dibagi ke lebih banyak orang (keluarga, kolega), mendukung multiple personas (pribadi sekaligus kerja), bersifat beragam (berbeda OS, carrier, dan versi), digunakan di lebih banyak lokasi (termasuk jaringan publik yang tidak aman), dan desainnya lebih user-centric sehingga sering mengutamakan kemudahan di atas keamanan.

Evolusi OWASP Mobile Top 10

OWASP (Open Web Application Security Project) secara berkala menerbitkan daftar risiko keamanan paling kritis. Untuk mobile, daftar ini telah berkembang tiga kali sejak 2014:

OWASP Mobile Top 10 (2014): Daftar pertama yang mendefinisikan landscape keamanan mobile, mencakup M1–M10 dengan fokus pada kelemahan klien-sisi seperti penyimpanan data tidak aman, transmisi data tidak aman, dan autentikasi lemah.

OWASP Mobile Top 10 (2016): Revisi signifikan yang memperkenalkan kategorisasi lebih presisi:

  • M1 Improper Platform Usage
  • M2 Insecure Data Storage
  • M3 Insecure Communication
  • M4 Insecure Authentication
  • M5 Insufficient Cryptography
  • M6 Insecure Authorization
  • M7 Client Code Quality
  • M8 Code Tampering
  • M9 Reverse Engineering
  • M10 Extraneous Functionality

OWASP Mobile Top 10 (2024): Pembaruan terkini yang mencerminkan ancaman modern, terutama terkait supply chain dan privacy:

  • M1 Improper Credential Usage
  • M2 Inadequate Supply Chain Security
  • M3 Insecure Authentication/Authorization
  • M4 Insufficient Input/Output Validation
  • M5 Insecure Communication
  • M6 Inadequate Privacy Controls
  • M7 Insufficient Binary Protections
  • M8 Security Misconfiguration
  • M9 Insecure Data Storage
  • M10 Insufficient Cryptography

Perbandingan OWASP Mobile Top 10: 2016 vs 2024

flowchart LR
    subgraph v2016["OWASP Mobile 2016"]
        A1["M1 Improper Platform Usage"]
        A2["M2 Insecure Data Storage"]
        A3["M3 Insecure Communication"]
        A4["M8 Code Tampering"]
        A5["M9 Reverse Engineering"]
    end
    subgraph v2024["OWASP Mobile 2024"]
        B1["M1 Improper Credential Usage"]
        B2["M2 Supply Chain Security"]
        B3["M5 Insecure Communication"]
        B4["M7 Binary Protections"]
        B5["M9 Insecure Data Storage"]
    end
    A1 -.->|"berevolusi"| B1
    A2 -.->|"tetap relevan"| B5
    A3 -.->|"tetap relevan"| B3
    A4 -.->|"diperluas"| B4
    A5 -.->|"digabung"| B4

Perubahan terbesar dari 2016 ke 2024 adalah kemunculan M2 Inadequate Supply Chain Security yang sebelumnya tidak ada — mencerminkan meningkatnya serangan melalui library pihak ketiga dan proses build. Selain itu, M6 Inadequate Privacy Controls (2024) menunjukkan meningkatnya kesadaran regulasi privasi seperti GDPR.

Tantangan Keamanan Enterprise

Dari perspektif enterprise, ada lima area tantangan utama dalam mengamankan ekosistem mobile korporat:

  1. Data separation: Memisahkan data pribadi dan data perusahaan di perangkat yang sama (terutama BYOD)
  2. BYOD adaptation: Menyesuaikan kebijakan keamanan dengan perangkat milik karyawan
  3. Secure access to enterprise apps: Memastikan hanya pengguna terautentikasi yang dapat mengakses aplikasi internal
  4. Developing secure apps: Membangun aplikasi dengan security by design, bukan sebagai tambahan
  5. Adaptive security posture: Kemampuan merespons ancaman baru secara cepat dan dinamis

Ketiga domain keamanan yang harus dikelola adalah: device management (MDM, enkripsi perangkat), network/data management (VPN, enkripsi transmisi), dan application management (code signing, app wrapping, container). IBM dan vendor enterprise lainnya menawarkan framework strategi yang mengintegrasikan ketiga domain ini.

Summary

Mobile security landscape didorong oleh dominasi mobile sebagai platform utama sekaligus keunikannya — dibagi antar pengguna, multi-persona, digunakan di lokasi beragam — yang menciptakan permukaan serangan lebih luas. OWASP Mobile Top 10 berevolusi dari 2014 ke 2016 dan 2024 untuk mencerminkan ancaman terkini; perubahan terbesar di 2024 adalah masuknya Supply Chain Security dan Privacy Controls sebagai kategori baru. Dari sisi enterprise, lima tantangan utama mencakup data separation, BYOD, secure app access, secure development, dan adaptive posture, yang dikelola melalui tiga domain: device, network/data, dan application management.