Kategori OWASP: MASVS-NETWORK: Komunikasi Jaringan
Ringkasan
Konfigurasi DNS yang tidak aman dapat terjadi saat developer menyesuaikan perilaku transportasi DNS aplikasi, melewati default perangkat, atau saat pengguna menentukan server DNS pribadi di Android 9 dan yang lebih baru. Penyimpangan dari konfigurasi DNS yang baik dan diketahui dapat membuat pengguna rentan terhadap serangan seperti Spoofing DNS atau cache poisoning DNS, sehingga memungkinkan penyerang mengalihkan traffic pengguna ke situs berbahaya.
Dampak
Jika penyerang jaringan berbahaya dapat memalsukan DNS, mereka dapat secara diam-diam mengarahkan pengguna ke situs yang mereka kendalikan, tanpa menimbulkan kecurigaan pengguna. Situs berbahaya ini dapat, misalnya, melakukan phishing terhadap pengguna untuk mendapatkan informasi identitas pribadi, menyebabkan penolakan layanan bagi pengguna, atau mengalihkan pengguna ke situs tanpa pemberitahuan.
Risiko: Keamanan Transportasi DNS yang Rentan
Konfigurasi DNS kustom dapat memungkinkan aplikasi melewati keamanan transportasi bawaan Android untuk DNS di Android 9 dan yang lebih tinggi.
Mitigasi
Menggunakan OS Android untuk menangani traffic DNS
Izinkan OS Android menangani DNS. Sejak level SDK 28, Android telah menambahkan keamanan pada transportasi DNS melalui DNS over TLS, lalu DNS over HTTP/3 di level SDK 30.
Gunakan level SDK >=28
Update level SDK ke minimal 28. Perlu diketahui bahwa mitigasi ini memerlukan komunikasi dengan server DNS publik yang aman dan terkenal seperti yang dapat ditemukan di sini.
Referensi
- Menyelesaikan kueri DNS
- Referensi Java untuk Class DnsResolver
- Postingan Blog Keamanan Android tentang DNS-over-HTTP/3
- Ringkasan transportasi aman untuk DNS
- Postingan Blog Developer Android tentang DNS melalui TLS