Meningkatkan keamanan aplikasi Flutter harus menjadi prioritas utama bagi setiap pengembang. Siapa yang mau aplikasinya jadi sasaran empuk peretas atau malah masuk berita gara-gara kebocoran data? Sebagai mobile developer, kita sering fokus pada desain UI/UX, kinerja aplikasi, dan pengalaman pengguna yang mulus. Tapi, bagaimana dengan keamanannya?

Di dunia yang makin digital ini, aplikasi yang tidak diamankan dengan baik bisa menjadi celah besar bagi pencurian data, eksploitasi keamanan, atau bahkan serangan skala besar. Terlepas dari apakah Anda mengembangkan aplikasi fintech, e-commerce, atau sekadar aplikasi sosial sederhana, melindungi data pengguna harus jadi prioritas utama—sama pentingnya dengan memastikan aplikasi Anda terlihat menarik dan berjalan lancar.

Untuk meningkatkan keamanan aplikasi Flutter, artikel ini akan mengulas praktik keamanan yang ramah developer. Kita akan membahas cara melindungi API hingga mengenkripsi data sensitif, agar aplikasi Flutter Anda bisa tetap aman dan tepercaya.

Mengenkripsi Data Sensitif yang Disimpan Secara Lokal

Jika aplikasi Anda menyimpan data seperti email, token akses, atau informasi pribadi lainnya, jangan biarkan data ini tersimpan begitu saja dalam bentuk plain text. Pastikan semuanya terenkripsi agar tidak mudah dieksploitasi.

Cara Implementasi

Gunakan database Sembast dengan SembastCodec untuk mengenkripsi data sebelum disimpan.

Contoh SembastCodec: https://github.com/tekartik/sembast.dart/blob/master/sembast_test/lib/encrypt_codec.dart

Contoh pembuatan database:

Future<Database> createDatabase(String filename) async {
  final appDocDir = await getApplicationDocumentsDirectory();
  final codec = getEncryptSembastCodec(password: 'your-password-key');
  return databaseFactoryIo.openDatabase('${appDocDir.path}/$filename',codec: codec);
}

Referensi

• https://github.com/tekartik/sembast.dart/blob/master/sembast/doc/codec.md

Matikan “allowBackup” di AndroidManifest.xml

Pernah dengar kalau hacker bisa menyalin data aplikasi hanya dengan menggunakan Android Debug Bridge (ADB)? Itu bisa terjadi kalau allowBackup masih dalam kondisi aktif.

Solusinya?

Di AndroidManifest.xml, tambahkan:

<application android:allowBackup="false">

Dengan ini, pengguna tidak bisa mencadangkan data aplikasi secara manual, mengurangi risiko eksploitasi.

Referensi

• https://mas.owasp.org/MASTG/tests/android/MASVS-STORAGE/MASTG-TEST-0009/
• https://medium.com/@lucideus/security-review-of-android-manifest-file-part-i-ecb5ca51eb6

Nonaktifkan “debuggable” di AndroidManifest.xml

Mode debugging memang sangat membantu saat pengembangan, tapi jangan sampai aplikasi yang dirilis ke publik masih dalam mode debug. Ini bisa jadi celah besar buat hacker mengakses log aplikasi dan mencari tahu celah keamanan.

Solusinya?

Di AndroidManifest.xml, tambahkan:

<application android:debuggable="false">

Referensi

• https://mas.owasp.org/MASTG/tests/android/MASVS-RESILIENCE/MASTG-TEST-0046
• https://mas.owasp.org/MASTG/tests/android/MASVS-RESILIENCE/MASTG-TEST-0039

Deteksi Perangkat Jailbreak, Rooted, atau Emulator

Beberapa peretas menggunakan perangkat yang sudah di-root atau emulator untuk mengeksploitasi aplikasi. Jika aplikasi Anda menangani transaksi keuangan atau data sensitif, pastikan aplikasi tidak bisa berjalan di perangkat yang tidak aman.

Cara Implementasinya

Gunakan package safe_device untuk mendeteksi apakah perangkat sudah di-root atau menggunakan emulator.

final bool isJailBroken = await SafeDevice.isJailBroken();
final bool isRealDevice = await SafeDevice.isRealDevice();
final bool isSafeDevice = await SafeDevice.isSafeDevice();

Catatan: Jika aplikasi mendeteksi perangkat tidak aman, tampilkan peringatan kepada pengguna atau langsung blok aksesnya.

Referensi

• https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06j-Testing-Resiliency-Against-Reverse-Engineering.md
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-methods
• https://blog.omni-bridge.com/5-ways-to-secure-your-Android-application-769c8c73dafb
• https://mas.owasp.org/MASVS/controls/MASVS-RESILIENCE-4
• https://mas.owasp.org/MASTG/tests/android/MASVS-RESILIENCE/MASTG-TEST-0049

Gunakan SSL Pinning untuk Mencegah Man-in-the-Middle (MITM) Attack

Tanpa SSL pinning, aplikasi Anda bisa rentan terhadap serangan Man-in-the-Middle, di mana hacker bisa mencegat komunikasi antara aplikasi dan server.

Solusinya?

Simpan sertifikat fingerprint SSL kemudian gunakan Dio Interceptor untuk memvalidasi sertifikat server:

final sslFingerprint = dotenv.env['sslFingerprint'];
...
...
dio.httpClientAdapter = IOHttpClientAdapter(
      createHttpClient: () {
        final HttpClient client =
            HttpClient(context: SecurityContext(withTrustedRoots: false));

        client.badCertificateCallback = (cert, host, port) => true;
        return client;
      },
      validateCertificate: (cert, host, port) {
        if (cert == null) {
          return false;
        }

        return sslFingerprint == sha256.convert(cert.der).toString();
      },
    );

Pro Tip: Fingerprint SSL bisa berubah seiring waktu, jadi pertimbangkan untuk menyimpannya di Firebase Remote Config agar bisa diperbarui tanpa merilis ulang aplikasi.

Referensi

• https://blog.omni-bridge.com/5-ways-to-secure-your-Android-application-769c8c73dafb
• https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06j-Testing-Resiliency-Against-Reverse-Engineering.md
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/jailbreak-detection-method

Deteksi dan Blokir Penggunaan Fake GPS

Jika aplikasi Anda bergantung pada lokasi pengguna, Anda perlu memastikan data yang diterima benar-benar akurat. Ada banyak aplikasi Fake GPS di luar sana yang bisa memanipulasi lokasi.

Cara Mengatasinya

Gunakan package geolocator untuk mendeteksi apakah lokasi yang didapat berasal dari Fake GPS:

final locationData = await Geolocator.getCurrentPosition();

if (locationData.isMocked) {
  //add a warning dialog
  showDialog<void>(
    context: context,
    barrierDismissible: false, // user must tap button!
    builder: (BuildContext context) {
      return AlertDialog(
        title: const Text('Warning'),
        content: const Text('You are not allowed using Fake GPS'),
        actions: <Widget>[
          TextButton(
            child: const Text('OK'),
            onPressed: () {
              Navigator.of(context).pop();
            },
          ),
        ],
      );
    },
  );
} else {
  //continue your operation
  ...
  ...
}

Kesimpulan: Keamanan Itu Bukan Opsi, Tapi Keharusan

Di era digital saat ini, keamanan aplikasi bukan hanya tanggung jawab developer, tetapi juga kunci dalam membangun kepercayaan pengguna. Dengan menerapkan langkah-langkah seperti enkripsi data, SSL pinning, dan deteksi perangkat tidak aman, Anda bisa mencegah potensi serangan serta memastikan aplikasi tetap aman dan tepercaya.

Jangan tunggu sampai masalah datang! Mulai terapkan langkah-langkah ini dari sekarang dan buat aplikasi Flutter Anda lebih kuat, lebih aman, dan lebih profesional.

Jika Anda membutuhkan jasa pembuatan aplikasi mobile yang aman dan andal, LOGIQUE siap membantu. Kami berpengalaman dalam mengembangkan aplikasi Flutter dengan keamanan tingkat tinggi untuk memastikan data pengguna tetap terlindungi. Hubungi kami sekarang untuk info lebih lanjut!