Panduan lengkap MobSF (Mobile Security Framework) — tool open-source untuk static & dynamic analysis aplikasi Android dan iOS. Pelajari cara instalasi, fitur utama, dan integrasi CI/CD.

Panduan lengkap MobSF (Mobile Security Framework) — tool open-source untuk static & dynamic analysis aplikasi Android dan iOS. Pelajari cara instalasi, fitur utama, dan integrasi CI/CD.

Panduan lengkap MobSF (Mobile Security Framework) — tool open-source untuk static & dynamic analysis aplikasi Android dan iOS. Pelajari cara instalasi, fitur utama, dan integrasi CI/CD.

  • Ditulis oleh: Admin Web Arunika
  • 2x dibaca

Apa Itu MobSF?

Mobile Security Framework (MobSF) adalah platform open-source otomatis untuk pengujian keamanan aplikasi mobile pada platform Android, iOS, dan Windows Mobile. MobSF mampu melakukan static analysis, dynamic analysis, analisis malware, serta pengujian keamanan API — semuanya dalam satu framework terpadu.

Dikembangkan oleh komunitas security researcher dan dirilis perdana pada 2015, MobSF kini menjadi pilihan utama bagi para penetration tester, security auditor, maupun developer yang ingin memastikan aplikasi mobile mereka bebas dari kerentanan sebelum dipublikasikan.
 

Mengapa MobSF Penting?

Maraknya penggunaan aplikasi mobile berbanding lurus dengan meningkatnya risiko keamanan. Banyak aplikasi Android dan iOS menyimpan data sensitif pengguna, melakukan transaksi keuangan, hingga mengakses kamera dan mikrofon perangkat. Tanpa pengujian keamanan yang memadai, aplikasi tersebut rentan terhadap serangan seperti man-in-the-middle, data leakage, hingga reverse engineering.

MobSF hadir sebagai solusi cost-effective yang menggantikan tools komersial mahal, memungkinkan siapa pun melakukan security assessment mendalam hanya dengan satu tool.

Fitur Utama MobSF

1. Static Analysis (SAST)

MobSF melakukan analisis statis dengan mendekompilas file binary aplikasi (APK, IPA, APPX) tanpa perlu menjalankannya. Hasil analisis mencakup:

  • Pemeriksaan izin (permissions) — mendeteksi permission berbahaya atau berlebihan
  • Hardcoded credentials & API key — menemukan data sensitif yang tertanam di kode
  • Analisis AndroidManifest.xml — memeriksa konfigurasi keamanan aplikasi Android
  • Deteksi library tidak aman — mengidentifikasi dependensi dengan kerentanan dikenal
  • Pemeriksaan binary — analisis ELF/Mach-O, pengecekan RELRO, stripped symbol, dan lainnya

2. Dynamic Analysis (DAST)

Analisis dinamis memungkinkan pengujian aplikasi secara real-time saat dijalankan di emulator atau perangkat. Fitur yang tersedia:

  • Monitoring traffic jaringan secara live
  • Deteksi komunikasi tidak terenkripsi
  • SSL/TLS pinning bypass testing menggunakan Frida
  • Analisis perilaku runtime aplikasi di lingkungan sandbox
  • Dukungan Android 5.0–9.0 menggunakan Frida (zero configuration)

3. Web API Security Testing

MobSF memiliki Web API Viewer yang mengekstrak dan mendaftar seluruh endpoint API yang digunakan aplikasi. Tool ini membantu mengidentifikasi:

  • Endpoint yang tidak aman atau terbuka
  • Token yang terekspos
  • Kerentanan seperti XXE, SSRF, Path Traversal, dan IDOR
  • Masalah API rate limiting

4. Integrasi CI/CD & DevSecOps

MobSF menyediakan REST API dan CLI tools sehingga dapat diintegrasikan langsung ke dalam pipeline DevSecOps atau CI/CD, memungkinkan security testing berjalan otomatis setiap kali ada commit atau release baru.

Cara Instalasi MobSF

Metode 1: Docker (Direkomendasikan)

Cara termudah menjalankan MobSF adalah menggunakan Docker:

docker pull opensecurity/mobile-security-framework-mobsf:latest
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

Default username dan password: mobsf/mobsf

Akses antarmuka web di: http://localhost:8000/

Metode 2: Instalasi Manual (Linux/macOS/Windows)

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF
./setup.sh      # Linux/macOS
setup.bat       # Windows
./run.sh        # Jalankan server
 

Kebutuhan sistem minimum:

  • RAM: 4 GB
  • Storage: 5 GB HDD/SSD
  • Python 3.8+
  • JDK 8 atau lebih baru
  • Virtualization support (untuk dynamic analysis)

Cara Menggunakan MobSF — Static Analysis

  1. Buka browser dan akses http://localhost:8000/
  2. Drag & drop atau upload file APK/IPA ke halaman utama
  3. Tunggu proses analisis selesai (biasanya 1–3 menit)
  4. Baca laporan lengkap yang mencakup:   
    • Security score aplikasi
    • Daftar permission dan tingkat risikonya
    • Temuan kode berbahaya atau tidak aman
    • Komponen aplikasi (Activity, Service, Content Provider, Receiver)
    • Library dan file yang terdapat dalam APK

Tips: Gunakan aplikasi DIVA (Damn Insecure Vulnerable App) sebagai bahan latihan pertama untuk memahami output laporan MobSF.

Cara Menggunakan MobSF — Dynamic Analysis

Untuk dynamic analysis, diperlukan emulator Android yang sudah dikonfigurasi:

  1. Install Genymotion sebagai Android emulator (direkomendasikan)
  2. Jalankan VM Android di Genymotion sebelum menjalankan MobSF
  3. MobSF akan otomatis mendeteksi emulator saat runtime
  4. Upload file APK dan mulai proses analisis dinamis
  5. MobSF menginstal aplikasi di emulator, menjalankannya dalam mode sandbox, dan memantau:   
    • Traffic jaringan
    • Log aktivitas
    • Perilaku API
    • Data yang tersimpan atau dikirim

Format File yang Didukung

PlatformFormat
AndroidAPK, XAPK, AAB
iOSIPA
WindowsAPPX
Source CodeZIP (semua platform)

Kelebihan & Keterbatasan MobSF

Kelebihan

  • Open-source dan gratis
  • All-in-one: static, dynamic, dan API testing dalam satu tool
  • Laporan lengkap dan terstruktur
  • Mudah diintegrasikan ke pipeline CI/CD
  • Aktif dikembangkan oleh komunitas

Keterbatasan

  • Dynamic analysis tidak mendukung pengujian pada perangkat fisik nyata (real device)
  • Output bersifat awal (launch point) — tetap membutuhkan validasi manual dari security expert
  • Membutuhkan resource cukup besar untuk dynamic analysis
  • Konfigurasi emulator bisa rumit untuk pengguna baru

Referensi & Sumber Resmi

Kesimpulan

MobSF adalah salah satu tool terbaik dan paling komprehensif untuk pengujian keamanan aplikasi mobile yang tersedia secara gratis. Dengan kemampuan static analysis, dynamic analysis, dan pengujian API dalam satu platform, MobSF menjadi pilihan yang tepat bagi security researcher, penetration tester, maupun developer yang ingin membangun aplikasi mobile yang lebih aman.

Jadikan MobSF sebagai bagian dari workflow pengembangan Anda — integrasikan ke pipeline CI/CD dan lakukan security testing secara konsisten setiap siklus rilis.

Sumber: GitHub MobSF (github.com/MobSF), Dokumentasi Resmi MobSF, Appknox Blog, Linuxsec.org

Hubungi Kami untuk Konsultasi

Blog Terbaru

ChatGPT vs Claude vs Gemini: Perbandingan Lengkap AI Terbaik 2026

ChatGPT vs Claude vs Gemini: Perbandingan Lengkap AI Terbaik...

Wazuh: Platform Open-Source SIEM & XDR untuk Keamanan Siber Enterprise

Wazuh: Platform Open-Source SIEM & XDR untuk Keamanan Siber...

Mengenal Pentesting: Kunci Keamanan Aplikasi Web Modern

Mengenal Pentesting: Kunci Keamanan Aplikasi Web Modern

Dasar-Dasar Keamanan Sistem Informasi

Dasar-Dasar Keamanan Sistem Informasi

Rekomendasi Berita

Pelatihan Operator Desa Pangkalan Batang Digelar untuk Tingkatkan Kapasitas Pengelolaan Sistem Digital Desa

Pelatihan Operator Desa Pangkalan Batang Digelar untuk Tingk...

FertInnovation Challenge 2025 - "Cultivating Innovation, Achieving Food Self-Sufficiency"

FertInnovation Challenge 2025 - "Cultivating Innovation, Ac...

6th Innovillage 2025 - Drive Innovation Create Impact Build a Lasting Future Previous

6th Innovillage 2025 - Drive Innovation Create Impact Build...

PENDAFTARAN BUDAYA GO! SUDAH DIBUKA! Siapkan tim kalian! Ayo jadi bagian dari masa depan kebudayaan Indonesia.

PENDAFTARAN BUDAYA GO! SUDAH DIBUKA! Siapkan tim kalian! Ay...

Arunika Cyber Luncurkan Sistem Pencatatan Panen Sawit Digital — SawitGoDigi

Arunika Cyber Luncurkan Sistem Pencatatan Panen Sawit Digita...