BLOG
Dijital Dünyada Yaratıcılığın Sınırı Yoktur!
GERİ DÖN
Mobil Uygulama Güvenliği Hakkında
Mobil Uygulama Güvenliği Hakkında

Mobil uygulama güvenliğinde halen çokça açıklar bulunuyor. Hewlett Packard Enterprise araştırmasından çıkan sonuçlara göre bu tespit yapılabilir. Araştırmaya göre 36.000 mobil uygulamanın %96’sı 10 güvenlik kontrolünün en az bir tanesinde başarısız oldu. 3 yıl önce yapılan yakın bir araştırmada da incelenen 2000 uygulamanın %97’sinde birçok güvensizliklerin olduğu saptanmıştı.

Mobil uygulama kullanımı çok hızlı bir şekilde yaygınlaşırken, güvenliğe dair şüphelerde aynı şekilde artmakta.

En çok denk gelinen güvenlik açıklarını ve bu açıkların nasıl sona erdirebileceğine dair stratejiler şey şu şekildedir;

 

-Sunucu Bileşenleri

Uygulamanın veri işleme ve çalışma mantığı oluşturma için sunucu uygulamalarıyla nasıl iletişime geçtiği mobil uygulama güvenliği için oldukça mühim bir konu. Bu iletişim genel olarak web hizmetleri veya API aramaları yoluyla gerçekleşiyor. Bu aramaların güvenli programlama pratikleriyle gerektiği biçimde güvenli bir hale getirilmemesi mobil uygulamalarda en çok rastlanan güvenlik açıklarından biri.

Bu kısımdaki açıklar arasında çapraz site betiklemesi, ya zayıf ya da hiç olmayan kimlik doğrulama süreçleri, sql injection tarzı saldırılar ve çapraz site talep sahteciliği bulunmakta.

Peki, Nasıl önlenir?

API’ları ve web hizmetlerini güvenli yapmak için genel web uygulama güvenliği konusunda bilgi sahibi olmak gerekiyor. Güvenli web programlama pratikleri sunucu tarafındaki riski azaltıyor veya tamamen yok ediyor. Bu alandaki olması muhtemel açıkları ve riskleri yok etme planlarının OWASP’ın web sitesinden araştırmak mümkün. Aynı sitede çokça denk gelinen güvenlik açıklarının tespit edilebileceği statik kod analizi araçları da bulunuyor. Bu araçlar geliştirme sürecine kesinlikle dahil edilmeli.

 

-Ağ Trafiğinin Koruma Altına Alınması

Sunucunun kendisi güvenli bir durumda olsa dahi, mobil uygulamalardan gönderilen kriptolanmamış ağ trafiğine her an müdahale edilebilir ve bu trafik oturum gaspı, çapraz site talep sahteciliği ve ‘man in the middle’ saldırıları için kullanılabilir. Saldırganların gereksinimi olan tek şey uygulamanızdan veya uygulamanıza gönderilen paketlere müdahale edebileceği bir erişim alanı.

Peki, Nasıl önlenir?

Mobil Uygulamalar dizayn edilirken ve programlanırken uygulamaya gelen ve uygulamadan giden tüm ağ trafiğine müdahale edilebileceği dikkate alınmalıdır. Genellikle TLS ve SSL olarak denilen iletim katmanı güvenliği (Transport Layer Security) ve güvenli soket katmanı (Secure Sockets Layer) bilgisayar ağları üzerinden iletişim güvenliği sağlamak üzere tasarlanan kriptografik protokollerdir.

Ayrıca, SSL/TLS pratiklerine gereken biçim uymak mühim bir konudur. Ağ trafiğini güven altına almak için SSL doğrulama istenilmeli, güçlü şifre paketleri kullanılmalı ve geçersiz bir sertifikayla karşılaşılması durumunda ya kullanıcı uyarılmalı ya da uygulamanın çalışması geçici olarak durdurulmalı.

 

-Veri Kaçakları

Mobil aletlerin fiziksel olarak güvenli yapılması çok zor olduğundan, veriler bir mobil cihazda saklandığında özel bilgilerin korunmasına dikkat edilmelidir.

Verinin korunmaması gizlilik ihlali, kredi kartı ödeme standartlarının ihlali, kimlik hırsızlığı ve fraud gibi durumlara sebep olabilir. Saklanmış veriye, kötü yazılımlar yoluyla uzaktan veya internette yer alan forensik araçlarla erişim sağlanabilir.

Peki, Nasıl önlenir?

Her cihaz veriyi farklı biçimlerde depolar. Mobil Yazılımcıların bu verinin yalnızca her cihazda değil, aynı zamanda her geliştirme çerçevesi kapsamında nasıl saklandığı, kaşelendiği ve bu veriye hangi yöntemle erişildiği konusunda bilgi sahibi olması gerekir. Veri kaçağına en çok denk gelinen vektörler; olay ve veri günlükleme, kopyala - yapıştır ara bellekleri, HTTP ön bellekleme, HTML5 yerel ve oturum depolama ve çerezlerdir.

 

-Çift Taraflı Korumanın Yer Almaması

Mobil yazılımcının kontrolü dışındaki bir cihaza yüklenen tüm güvenli mobil uygulamalarda saldırganların şifre çözmesini, tersine mühendislik yapmasını veya mobil uygulama kodunu değiştirmesini engelleyecek önlem planları olmalı.

Peki, Nasıl önlenir?

Hedef mecraların ikili korumayı nasıl desteklediğini iyi bir şekilde hakim olmak gerekir. Jailbreak/debugger tespiti, kod değişikliği tespiti, sertifika koruma ve kod gizleme uygulamaları yetkisiz değişikliklere karşı koruma yollarından bazılarıdır.

 

-Güvensiz Bir Şekilde Oturum Açma

Mobil uygulamaların sık sık çevrimdışıyken de çalışması gerekir. Bu olağan dışı zorunluluk yüzünden oturum açma süreçleri genel olarak sunucu tarafı veya web oturum açma işlemlerine göre daha güvensiz oluyor.

Peki, Nasıl önlenir?

Mobil Uygulamaların oturum açma işlemleri istemci veya sunucu tarafındaki bir saldırganın kontrolüne geçebileceği ihtimaliyle tasarlanması gerekir. Kullanıcının oturum açma şartlarıyla ilgili hiçbir bilgi bulunulmamalı, mobil uygulamanın sunucu adına herhangi bir oturum açma mantığı oluşturmasına izin verilmemelidir.