Mobil uygulamalar günümüzde ciddi bir atılım göstermiş ve yaygın bir şekilde kullanılmaktadır. Mobil uygulamaların yaygınlaşması ve popülaritesi sadece son kullanıcıları değil, aynı zamanda şirket ve kurumları da yakından ilgilendirmektedir.
Mobil uygulama güvenliği; Android, IOS ve Windows Phone gibi çeşitli platformlardaki mobil uygulamaların yazılım güvenliğine odaklanmaktadır. Siber Güvenlik (Cyber Security), Bilişim Güvenliği (IT Security) kavramlarının öneminin artması ile birlikte mobil uygulamaların güvenliği de ön plana çıkmıştır.
Birçok işletme, dünyanın dört bir yanından kullanıcılarla bağlantı kurmak için tamamen mobil uygulamalara güvenmektedir. Mobil cihazların giderek daha fazla benimsenmesi, mobil uygulama sektörünün kayda değer bir şekilde büyümesine yol açmıştır. Bunun doğal sonucu olarak bu uygulamaların güvenliği de önem kazanmıştır.
Tüm popüler mobil platformlar, yazılım geliştiricilerin güvenli uygulamalar oluşturmasına yardımcı olmak için tasarlanmış güvenlik kontrolleri sağlar. Ancak, sayısız güvenlik seçeneği arasından seçim yapmak genellikle geliştiriciye (Developers) bırakılır.
Herhangi bir kötü amaçlı (malware) saldırı gerçekleştiğinde, şu sonuçlar ortaya çıkabilir:
- Hesabı ele geçirme (account takeover)
- Giriş verilerinin çalınması (Stolen login credentials)
- İş ağlarına yetkisiz erişim (Unauthorized access to business networks)
- Kimlik hırsızlığı (Identity theft)
Mobil uygulamalar bireyler ve yaşamları hakkında muazzam miktarda veri üretmektedir. Bu nedenle, uygulamaların bu bilgileri güvenli bir şekilde oluşturmasını, kaydetmesini ve kullanmasını sağlamak çok önemlidir. Bu bağlamda; kimlik doğrulama (Identity Verification), güçlü kimlik doğrulama (Strong Authentication) ve biyometrik kimlik doğrulama (Biometrics) gibi çözümler kullanılabilir.
Mobil Uygulama Güvenlik Risklerini Azaltma Stratejileri:
- Uygulamaların birbirleriyle iletişimini kısıtlamak, erişimi sınırlamak, kısıtlayıcı dosya izinleri uygulamak,
- Veri depolamada (Data Storage) şifrelemenin etkili bir şekilde uygulanması ve anahtarların korunması (encryption keys),
- SSL/TLS sertifikalarının yetkili sertifika sağlayıcılarından temin edilmesi ve kullanılması,
- Local kimlik doğrulama yerine sunucu tabanlı (server side) kimlik doğrulama yöntemlerinin kullanılması,
- Güçlü kriptografik standartların kullanılması (strong cryptographic standards as recommended by the National Institute of Standards and Technology (NIST)),
- Hassas verilerin cihaz üzerinde saklanmaması, kaydedilmemesi,
- Backend süreçler için gelen taleplerin, tanımlanan kullanıcıdan geldiğinin doğrulanması,
- Kimliği doğrulanmış olan kullanıcının rol, yetki ve izinlerinin kontrol edilmesi,
- Anlaşılabilir ve iyi dokümente edilmiş kodların kullanılması ve yeterli düzeyde testlerinin yapılması,
- Dijital imza (digital signatures), kod iyileştirmesi (code hardening) ve sağlama işlemlerinin (checksums) uygulanması,
- Tersine mühendisliğin önlenmesi (prevent reverse engineering). Diğer bir ifade ile saldırganlar (attackers) uygulamanın nasıl çalıştığını anlayamamalıdır.
- Log kayıtları backend ile ilgili aşırı tanımlayıcı açıklamalar içermemelidir.
OWASP mobil güvenlik açıkları listesini bir başlangıç olarak kabul etmek daha uygun bir yaklaşım olacaktır. İlgili güvenlik açıklarını gidermek sadece asgari bir seviyedir. Mobil uygulamaların güvenliğini sağlayabilmek için bu listenin bir başlangıç noktası olarak ele alınması ve daha ileri seviyeye taşınması gerektiği göz önünde bulundurulmalıdır.
Kaynaklar:
- https://www.statista.com/statistics/241587/number-of-free-mobile-app-downloads-worldwide/
- https://www.synopsys.com/glossary/what-is-mobile-application-security.html
- https://www.sam-solutions.com/blog/top-mobile-technology-trends/#:~:text=In%202022%2C%20users%20downloaded%20mobile,from%20a%20few%20years%20ago.
- https://www.onespan.com/solutions/mobile-app-security
- https://sectigostore.com/blog/owasp-mobile-top-10/
- https://owasp.org/www-project-mobile-top-10/
