Mobil uygulama güvenlik açıkları söz konusu olduğunda, güvenlik uzmanları genellikle sıfırıncı gün saldırılarını veya hassas verilere erişme girişimlerini düşünür. Bunlar çok gerçek tehditler, ancak tersine mühendislik ve çengelleme gibi daha incelikli saldırıları da göz önünde bulundurmalısınız. Bu saldırılar, endüstrinin genellikle cihaz altyapısına kadar uzanan ve daha fazla olmayan mobil veya istemci tarafı güvenlik konusundaki çok dar anlayışından yararlanır.
Instagram bunu 2022’de tersine mühendislik mobil uygulamalarıyla tanınan bir geliştirici olan Alessandro Paluzzi’nin popüler BeReal uygulamasına benzer yayınlanmamış bir özelliği fark etmesiyle zor yoldan öğrendi. Mobil uygulamanın kodundaki özelliği tanımlayarak, Paluzzi herhangi bir cihaz düzeyinde koruma tarafından engellenmedi.
Mobil uygulamalar, işlemlerinin ve kodlarının çoğu kullanıcının cihazında yürütüldüğü için benzersiz bir güvenlik sorunu sunar, bu da onları analize ve kurcalamaya karşı daha duyarlı hale getirir. Güvenlik uzmanları, mobil uygulamaları günümüzün karmaşık tehditlerinden korumak için istemci tarafı güvenlik anlayışlarını genişletmelidir.
Ele Geçirilmiş Bir Mobil Uygulamanın Etkisi
Güvenliği ihlal edilmiş bir mobil uygulamanın bir işletmeyi olumsuz etkilemesinin birçok yolu vardır, örneğin:
- Çalınan fikri mülkiyet ve rekabet avantajının kaybedilmesi
- Marka ve tüketici güveninin zedelenmesi
- Üçüncü taraf mağazalara yüklenen uygulamanın değiştirilmiş sürümleri nedeniyle gelir kaybı
- Mevzuat ihlalleri için para cezaları
Peloton kürekçi ürün sızıntısını düşünün. 2021’de 9to5Google, Android uygulamasında bulunan ayrıntılara dayanarak yayınlanmamış bir Peloton kürek makinesini onayladı. Bu sızıntı muhtemelen planlanan pazarlama çabalarını baltaladı, Peleton’ın uygulama güvenliğini sorguladı ve rakiplere onu pazarda yenme şansı verdi.
İstemci Tarafında Üç Güvenlik Efsanesi
Ne yazık ki sektör, kapsamlı mobil uygulama güvenliğini engelleyen yanlış anlamalarla boğuşuyor. İşte en sık gördüğümüz üç tanesi.
1. Tüm Hassas Veriler Korunur
Efsane: Tüm hassas veriler sunucu tarafında kalıyor, bu yüzden şifreli ve korumalı olduğundan eminim. Kullanıcının mobil cihazında herhangi bir hassas veri depolamadığım için ek korumaya ihtiyacım yok.
Kontrpuan: Uygulama kullanıcısının cihazında çok az hassas verinin depolandığı genellikle doğrudur, ancak bu, uygulamanın güvenli olduğu anlamına gelmez. Uygulama çalışıyorsa, işlemler, kod ve sunucuyla iletişim açığa çıkar.
Saldırgan, ek korumalar olmadan aşağıdaki konularda bilgi edinebilir:
- Uygulama sunucuyla nasıl iletişim kurar?
- Nerede şifreleme yapar
- Yetkilendirmeyi nasıl işler?
- Hassas bilgileri yakaladığı yer
2. Kullanıcı Tabanlı Tehditler Kontrolümün Dışında
Efsane: Uygulama kullanıcısının cihazı veya onu nasıl kullandığı üzerinde hiçbir kontrolüm yok, bu nedenle kötü amaçlı yazılım veya kimlik avı saldırılarını önlemek için yapabileceğim hiçbir şey yok.
Kontrpuan: Kötü amaçlı yazılım saldırılarına karşı koruyamayabilirsiniz, ancak uygulamanızı diğer tehditlere karşı koruyabilirsiniz. Kodun ve dizelerin bazı bölümleri açık bırakıldığında veya yorumlar meta veri olarak kodda bırakıldığında, tersine mühendislik ve çengelleme için atlama noktaları olarak işlev görürler. Kodun içinde gizlenmiş “sırlar” hakkında fikir edinmek ve yetkisiz teşhir, çalınan fikri mülkiyet, marka hasarı veya başka bir şey sağlamak için kullanılabilirler.
3. İşletim Sistemi Beni Koruyacak
Efsane: İşletim sisteminin (OS) güvenliğine güvenebilmek için mobil uygulamamda kullanılan tüm bileşenleri güncel tutarak üzerime düşeni yaptım.
Kontrpuan: İşletim sisteminin birincil endişesi, herhangi bir mobil uygulamanın güvenliği değil, cihazın kendisinin güvenliğidir. Örneğin, bir Symantec araştırmasında, özel AWS bulut hizmetlerine erişime izin veren, açığa çıkmış AWS erişim belirteçlerine sahip 1.822 iOS uygulaması bulundu. iOS korumaları, bu güvenlik açığını işaretlemek veya güvenliğini sağlamak için hiçbir şey yapmadı. Her zaman bir uygulamanın düşmanca bir ortamda çalıştığını varsayın ve buna göre hazırlanın.
İstemci Tarafı Güvenliği Nasıl İyileştirilir?
Mobil uygulamanız piyasaya sürüldüğünde, şirketiniz hedef pazarınızı memnun etmek için heyecan verici yeni özellikler geliştirmek için sayısız saat harcadı. Bu yatırımı korumak için kapsamlı bir mobil uygulama güvenlik stratejisi uygulamalısınız.
Başlamak için bu önerileri kullanın.
- Mobil uygulama güvenlik stratejinize rehberlik etmesi için OWASP Mobil Uygulama Güvenliği Doğrulama Standardı (MASVS) ve Mobil Uygulama Güvenliği Test Kılavuzu (MASTG) gibi güvenlik standartlarına ve çerçevelerine güvenin.
- Güvenliği, yayınlanmadan hemen önceki son dakika adımı haline getirmek yerine, DevSecOps yaşam döngüsünün her aşamasına entegre edin.
- Kod sağlamlaştırma ve Çalışma Zamanı Uygulama Kendi Kendini Koruma (RASP) denetimlerini içeren uygulama düzeyinde güçlü koruma mekanizmaları uygulayın. Tüm çözümler eşit şekilde oluşturulmadığından, değerlendirdiğiniz koruma çözümlerinin gerekli güvenlik düzeyini sağladığından emin olmanız önemlidir.
- Geliştirme sürecinin başlarında yaygın güvenlik açıklarını yakalamak için güvenlik testlerine öncelik verin. İdeal olarak, mobil uygulamalar için tasarlanmış ve OWASP ile diğer endüstri standartlarını temel alan bir test çözümü seçin.
- Şüpheli etkinliği, dolandırıcılığı veya hileyi tespit etmek için sürekli tehdit izlemeyi kullanın ve güvenlik stratejinizi sürekli olarak iyileştirin.
Sonraki adımlar
Güvenlik profesyonelleri, istemci tarafında mobil uygulama güvenliğini aramalı veya kötü niyetli aktörlerin uygulamalarının kodunu analiz etme, kurcalama ve tersine mühendislik yapma riskini almalıdır.
Koruma, test etme ve izleme süreçleri ve araçları dahil olmak üzere kapsamlı bir mobil uygulama güvenlik stratejisi, uygulamanız ile kodunu incelemeye çalışan tehdit aktörleri arasında durabilecek tek şeydir.
Mobil uygulama güvenlik stratejinizin temellerini güçlendirmeye ilişkin daha fazla ipucu için Mobile App Trifecta’yı Kucaklayın bölümüne bakın.
yazar hakkında
Jija Bhattacharya, Guardsquare’in şirketin DexGuard ve iXGuard mobil uygulama koruma ürünlerinden sorumlu Ürün Pazarlama ekibinin bir üyesidir. Farklı sektörlerde dijital dönüşümü yönlendiren şirketlerde çalışan farklı B2B bulut tabanlı ürünler için geliştirici, ürün sahibi ve ürün pazarlama müdürü olarak farklı pozisyonlarda çalıştı. Jija, VTU Hindistan’dan Elektrik Mühendisliği lisans derecesine ve Vrije Universiteit Brüksel’den iletişim alanında yüksek lisans derecesine sahiptir.