Mobil tehdit manzarası değişti. Zimperium’un 2025 küresel mobil tehdit raporuna göre, saldırganlar artık mobil cihazlara masaüstleri üzerinde öncelik veriyor. İşletmeler için mobil artık ikincil bir risk değildir. Şimdi birincil saldırı yüzeylerinden biri.
İOS ve Android işletim sistemi sürümleri için CVE verileri (Kaynak: Cemperyum)
Mobil Kimlik avı (Mishing) artıyor
Mobil tehditlerin üçte biri Mishing adı verilen kimlik avı temelli saldırılardır. SMS Kimlik avı (Smishing) bunların üçte ikisini oluşturur. Saldırganlar ayrıca kimlik avı bağlantılarını gizlemek için kötü niyetli PDF’ler göndermek gibi yeni hileler kullanıyor. Amerika Birleşik Devletleri en hedefli bölge olmaya devam ediyor ve Amerikan işletmelerini özellikle savunmasız hale getiriyor.
Tavsiye: AI tabanlı mobil tehdit savunma araçlarını dağıtın. Çalışanları, özellikle kısa mesajlar ve PDF’ler aracılığıyla kimlik avı denemelerini tanımaları için eğitin. Saldırı yöntemleri geliştikçe eğitiminizi düzenli olarak güncelleyin.
Sideloaded uygulamalar ve modası geçmiş cihazlar ciddi risk yaratıyor
Kurumsal cihazların yaklaşık yüzde 25’inde uygulamalardan yüklenen uygulamalara sahiptir. Bu uygulamalar resmi uygulama mağazalarının dışında yüklenmiştir. Birçoğu, verileri gizlice çalan veya kötü amaçlı yazılım yükleyen meşru uygulamaların sahte veya kurcalanmış sürümleridir.
Aynı zamanda, kullanılan mobil cihazların yaklaşık yüzde 25’i en son işletim sistemi sürümlerine yükseltemez. Bu, onları bilinen istismarlara kalıcı olarak savunmasız bırakır.
Tavsiye: Enterprise cihazlarına izin vermeden önce politikaları üçüncü taraf uygulamalarını veteriner olarak ayarlayın. Mümkün olan her yerde yan yüklemeyi kısıtlayın. Gizli güvenlik açıklarından kaçınmak için hala çalışıyor olsalar bile işletim sistemi güncellemeleri alamayan hizmetten çıkarma cihazları.
İş uygulamaları zayıf bir bağlantıdır
Zimperium, çalışma cihazlarında kullanılan uygulamaların yüzde 23’ünün yüksek riskli veya ambargo ülkelerindeki sunucularla iletişim kurduğunu buldu. Birçok çalışma uygulaması iletişimi düzgün bir şekilde şifrelemez veya konum, kişiler ve kısa mesajlar gibi hassas verileri yanlış kullanmaz.
Evde inşa edilmiş uygulamalar bile genellikle güvensizdir. Çoğu mobil uygulama, kod gizleme veya çalışma zamanı güvenlik kontrolleri gibi güçlü korumalardan yoksundur. Android uygulamalarının yüzde 60’ından fazlası temel, ücretsiz güvenlik araçlarına güveniyor. İOS’ta uygulamaların yüzde 60’ının kod koruması yoktur.
Tavsiye: Sürekli üçüncü taraf uygulamaları veteriner. Sadece bir kez yüklemede değil, her güncelleme yaptığında. Uygulama izinlerini ve veri akışlarını gözden geçirin. Dahili olarak inşa edilmiş uygulamalar için ücretsiz araçlardan uzaklaşın. Güçlü ikili koruma, güvenli iletişim ve cihaz onaylamasına yatırım yapın.
Cihaz onaylaması artık kritik
Rapor tekrar tekrar bir nokta vurgulamaktadır. Güvenli uygulamalar bile tehlikeye atılan cihazlarda çalışırlarsa kendilerini koruyamaz. Köklü, jailbroken veya kötü amaçlı yazılımlarla enfekte cihazlar, güvenliği cihaz düzeyinde atlayabilir. Cihaz onaylaması olmadan, uygulamalar güvenli bir ortamda çalışıp çalışmadıklarını söyleyemez.
Tavsiye: Hem üçüncü taraf hem de şirket içi tüm kritik mobil uygulamalar için cihaz onaylaması gerektirir. Mobil uygulama geliştirme yaşam döngüsünüzün standart bir parçası haline getirin.
Zimperium CEO’su Shridhar Mittal, “Organizasyonlar küresel olarak hem verimliliği hem de müşteri katılımını iyileştirmek için mobil cihazları benimsedikçe, siber suçlular dikkat çekti ve ilk bir mobil saldırı stratejisine geçti” dedi. “Kuruluşların% 70’i BYOD’yi desteklediğinden ve hem çalışanlar hem de müşteriler için aktif olarak mobil uygulamalar oluşturduğundan, mobil saldırı yüzeyini azaltmak, hem mobil cihazları hem de mobil uygulamaları kapsayan bir mobil güvenlik stratejisi gerektirir.”
Mobil güvenlik artık bir yan proje gibi ele alınamaz. Mobil cihazlar, geleneksel uç noktalarla aynı odak seviyesiyle korunmalıdır. Bu, katmanlı güvenlik, sürekli izleme ve güçlü politika uygulama anlamına gelir.
Tehditler şimdi burada. Savunmalar da olmalı.