Mobil Uygulama Güvenliği ve Gizliliği

Giriş

Mobil cihazların kullanımı son yıllarda büyük bir artış göstermektedir. Her işletme dünya çapında daha fazla kullanıcıya ulaşmak için mobil uygulama geliştirme fırsatı arıyor. Bu nedenle mobil uygulama geliştirmeye olan talep zirvede. Kuruluşlar, rakipleri hızla ele geçirmek için yüksek düzeyde işlevsel uygulamalar ve geliştirilebilecek en iyi özellikleri arıyor.

Uygulamalara olan yoğun talep nedeniyle çoğu şirket, uygulama geliştirme ve bakım güvenliği protokollerini uygulamayı göz ardı ediyor. Bu belge mobil uygulama geliştirmeyi, güvenlik tehditlerini ve en iyi uygulamaları kapsar.

Mobil Uygulama Geliştirme

Mobil uygulama geliştirme, C, C++, JavaScript gibi temel yazılım dillerini kullanarak mobil uygulamaların tasarlanmasını ve kodlanmasını içeren bir süreçtir. Bilgisayarlardaki geleneksel yazılım geliştirme sürecine benzer. Mobil uygulamalar Android (Google) ve iOS (Apple) gibi iki büyük mobil platform için geliştirilmiştir. Uygulama mağazasında yemek dağıtımı, internet bankacılığı, video yayını, taksi rezervasyonu vb. gibi çeşitli amaçlara yönelik milyonlarca uygulama mevcuttur. Mevcut uygulamaların çoğu, mobil cihazların özelliklerini kullanmak üzere tasarlanmıştır.

Yukarıdaki gösterim mobil uygulama geliştirme sürecini göstermektedir. Uygulamalar dört tür yaklaşım kullanılarak geliştirilmektedir. Bunlar.

• Yerel Uygulamalar

  Android ve iOS gibi platformların programlama dili ve çerçevesi kullanılarak tasarlanmıştır.

• Çapraz Platform Uygulamaları

  Farklı programlama dilleri ve çerçevelerinden oluşur ancak cihazın işletim sisteminde çalışabilen yerel bir uygulama oluşturacak şekilde oluşturulmuştur.

• Hibrit Uygulamalar

  JavaScript, CSS (basamaklı stil sayfaları, HTML) kullanılarak tasarlanmış web uygulamalarıdır. Native uygulamalara göre uygun maliyetlidirler.

• Progresif Web Uygulamaları

  Bir uygulama gibi davranan bir web sayfasıdır. Uygulama mağazası teslimatı ve kurulumları gerektirmez.

Mobil Uygulama Güvenliği İhtiyacı

Güvenli ve emniyetli bir uygulama geliştirmek de önemlidir. Daha önce bilgisayar korsanlarının kötü amaçlı yazılım saldırılarına karşı savunmasız bilgisayarlarda, dizüstü bilgisayarlarda ve diğer ağ cihazlarında siber güvenlik tercih ediliyordu. Ancak son yıllarda siber saldırılarda geleneksel bilgisayar yazılımlarından mobil uygulamalara doğru bir paradigma değişimi yaşanıyor. Bunun temel nedeni mobil cihazların günlük yaşamda kullanımının artmasıdır. Bu nedenle herhangi bir siber saldırıdan kaçınmak için uygulamaların güvenliğini sağlamak önemlidir.

Mobil cihazları çeşitli olumsuz etkilerden korumak için mobil uygulama güvenliği vazgeçilmezdir.

• Veri hırsızlığı

  Zayıf mobil uygulama güvenliği, müşteri bilgileri, oturum açma kimlik bilgileri, finansal ayrıntılar vb. gibi hassas verilerin kaybolmasına neden olabilir. Bilgisayar korsanları, önemli bilgilere erişim sağlamak için uygulamalardaki mevcut güvenlik açıklarını kullanacak. Bu hem müşteriyi hem de şirketi etkiliyor. Kullanıcılar arasındaki güveni kaybettiği için işletmeye zarar verir.

• Finansal kayıp

  Mobil bankacılık uygulamalarında bulunan veriler, kredi kartı ve banka kartı numaraları, CVV vb. finansal ayrıntıları içerebilir. Bir bankacılık uygulamasının güvenliği ihlal edilirse, bilgisayar korsanlarının cep telefonunun tamamını ele geçirmesi kolaylaşır. Bilgisayar korsanları müşterinin cep telefonundan bilgisi olmadan işlem yapabilir. Mobil uygulama güvenliğinin olmaması aynı zamanda para cezaları, tazminat, restorasyon vb. yoluyla şirketin mali kayıplara uğramasına neden olur.

• Fikri Mülkiyet Soygunu

  Fikri mülkiyet aynı zamanda telif hakları, patentler vb. gibi insan zekasını da içeren bir mülkiyettir. Tüm mobil uygulamaların, uygulamanın tasarlandığı temel kodu vardır. Bu temel kod fikri mülkiyettir. Genellikle bilgisayar korsanları, başarılı uygulamaların temel kodunu soyutlayarak kendi klonlarını oluşturmaya çalışır. Bu tür klonlama uygulamaları, kullanıcıları orijinal uygulamanın izlenimi altında sahte uygulamayı indirmeleri için kandırmak için yaratılmıştır. Bu klonlanmış uygulamalar, mobil cihazlara kötü amaçlı yazılım yaymak için de kullanılabilir.

• İtibar Hasarı

  Mobil uygulamadaki güvenlik ihlalleri şirketin itibarına zarar verebilir. Kullanıcı verileri açığa çıktığında müşterinin uygulama şirketine olan güveni zedelenir. Bu da markanın kaybolmasına neden oluyor. Her işletme kullanıcı güvenine dayalı olarak çalışır. Güven ve itibar kaybolursa bunları yeniden inşa etmek kolay değildir.

Mobil Uygulamalardaki Güvenlik Tehditlerinin Nedenleri

• Uygulama Platformundan Yararlanma

  Mobil uygulama platformu, tüm uygulamaların indirilebildiği yerdir. Örnekler Google Play Store ve Apple Store'dur. Bu platformların uygulama güvenliğine yönelik android niyetleri, platform izinleri, anahtarlıklar vb. gibi belirli yönergeleri vardır. Platformun işletim sisteminin uygunsuz kullanımı, android iletişimi sırasında veri sızıntısına neden olabilir.

• Güvenli Olmayan Veri Depolama

  Burada güvenlik tehdidi, verilerin güvenli olmayan bir şekilde saklanmasından kaynaklanmaktadır. Bu güvenlik açığının temel nedeni, güvenliği ihlal edilmiş işletim sistemi, jailbreakli cihazlar, veri önbelleğinin hatalı işlenmesi ve çerçevedeki güvenlik açıklarıdır. Bu, meşru uygulamaların hacklenmesine ve onlardan veri alınmasına yol açar. İkili veri depoları, çerez depoları, SQL veritabanları vb. gibi çeşitli yerlerde meydana gelir.

• Güvenli Olmayan İletişim

  Mobil uygulamalarda veri aktarımı tipik bir istemci-sunucu modelinde gerçekleşir. Bu tür veri aktarımı internet ve cihaz taşıyıcı ağı üzerinden yapılır. Bilgisayar korsanlarının hassas bilgilere erişmek için bu güvenlik açığından yararlanma olasılığı vardır. Bu siber saldırı, güvenli olmayan bir Wi-Fi ağı üzerinden, yönlendiriciler, proxy sunucular veya kötü amaçlı yazılım bulaşmış uygulamalar aracılığıyla ağdan yararlanılarak gerçekleştirilebilir. Bu, verilerin çalınmasına, Ortadaki Adam (MITM) saldırısına vb. yol açar.

• Uygunsuz Kimlik Doğrulama

  Kimlik doğrulama sürecinin yanlış uygulanması mobil uygulamada güvenlik tehditlerine yol açmaktadır. Yetersiz kimlik doğrulama nedeniyle, bilgisayar korsanı normal kimlik belirleme sürecini atlamaya çalışır ve böylece bilgilere sahte bir kimlik kullanarak erişmeye çalışır. Mobil uygulama kimlik doğrulaması, her zaman çevrimiçi kimlik doğrulama gerektirmediği için geleneksel web uygulamasıyla karşılaştırıldığında daha savunmasızdır. Bu çevrimdışı boşluk, bilgisayar korsanları tarafından uygulamaya erişmek için kullanılabilir.

• Veri Şifreleme Eksikliği

  Kriptografik teknoloji, verilerin şifreleme ve şifre çözme yöntemleriyle güvenli bir şekilde aktarılması için kullanılır. Zayıf veri şifreleme yöntemi, bilgilerin bütünlüğünü tehlikeye atabilir. Bilgisayar korsanları, orijinal verileri yorumlamak, çalmak veya tahrif etmek için bu güvenlik açığından yararlanabilir. Aktarım sırasında gizli verilerin güvenliği açısından yüksek bir tehdit taşır.

• Zayıf Kodlama Uygulaması

  Uçucu kodlama uygulamasından kaynaklanan sağlam bir tehdittir. Her kişinin farklı bir kodlama prosedürünü izlediği kodlama grubunun üyeleri arasındaki yönelim bozukluğunun sonucudur. Uygulamanın kodlama dışı programında tutarsızlığa neden olur. Ancak hem otomatik hem de manuel kodlama incelemesi gerektiren kodlama hatalarını tespit etmek zordur. Bilgisayar korsanının böyle bir boşluk tespit etmesi depolama sızıntılarına neden olabilir; arabellek taşmaları, güvenliği ihlal edilmiş varsayılan kitaplıklar ve daha fazlası.

• Tersine mühendislik

  Tersine mühendislik tehdidi, JavaScript kodlarının yazıldığı Android uygulamalarında ortaya çıkar. Tersine mühendislik araçları ve teknikleri uygulanarak android uygulamalarının kodlama deseni ortaya çıkarılabilir. Çevrimiçi ikili araçlar bu amaçla kullanılır. Tehdit, temel kodun açığa çıkması değil, kullanıcı bilgilerini çalmak için orijinal uygulamanın nasıl kopyalanacağıdır. Tek bir cihazdaki uygulamayı değil, bu uygulamayı kullanan tüm cihazları etkiler.

Mobil Uygulama Güvenliği En İyi Uygulamaları

Uygulama tasarımı ve bakımında uygulanabilecek çeşitli mobil uygulama güvenliği uygulamaları vardır. Bunlardan bazıları aşağıdaki gibidir.

Açık Kaynak Kod Değerlendirmesi

Çoğu mobil uygulama, yeniden kullanılabilir kaynak kodları içeren açık kaynak kodunu veya üçüncü taraf kitaplıklarını kullanır. Bu tür kodlar mobil uygulamaların geliştirilmesini ve dağıtılmasını kolaylaştırsa da herkesin kullanımına açıktır ve bu da onları kullanan android uygulamaları için bir tehdit oluşturmaktadır. Kodu kolayca kırmak için tersine mühendislik yöntemi kullanılabilir.

Üstelik uygulama geliştirme sürecinde üçüncü taraf kütüphanelerdeki açık kaynak kodlar yazılı kodla birleşiyor ve uygulama testi sırasında fark edilmiyor. Bu nedenle, uygulama koduna eklemeden önce herhangi bir güvenlik açığına karşı açık kodlarda kapsamlı bir test yapılması zorunludur.

Kriptografinin Sağlam Kullanımı

Kriptografi, başlangıçta mesajı üçüncü tarafa ifşa etmeden verileri aktarmak için kullanıldı. Bu, aktarım sırasında verilerin şifrelenmesi ve şifresinin çözülmesiyle yapılabilir. Artık bu yöntem ağ iletişiminde güvenli iletişim ve verilerin depolanması için kullanılıyor. Güçlü bir veri şifreleme tekniği kullanılarak kaynak kodu, kullanıcı bilgileri, oturum açma kimlik bilgileri, uygulama depolama alanı gibi uygulama verileri bilgisayar korsanlarından korunabilir. Veriler şifrelendikten sonra, bilgisayar korsanı verileri çalsa bile orijinal içeriğin yorumlanması zorlaşır.

Kod İmzalama Sertifikasını Kullanma

Mobil uygulamayı siber saldırılardan korumak ve kullanıcının güvenini kazanmak için kod imzalamak çok önemlidir. Kod imzalama sertifikası, geliştiricinin kimliğiyle birlikte CA'nın dijital imzasını (Sertifikayı Veren Yetkili) içeren dijital bir sertifikadır. Uygulamayı imzaladıktan sonra kodun yorumlanmamasını veya değiştirilmemesini sağlar. Mobil uygulamayı imzalayabilen birçok 'ucuz kod imzalama sertifikası' mevcuttur. Hem uygun maliyetlidir hem de uygulamaya yüksek güvenlik sağlar.

Veri Önbelleğini Geliştirme

Önbelleğe alınan veriler, daha hızlı yeniden açılmaya yardımcı olmak ve böylece uygulamanın performansını artırmak için uygulamadan alınan bilgileri içerir. Bu veri önbelleği genellikle kullanıcı cihazında güvenli olmayan bir şekilde depolanır. Bilgisayar korsanının önbellek verilerini yorumlamasını ve hassas bilgileri çalmasını kolaylaştırır. Dolayısıyla uygulamayı kilitlemek için bir şifre oluşturmak her zaman güvenlidir, bu da önbellek verilerine erişimi zorlaştırır. Önbellek verilerini sık sık temizlemek ve güvenli bir ağ bağlantısı kullanarak oturum açmak da iyi bir uygulamadır.

Güvenli Veri Depolama

Her uygulama, siber suçluların kötü amaçlı faaliyetlerde bulunmak için kullanabileceği çok sayıda veri içerir. Hem kullanıcıların hem de uygulama geliştiricisinin bilgilerini içerir. Bu nedenle, uygulama verilerinin hem uygulamanın hem de cihazın güncel olduğu bir yerde güvenli bir şekilde saklanması önemlidir. Geliştirici her zaman uygulama verilerinin yerel bir mağazada saklanmamasını önerir. Güvenli bulut depolama bu amaçla kullanılabilir. Özel bilgilerin korunması için uygulamada bir koruma katmanının olması da önemlidir. Uygulama verilerini kullanıcı verilerinden ayırmak en iyi uygulamadır.

Kimlik Doğrulama ve Yetkilendirme Teknikleri

Kimlik doğrulama ve yetkilendirme süreci, mobil uygulama güvenliğinin iki güçlü ayağını oluşturur. Uygulamayı siber saldırılara karşı korumak için her ikisi de eşit derecede önemlidir. Kimlik doğrulama süreci, kullanıcıların uygulamadaki verileri açmak ve verilere erişmek için oturum açma kimlik bilgileri gibi gerekli bilgileri sağlamasını sağlar. Veri hırsızlığını önlemek için çok faktörlü kimlik doğrulamaya sahip olmak önemlidir. Kullanıcı kimliğini, şifreyi, PIN'i, OTP'yi vb. içerir.

İhtiyaçlara göre sınırlı yetki verilmesi de esastır. Normal kullanıcıya yönetici gibi üst düzey yetki vermek, veri hırsızlığına ve uygulamanın tamamına müdahale edilmesine neden olabilir. Kimliği doğrulanmış kullanıcıların rolünü ve izinlerini doğrulamak için yetkilendirme her zaman sunucu tarafında gerçekleştirilmelidir.

Veri Silme ve Cihaz Kilitleme

Bu özellik çoğunlukla uygulamada kullanılmaktadır ve kişisel, finansal, sağlık bilgileri gibi gizli verileri içermektedir. Kullanıcı tarafından yapılan birkaç başarısız giriş denemesinden sonra uzak verilerin silindiği ve uygulamanın kilitlendiği bir güvenlik katmanıdır. Ayrıca kullanıcıların büyük harf, özel karakter, alfabe, rakam vb. yerine sıralı sayı kullanmamasını da zorunlu kılar.

Kuruluşlar üç tür veri silme çözümü kullanıyor: fabrika ayarlarına sıfırlama silme, tam cihaz silme ve kurumsal cihaz silme.

Tersine Mühendislikle Mücadele

Bilgisayar korsanlarının uygulamanın işleyişini bozmak için kullandıkları tersine mühendislik yöntemi, mobil uygulama güvenliği açısından ciddi bir tehdit oluşturuyor. Bilgisayar korsanı, uygulamanın kaynak koduna erişim sağlayarak kimlik doğrulama sürecini atlatabilir, sahte konum belirleyebilir ve uygulama verilerini çalabilir. Tersine mühendislikle mücadelede çalışma zamanı güvenliğinin güçlendirilmesi çok önemlidir. Bu, bilgisayar korsanının uygulama davranışını etkileyecek kod yapılarını değiştirerek uygulamanın dahili işlevlerini değiştirmesini önler.

Çözüm

Mobil uygulamayı siber saldırılara karşı korumak için güvenlik önlemlerine uymak şarttır. Belgede de belirtildiği gibi, uygun bir güvenlik çerçevesiyle geliştirilen mobil uygulama, gelecekte siber suçlulardan gelebilecek tehditlerin önlenmesine yardımcı olarak kullanıcıların güvenini kazanabilir. İş söz konusu olduğunda, her şey kullanıcıların güveni ve güveniyle ilgilidir ve bu, sağlam bir güvenlik çerçevesine sahip yüksek özellikli bir uygulamanın dağıtılmasıyla kazanılabilir.