Mobil uygulamalarının güvenlik yapılanması yazılım bazlı olup Android, IOS ve Windows Phone gibi platformlarda sıklıkla kullanılmaktadır. Bu güvenlik yapılanmaları mobil telefonların yanında tabletlerde de görevini başarıyla yerine getirir. Güvenlik sorunları uygulamanın oluşturulduğu ortama göre proje ekibi ile görüşülüp detaylıca düşünülmesini gerektirir. Aynı zamanda uygulamayı kullanan kullanıcıların güvenlik eksikleriyle alakalı geri bildirimleri de sürdürülebilirlik açısından önem teşkil etmektedir. Mobile uygulamalar dünyanın dört bir yanından erişim sağlayan işletmeler ve kullanıcıların birbirleriyle güvenli bir şekilde bağlantı kurmak istediği platformlardır, güvenliği de bu işin kritik bir parçasıdır.
Mobile Aplikasyonların Güvenliği Nedir?
Günümüzde artık çoğu kullanıcı masaüstü uygulamalarından çok, mobil uygulamalara güveniyor. Bir araştırmaya göre Amerika da 2015 yılında, kullanıcılar dijital medyada geçirdikleri zamanın %54’ünü mobil uygulamalarda geçiriyor. Bu uygulamalar çok büyük data havuzuna sahip ve bu datalar özel datalardır. Bu dataların yetkisiz kişiler tarafından ele geçirilmemesi için korunması şarttır.
Mobile uygulama yapmak için tasarlanan platformlar, yazılım geliştiricilerinin kullanıcılara güvenli bir ortam sağlaması için güvenlik seçenekleri sağlar. Ancak yazılım geliştiricilerin birçok güvenlik seçeneği içerisinden seçim yapması genellikle yazılımcıya bırakılır. Bu yüzden herhangi bir eksiklik durumunda uygulama, saldırganlar tarafından hedef hale gelebilmektedir.
Mobile uygulamaları etkileyen yaygın nedenler şunlardır:
■ Hassas verileri kullanıcının telefonundaki diğer uygulamalar tarafından okunabilir hale getirmek veya hatayla sızdırmak.
■ Zararlı yazılımlar veya kullanıcı tarafından egale edilebilecek zayıf kimlik doğrulama şartları koymak.
■ Kolayca kırılabilecek şifreleme yöntemlerinin kullanılması.
■ Verilerin internet üzerinden şifreleme olmadan iletilmesi.
Mobile Uygulamaların Güvenlik Testi Nedir?
Mobil uygulama güvenliği testi, kötü amaçlı bir kullanıcıların ona saldırmasını varsayıp, bu şekilde uygulamadaki eksiklikleri bulup gidermeye dayanır. Bir güvenlik testinin etkili olabilmesi, ilk başta uygulamanın amacının ve girip çıkan veri türlerinin anlaşılması ile başlar. Buradan sonra statik, dinamik analiz, sızma tekniklerinin teste uygulanması güvenlik açıklarını bulmada etkili bir sonuca götürür.
Test süreçleri şunları içerir:
■ Uygulamayla etkileşim halinde olup, uyguların verileri nasıl sakladığını, aldığını ve ilettiğini anlamak.
■ Uygulamaların şifrelenmiş bölümlerinin şifresini çözme.
■ Uygulamanın derlenmesi ve kodun analiz edilmesi.
■ Koddaki güvenlik açıklarının belirlenmesi için statik analizin kullanılması.
■ Uygulamanın içindeki güvenlik kontrollerinin (Kimlik doğrulama ve yetkilendirme kontrolleri)
■ Etkinliğini değerlendirmek için statik ve dinamik sızma tekniklerinden yararlanmak.
Uygulamaları, statik ve dinamik olarak test eden birçok mobil uygulama olmasına rağmen bu uygulamalar tam anlamıyla kapsamlı bir değerlendirme için gerekli yeterliliklere sahip değillerdir. En iyi analizin yapılması için uzman bir yazılımcı tarafından statik ve dinamik testlerin manuel incelemeyle birleştirilmesi gerekmektedir.
Yazar: Eğemen AKSÖZ (Bilgisayar Mühendisi)
