Mobil Uygulama Güvenliği Nedir?
İngilizce: Mobile App Security
Mobil uygulama güvenliği, uygulama kodunu, API trafiğini, oturumu ve cihazdaki veriyi kötüye kullanıma karşı korur.
Mobil Uygulama Güvenliği Nedir?
Mobil uygulama güvenliği, cihazda çalışan kodun, yerel depolamanın, API trafiğinin ve kullanıcı oturumunun kötüye kullanılmasını önlemek için alınan önlemleri kapsar. Mobil istemci tamamen güvenilir kabul edilemez; uygulama tersine mühendislik, sahte cihaz, zararlı ağ ve çalıntı token risklerine açıktır.
Temel Riskler
- Hassas verinin düz metin olarak saklanması
- API token’larının güvenli olmayan depolarda tutulması
- Yetkisiz API çağrılarının sunucu tarafında yeterince kontrol edilmemesi
- Man-in-the-middle saldırılarına karşı zayıf TLS doğrulaması
- Root veya jailbreak edilmiş cihazlarda ek risklerin göz ardı edilmesi
Korunma Yaklaşımları
Gizli değerler güvenli anahtar depolarında tutulmalı, parolalar cihazda saklanmamalı, token süreleri sınırlanmalı ve kritik işlemler sunucu tarafında tekrar doğrulanmalıdır. JWT kullanılıyorsa imza, süre ve yenileme akışı dikkatle yönetilir. SSL Pinning, belirli senaryolarda sahte sertifika riskini azaltabilir; ancak sertifika rotasyonu planı olmadan uygulanırsa uygulamayı kilitleyebilir.
OWASP Mobile Application Security Verification Standard, mobil tehditleri sistematik değerlendirmek için kullanılan referanslardan biridir. Güvenlik yalnızca yayın öncesi test değil, sürüm güncellemesi, log izleme ve API tarafı kontrollerle birlikte ele alınmalıdır.
İlgili Terimler
Biyometrik kimlik doğrulama, yüz veya parmak izi gibi cihaz biyometrilerini oturum açma ve onay adımlarında kullanır.
JWTJWT, API'ler ve istemciler arasında doğrulanabilir bilgileri taşımak için kullanılan imzalanmış ve kodlanmış JSON tabanlı token standardıdır.
OWASPOWASP, web uygulama güvenliğini iyileştirmek için OWASP Top 10 gibi kaynaklar yayımlayan kar amacı gütmeyen güvenlik kuruluşudur.
SSL PinningSSL pinning, mobil uygulamanın yalnızca beklenen sertifika veya açık anahtara güvenmesini sağlayarak MITM riskini azaltan kontroldür.