Mobil Uygulama Güvenliği Nedir?

İngilizce: Mobile App Security

Mobil uygulama güvenliği, uygulama kodunu, API trafiğini, oturumu ve cihazdaki veriyi kötüye kullanıma karşı korur.

Mobil Uygulama Güvenliği Nedir?

Mobil uygulama güvenliği, cihazda çalışan kodun, yerel depolamanın, API trafiğinin ve kullanıcı oturumunun kötüye kullanılmasını önlemek için alınan önlemleri kapsar. Mobil istemci tamamen güvenilir kabul edilemez; uygulama tersine mühendislik, sahte cihaz, zararlı ağ ve çalıntı token risklerine açıktır.

Temel Riskler

  • Hassas verinin düz metin olarak saklanması
  • API token’larının güvenli olmayan depolarda tutulması
  • Yetkisiz API çağrılarının sunucu tarafında yeterince kontrol edilmemesi
  • Man-in-the-middle saldırılarına karşı zayıf TLS doğrulaması
  • Root veya jailbreak edilmiş cihazlarda ek risklerin göz ardı edilmesi

Korunma Yaklaşımları

Gizli değerler güvenli anahtar depolarında tutulmalı, parolalar cihazda saklanmamalı, token süreleri sınırlanmalı ve kritik işlemler sunucu tarafında tekrar doğrulanmalıdır. JWT kullanılıyorsa imza, süre ve yenileme akışı dikkatle yönetilir. SSL Pinning, belirli senaryolarda sahte sertifika riskini azaltabilir; ancak sertifika rotasyonu planı olmadan uygulanırsa uygulamayı kilitleyebilir.

OWASP Mobile Application Security Verification Standard, mobil tehditleri sistematik değerlendirmek için kullanılan referanslardan biridir. Güvenlik yalnızca yayın öncesi test değil, sürüm güncellemesi, log izleme ve API tarafı kontrollerle birlikte ele alınmalıdır.