Akıllı telefonlarda kullandığımız mobil uygulamalar alışverişlerimizden, günlük attığımız adım sayısını takibe kadar sayısız yönde hayatımızı kolaylaştırıyor. Ancak bu uygulamalar sanıldığı kadar güvenli mi? ZDNet’te yayınlanan habere göre mobil uygulamaları telefonumuza indirmeden önce iki kere düşünmek gerekiyor. Habere göre, araştırmacılar mobil uygulamaların dörtte üçünde güvensiz veri depolamasına ilişkin güvenlik açıklarının var olduğunu belirtiyor. Bu durum ise siber saldırganları, kullanıcıların parolalarına, finansal bilgilerine, kullanıcı konumlarına ve diğer kişisel bilgilerine erişebilir hâle getiriyor.

Mobil uygulama tarafında yaşanan güvensiz veri depolama açığı, bir güvenlik şirketinin araştırmacıları tarafından hem IPhone hem de Google Android cihazları için çok sayıda mobil uygulamanın güvenlik değerlendirmesi sonrasında bulunan güvenlik açıklarından sadece bir tanesi. Positive Technologies tarafından 2019 yılının haziran ayında yayınlanan Mobil Uygulamalardaki Güvenlik Açıkları ve Tehditler adlı raporda da bu bulgulara yer verildi.

Yapılan incelemeler sonrasında, güvensiz veri depolamanın, test edilen uygulamalar arasında en yaygın güvenlik açığına sahip olduğu ortaya çıkmış oldu. İncelenen cihazların %76'sında ise bu durumun bir güvenlik riski oluşturduğu ve kullanıcıların gizliliğini ve güvenliğini tehlikeye soktuğu anlaşıldı. Öte yandan, yapılan incelemelerde aynı zamanda, uygulamaların üçte birinden fazlasının (%35) hassas verilerin güvenli olmayacak şekilde iletilmesine ve oturum sonlandırılmasının yanlış uygulanmasına ilişkin zafiyetler barındırdığı belirtildi.  Buna ek olarak, test edilen uygulamaların beşte birindeki açıklıklar ise uygulama kaynak kodunda hassas verilerin depolanmasından ve Brute-Force teknikleri* kullanılarak yapılan siber saldırılara karşı güvenliğin yetersiz kalmasından kaynaklanıyor. Bu durum güvenliğe ilişkin ekstra zafiyetler ortaya çıkarıyor.

Araştırmacılar yukarıda listelenen güvenlik açıklarını orta riskli, test edilen uygulamaların %29’unu ise yüksek riskli olarak sınıflandırıyor. Mobil uygulamalarda yüksek risk içeren zafiyetlerin başında gelen güvenlik açıklarından biri olan süreçler arası güvenli olmayan iletişim ise saldırganların zafiyet içeren mobil uygulamalarda işlenen verilere uzaktan erişmelerini sağlıyor. Bu teknik genellikle IOS uygulamaları için yasak olsa da tarayıcıda daha hızlı bir deneyim sağlamak için işlevlerini aynı cihazdaki diğer uygulamalarla paylaşan sosyal medya uygulamaları gibi bu tekniğin kullanıldığı durumlar da bulunuyor.

Habere göre, IOS işletim sistemi için mobil uygulamaların %38'inde Android uygulamalarının ise %43'ünde yüksek riskli güvenlik açıkları bulunduğu belirtiliyor. Keşfedilen güvenlik açıklarının %89’u kötü amaçlı yazılım kullanılarak, cihaza fiziksel bir erişime dahi gerek duymadan, istismar edilebiliyor ve potansiyel olarak kullanıcılar için çok hassas bilgilerin saldırıya uğraması riski oluşturuyor.

Positive Technologies şirketinde çalışan Leigh-Anne Galloway “uygulama geliştiriciler bize sorunsuz ve rahat bir deneyim sunmak için yazılım tasarımına özen gösteriyor ve insanlar bu mobil uygulamaları rahatlıkla cihazlarına yükleyip kişisel bilgilerini veriyorlar” diye konuşuyor ancak Galloway “endişe verici sayıda uygulama kritik bir şekilde güvensizdir ve bu sorunu çözmek için çok daha az sayıda geliştirici çaba sarf ediyor” diyerek uygulama geliştiricilerin uygulamaların güvenlik zafiyetleri konusunda daha dikkatli olması gerektiği konusunda uyarıda bulunuyor.

Uzmanlara göre, mobil uygulama geliştiriciler, ürünlerini güvence altına almak için daha fazla düşünüp, mobil cihaz uygulamalardaki güvenlik açıklarını hedef alan saldırılara karşı korunma yolunda yol kat etmeyi başarabilirler. Aynı zamanda kullanıcılar da bu konuda daha temkinli davranarak, özellikle de telefonlarına indirdikleri uygulamalara dikkat ederek, kendilerini kötü niyetli insanlardan daha kolay koruyabilirler.

Positive Technologies uzmanı Galloway, uygulamalar telefon fonksiyonlarına veya kullanıcı verilerine erişim sağlamak istediğinde, kullanıcıların bu işlem hakkında daha detaylı düşünmesi gerektiği vurgusunu yapıyor ve kullanıcıların indirdikleri uygulama hakkında herhangi bir şüphe duymaları durumunda bu erişim isteğini kabul etmemeleri gerektiğini not düşüyor. Buna ek olarak, Galloway kullanıcıların, SMS ve sohbet uygulamalarında bilinmeyen bağlantıları açmamaları gerektiğini ve üçüncü şahıs uygulama mağazalarından uygulama indirme durumlarına karşı daha uyanık kalarak kendilerini koruyabileceklerini belirtiyor.

SC Media yazarı, Maria Redka ise, uygulamanın kullanıcıya sağladığı servis ne olursa olsun veri güvenliğinin her şeyden önce gelmesi gerektiğini savunanlardan. Bu çerçevede Redka, özellikle uygulama geliştirenler için, daha iyi bir mobil uygulama güvenliği konusunda 10 ipucu sunuyor:

• Kodunuzu güvenli hale getirin: Bir uygulamanın güvenli hale getirilmesi kodlama sürecinden başlar. Bu çerçevede, uygulama geliştiriciler, sürecin başında kodlarını güvenli hale getirmelidirler.

• Test yapın: Tüm ürünü etkileyen bir çığa dönüşmeden önce ortaya çıkan her küçük sorunu gidermek için uygulamanızı her aşamada test ettiğinizden emin olun.

• Uygulama Programlama Ara Yüzünü (API) güvenli hale getirin: Uygulama Programlama Ara Yüzü, mobil uygulamanın en önemli kısımlarından biriyken, ürünün en savunmasız kısımlarından birine dönüşebilir. Bu çerçevede, her uygulama, üzerinde çalıştıkları platformda etkileşimde bulunmadan veya değişiklik yapmadan önce bir API izin anahtarı almalıdır.

• İstenmeyen veri sızıntılarını durdurun: İstenmeyen veri sızıntısı, mobil uygulamalardaki en önemli güvenlik sorunlarından biridir. Neredeyse her uygulama, kurulum başlamadan önce bir kullanıcıdan izin ister. Kullanıcılarınızın güvenliğinden asla ödün vermemek için uygulama veri kaynaklarını sınırlandırın ve uygulama verilerini şifreleyin.

• Güvenlik ekibi istihdam edin: Mobil uygulamanızı güvenceye almak için yapabileceğiniz en iyi şeylerden biri, en başından itibaren bir güvenlik ekibi kiralamaktır.

• Kullanıcıları güvenli kullanım hakkında bilgilendirin: Uygulama kullanıcılarınızı tehditler hakkında bilgilendirin. Örneğin, onlara doğrulanmamış kaynaklardan indirilen uygulamaların kişisel ve finansal bilgilerini çalabileceğini söyleyin

• Erişim politikaları geliştirin: Bir geliştirici için, yalnızca güvenli kütüphaneler ve çerçeveler kullanarak uygulamanızın güvenliğini sağlamak mümkün. Uygulama geliştirme sürecinde, uygulamanın yerel politikaların yanı sıra şirketin politikalarını ve yönergelerine uygunluğundan da emin olun.

• Kriptografi teknikleri kullanın: Mobil uygulamanızı korumak için en yeni şifreleme tekniklerini kullanmak iyi bir fikirdir.

• Yüksek derecede doğrulama politikaları uygulayın: Zayıf kullanıcı kimlik doğrulaması birçok güvenlik ihlalinin arkasındaki ana nedendir. Üst düzey kimlik doğrulama, uygulamanızı daha iyi korumanıza yardımcı olabilir. Kullanıcıları güçlü parolalar koymaya teşvik edin, parolalarını doğru şekilde saklama konusunda ipucu verin ve açık bir şekilde görünmeyen tehditler hakkında onları uyarın.

• Kullanıcıları uyarın: Bir kullanıcının verilerinin güvenliğinin uygulama geliştiriciye bağlı olmadığı durumlar da oluşabilir. Bu nedenle, kullanıcıları uygulama geliştiricinin önleyemeyeceği olası güvenlik tehditleri hakkında uyarmakta faydalı olabilir.

*  Brute Force, bir parolayı ele geçirmek için yapılan bir çeşit dijital  ve kriptografi saldırısıdır.

Kaynaklar:

1. Danny Palmer, ZDNET, “Three quarters of mobile apps have this security vulnerability that could put your personal data at risk”, Erişim: https://www.zdnet.com/article/three-quarters-of-mobile-apps-have-this-security-vulnerability-that-could-put-your-personal-data-at-risk/?ftag=TRE-03-10aaa6b&bhid=28786404532085290780725283797471
2. Maria Redka, “10 tips for better mobile application security”, SC Media, Erişim: https://www.scmagazineuk.com/10-tips-better-mobile-application-security/article/1584453