{"id":7588,"date":"2016-05-06T08:58:30","date_gmt":"2016-05-06T06:58:30","guid":{"rendered":"https:\/\/ihs.com.tr\/blog\/?p=7588"},"modified":"2021-04-13T16:37:58","modified_gmt":"2021-04-13T14:37:58","slug":"sik-gorulen-5-mobil-uygulama-guvenligi-acigi","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/sik-gorulen-5-mobil-uygulama-guvenligi-acigi\/","title":{"rendered":"S\u0131k G\u00f6r\u00fclen 5 Mobil Uygulama G\u00fcvenli\u011fi A\u00e7\u0131\u011f\u0131"},"content":{"rendered":"

Mobil uygulama g\u00fcvenli\u011fi hala bir\u00e7ok a\u00e7\u0131\u011f\u0131n oldu\u011fu bir konu. Bu, 2016 Hewlett Packard Enterprise \u00e7al\u0131\u015fmas\u0131ndan elde edilen sonu\u00e7. \u00c7al\u0131\u015fmaya g\u00f6re 36.000 mobil uygulaman\u0131n %96\u2019s\u0131 10 g\u00fcvenlik kontrol\u00fcn\u00fcn en az birinde ba\u015far\u0131s\u0131z oldu. HPE\u2019nin \u00fc\u00e7 y\u0131l \u00f6nce yapt\u0131\u011f\u0131 benzer bir \u00e7al\u0131\u015fmada da incelenen 2000 uygulaman\u0131n %97\u2019sinde bir\u00e7ok g\u00fcvensiz \u00f6zel bilgi oldu\u011fu tespit edilmi\u015fti.<\/span><\/p>\n

Mobil uygulama kullan\u0131m\u0131 h\u0131zla yayg\u0131nla\u015f\u0131rken, g\u00fcvenli\u011fe y\u00f6nelik kayg\u0131lar da ayn\u0131 \u015fekilde artmakta.<\/span><\/p>\n

Nissan ge\u00e7ti\u011fimiz ay i\u00e7erisinde g\u00fcvenlik uzmanlar\u0131n\u0131n Leaf elektrikli arabas\u0131n\u0131n uygulamas\u0131n\u0131n g\u00fcvensiz API\u2019lar\u0131 ile araban\u0131n t\u00fcm fonksiyonlar\u0131n\u0131n uzaktan kumanda edilebildi\u011fini g\u00f6stermesi \u00fczerine uygulamay\u0131 kald\u0131rarak mobil uygulama g\u00fcvenli\u011fi<\/strong><\/a> a\u00e7\u0131\u011f\u0131ndan ma\u011fdur olan bir ba\u015fka marka oldu.<\/span><\/p>\n

Bu ve buna benzer \u00f6rneklerden yola \u00e7\u0131karak en s\u0131k rastlanan g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 ve bu a\u00e7\u0131klar\u0131n nas\u0131l giderilebilece\u011fini \u015f\u00f6yle listeleyebiliriz:<\/span><\/p>\n

1- Sunucu Taraf\u0131 Bile\u015fenler<\/strong><\/span><\/p>\n

Uygulaman\u0131n veri i\u015fleme ve \u00e7al\u0131\u015fma mant\u0131\u011f\u0131 olu\u015fturma i\u00e7in sunucu uygulamalar\u0131yla nas\u0131l ileti\u015fime ge\u00e7ti\u011fi mobil uygulama g\u00fcvenli\u011fi i\u00e7in b\u00fcy\u00fck \u00f6nem ta\u015f\u0131yor. Bu ileti\u015fim genellikle web hizmetleri veya API aramalar\u0131 \u00fczerinden ger\u00e7ekle\u015fiyor. Bu aramalar\u0131n g\u00fcvenli programlama pratikleriyle gerekti\u011fi \u015fekilde g\u00fcvenli bir hale getirilmemesi mobil uygulamalarda en s\u0131k rastlanan a\u00e7\u0131klardan biri.<\/span><\/p>\n

Bu kategorideki a\u00e7\u0131klar aras\u0131nda \u00e7apraz site betiklemesi, ya zay\u0131f ya da hi\u00e7 olmayan kimlik do\u011frulama<\/strong> s\u00fcre\u00e7leri, sql injection tarz\u0131 sald\u0131r\u0131lar ve \u00e7apraz site talep sahtecili\u011fi bulunmaktad\u0131r.<\/span><\/p>\n

Nas\u0131l \u00f6nlenir?<\/span><\/strong><\/p>\n

API\u2019lar\u0131 ve web hizmetlerini g\u00fcvenli bir hale getirmek i\u00e7in genel web uygulama g\u00fcvenli\u011fi konusunda bilgili olmak gerekiyor. G\u00fcvenli web programlama pratikleri sunucu taraf\u0131ndaki riski azalt\u0131yor veya tamamen ortadan kald\u0131r\u0131yor. Bu konudaki muhtemel a\u00e7\u0131klar\u0131 ve riskleri ortadan kald\u0131rma stratejilerini OWASP\u2019\u0131n sitesinden incelemek m\u00fcmk\u00fcn. Ayn\u0131 sitede s\u0131k rastlanan g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n tespit edilebilece\u011fi statik kod analizi ara\u00e7lar\u0131 da bulunmakta ve bu ara\u00e7lar geli\u015ftirme s\u00fcrecine muhakkak dahil edilmeli.<\/span><\/p>\n

2- A\u011f Trafi\u011finin Korunmas\u0131<\/strong><\/span><\/p>\n

Sunucunun kendisi g\u00fcvende olsa bile, mobil uygulamalardan g\u00f6nderilen kriptolanmam\u0131\u015f a\u011f trafi\u011fine her zaman m\u00fcdahale edilebilir ve bu trafik oturum gasp\u0131, \u00e7apraz site talep sahtecili\u011fi ve \u2018man in the middle<\/a>\u2019 sald\u0131r\u0131lar\u0131 i\u00e7in kullan\u0131labilir. Bu tarz sald\u0131r\u0131lar kariyer a\u011flar\u0131ndan bir kafenin \u00fccretsiz Wi-Fi\u2019\u0131na kadar mobil cihazlar\u0131n veri aktard\u0131\u011f\u0131 herhangi bir yerde ger\u00e7ekle\u015ftirilebilir. Sald\u0131rganlar\u0131n ihtiyac\u0131 olan tek \u015fey uygulaman\u0131zdan veya uygulaman\u0131za g\u00f6nderilen paketlere m\u00fcdahale edebilece\u011fi bir eri\u015fim noktas\u0131.<\/span><\/p>\n

Nas\u0131l \u00f6nlenir?<\/span><\/strong><\/p>\n

Uygulamalar tasarlan\u0131rken ve programlan\u0131rken uygulamaya gelen ve uygulamadan giden t\u00fcm a\u011f trafi\u011fine m\u00fcdahale edilebilece\u011fi g\u00f6z \u00f6n\u00fcnde bulundurulmal\u0131d\u0131r. Genellikle TLS ve SSL<\/a> olarak tabir edilen iletim katman\u0131 g\u00fcvenli\u011fi (Transport Layer Security) ve g\u00fcvenli soket katman\u0131 (Secure Sockets Layer<\/a>) bilgisayar a\u011flar\u0131 \u00fczerinden ileti\u015fim g\u00fcvenli\u011fi sa\u011flamak \u00fczere tasarlanan kriptografik protokollerdir. SSL\/TLS uygulamalarla sunucu uygulamalar\u0131 aras\u0131nda gidip gelen bilgileri korumak i\u00e7in kullan\u0131labilir.<\/span><\/p>\n

Ayr\u0131ca, SSL\/TLS pratiklerine gerekti\u011fi \u015fekilde uymak \u00f6nemlidir. A\u011f trafi\u011fini g\u00fcvence alt\u0131na almak i\u00e7in SSL do\u011frulama talep edilmeli, g\u00fc\u00e7l\u00fc \u015fifre paketleri kullan\u0131lmal\u0131 ve ge\u00e7ersiz bir sertifikayla kar\u015f\u0131la\u015f\u0131lmas\u0131 durumunda ya kullan\u0131c\u0131 uyar\u0131lmal\u0131 ya da uygulaman\u0131n \u00e7al\u0131\u015fmas\u0131 durdurulmal\u0131.<\/span><\/p>\n

\"Internet<\/p>\n

3- Veri Ka\u00e7a\u011f\u0131<\/strong><\/span><\/p>\n

Mobil cihazlar\u0131n fiziksel olarak g\u00fcvenli hale getirilmesi \u00e7ok zor oldu\u011fundan, veri bir mobil cihazda sakland\u0131\u011f\u0131nda hassas bilgilerin korunmas\u0131na \u00f6zen g\u00f6sterilmelidir.<\/span><\/p>\n

Verinin korunmamas\u0131 gizlilik ihlali, kredi kart\u0131 \u00f6deme standartlar\u0131n\u0131n ihlali, kimlik h\u0131rs\u0131zl\u0131\u011f\u0131<\/strong> ve fraud<\/a> gibi durumlara neden olabilir. Saklanm\u0131\u015f veriye k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar vas\u0131tas\u0131yla uzaktan veya internette bulunabilecek forensik ara\u00e7larla eri\u015filebilir.<\/span><\/p>\n

Nas\u0131l \u00f6nlenir?<\/span><\/strong><\/p>\n

Her cihaz veriyi farkl\u0131 \u015fekillerde saklar. Geli\u015ftiricilerin bu verinin sadece her cihazda de\u011fil, ayn\u0131 zamanda her geli\u015ftirme \u00e7er\u00e7evesi kapsam\u0131nda nas\u0131l sakland\u0131\u011f\u0131, ka\u015felendi\u011fi ve bu veriye nas\u0131l eri\u015fildi\u011fi konusunda bilgili olmas\u0131 gerekir. Veri ka\u00e7a\u011f\u0131na en s\u0131k rastlanan vekt\u00f6rler olay ve veri g\u00fcnl\u00fckleme, kopyala\/yap\u0131\u015ft\u0131r ara bellekleri, HTTP \u00f6nbellekleme, HTML5 yerel ve oturum depolama ve \u00e7erezler<\/a>dir.<\/span><\/p>\n

4- \u00c7ift Tarafl\u0131 Koruman\u0131n Olmamas\u0131<\/strong><\/span><\/p>\n

Geli\u015ftiricinin kontrol\u00fc d\u0131\u015f\u0131ndaki bir cihaza y\u00fcklenen t\u00fcm g\u00fcvenli uygulamalarda sald\u0131rganlar\u0131n \u015fifre \u00e7\u00f6zmesini, tersine m\u00fchendislik yapmas\u0131n\u0131 veya uygulama kodunu de\u011fi\u015ftirmesini engelleyecek \u00f6nlemler olmal\u0131. Uygulamalar\u0131 kod de\u011fi\u015ftirme i\u015flemlerine kar\u015f\u0131 korumamak yetkisiz eri\u015fime, gizli verilerin ele ge\u00e7irilmesine, hatta bizzat uygulaman\u0131n \u00e7al\u0131nmas\u0131na neden olabilir. Uygulama ikilisi bir kez ele ge\u00e7irilirse en g\u00fc\u00e7l\u00fc g\u00fcvenlik \u00f6nlemleri bile kolayca a\u015f\u0131labilir.<\/span><\/p>\n

Nas\u0131l \u00f6nlenir?<\/span><\/strong><\/p>\n

Hedef platformlar\u0131n ikili korumay\u0131 nas\u0131l destekledi\u011fini iyice bilmek gerekir. Jailbreak\/debugger tespiti, kod de\u011fi\u015fikli\u011fi tespiti, sertifika koruma ve kod gizleme uygulamalar\u0131 yetkisiz de\u011fi\u015fikliklere kar\u015f\u0131 koruma y\u00f6ntemlerinden baz\u0131lar\u0131d\u0131r. Konuyla ilgili daha kapsaml\u0131 bilgiye OWASP\u2019\u0131n sitesinden ula\u015f\u0131labilir.<\/span><\/p>\n

5- G\u00fcvensiz Oturum A\u00e7ma<\/strong><\/span><\/p>\n

Mobil uygulamalar\u0131n s\u0131k s\u0131k \u00e7evrimd\u0131\u015f\u0131yken de \u00e7al\u0131\u015fmas\u0131 gerekir. Bu ola\u011fan d\u0131\u015f\u0131 gereksinim y\u00fcz\u00fcnden oturum a\u00e7ma s\u00fcre\u00e7leri genellikle sunucu taraf\u0131 veya web oturum a\u00e7ma i\u015flemlerine nazaran daha g\u00fcvensiz, \u00f6rne\u011fin cihazlarda d\u00f6rt haneli PIN kodlar\u0131 kullan\u0131lacak veya parolalar cihazda saklanacak \u015fekilde tasarlan\u0131r. Kimi zaman, Nissan Leaf olay\u0131nda da oldu\u011fu gibi, hi\u00e7bir oturum a\u00e7ma i\u015flemi bile olmayabilir.<\/span><\/p>\n

Nas\u0131l \u00f6nlenir?<\/span><\/strong><\/p>\n

Uygulamalar\u0131n oturum a\u00e7ma i\u015flemleri istemci veya sunucu taraf\u0131ndaki bir sald\u0131rgan\u0131n kontrol\u00fcne ge\u00e7ebilece\u011fi varsay\u0131m\u0131yla tasarlanmas\u0131 gerekir. Kullan\u0131c\u0131n\u0131n oturum a\u00e7ma ko\u015fullar\u0131yla ilgili hi\u00e7bir varsay\u0131mda bulunulmamal\u0131, mobil uygulaman\u0131n sunucu ad\u0131na herhangi bir oturum a\u00e7ma mant\u0131\u011f\u0131 olu\u015fturmas\u0131na izin verilmemelidir.<\/span><\/p>\n

Dolay\u0131s\u0131yla mobil uygulama g\u00fcvenli\u011fi\u00a0bak\u0131m\u0131ndan hassas olan ve kullan\u0131c\u0131ya yetkiyi tamamen istemci taraf\u0131nda (\u00f6rne\u011fin \u00e7evrimd\u0131\u015f\u0131 kullan\u0131mlar i\u00e7in) veren uygulamalar i\u00e7in mutlaka ikili koruma sa\u011flanmal\u0131d\u0131r.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Mobil uygulama g\u00fcvenli\u011fi hala bir\u00e7ok a\u00e7\u0131\u011f\u0131n oldu\u011fu bir konu. Bu, 2016 Hewlett Packard Enterprise \u00e7al\u0131\u015fmas\u0131ndan elde edilen sonu\u00e7. \u00c7al\u0131\u015fmaya g\u00f6re 36.000 mobil…<\/p>\n","protected":false},"author":3,"featured_media":7940,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7588","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-haberler"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/7588","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=7588"}],"version-history":[{"count":7,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/7588\/revisions"}],"predecessor-version":[{"id":13915,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/7588\/revisions\/13915"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/7940"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=7588"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=7588"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=7588"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}