Akıllı telefonlar günlük hayatın vazgeçilmez bir parçası haline geldikçe, mobil uygulamalar da kullanıcı deneyiminin merkezine yerleşti. Ancak yeni bir araştırma, bu uygulamaların düşündüğümüz kadar güvenli olmayabileceğini ortaya koyuyor. Özellikle API (Uygulama Programlama Arayüzü) üzerinden gerçekleşen saldırılar, mobil dünyada ciddi bir tehdit haline gelmiş durumda.
Mobil güvenlik firması Zimperium’un gerçekleştirdiği analiz, hem Android hem de iOS uygulamalarının ciddi açıklar barındırdığını gösteriyor. Rapora göre Android uygulamalarının üçte biri, iOS uygulamalarının ise yarısından fazlası, hassas kullanıcı verilerini sızdırabilecek yapıda. Üstelik bu açıklar, saldırganların sadece verilere değil, iş açısından kritik sistemlere de ulaşmasına imkan tanıyor.
Araştırma yalnızca uygulama düzeyindeki açıklara değil, cihazlara bulaşan kötü amaçlı yazılımlara da dikkat çekiyor. Her 1.000 mobil cihazdan üçü hali hazırda zararlı yazılımlarla enfekte durumda. Android cihazların yaklaşık yüzde 20’si bu tür yazılımlarla karşılaşmış. Bu oranlar, yalnızca kullanıcılar için değil, kurumlar açısından da ciddi güvenlik riskleri anlamına geliyor.
Web uygulamalarının aksine mobil uygulamalar, çoğu zaman kullanıcıya ait ve güvenli olmayan cihazlar üzerinde çalışıyor. Bu durum, API uç noktalarının ve arka uç sistemlerle olan iletişimin kötü niyetli kişiler tarafından manipüle edilmesini kolaylaştırıyor. Saldırganlar uygulamaların veri trafiğine müdahale edebiliyor, kodları tersine mühendislikle inceleyip sahte API çağrılarını sanki uygulamanın kendisinden geliyormuş gibi gösterebiliyor. Geleneksel güvenlik çözümleri, örneğin güvenlik duvarları, API anahtarları ya da ağ geçitleri, bu tür saldırıları tam olarak engellemekte yetersiz kalabiliyor.
Saldırıların yeni yüzü: İstemci tarafı müdahaleleri
Siber saldırıların önemli bir bölümü artık istemci tarafında gerçekleşiyor. Yani saldırganlar, arka uç sistemlere ulaşmadan önce API çağrılarını doğrudan kullanıcı cihazı üzerinden ele geçirip değiştiriyor. Bu tür saldırılar genellikle “ortadaki adam” (man-in-the-middle) olarak adlandırılan tekniklerle yapılıyor. SSL pinning gibi güvenlik yöntemleri bu tür saldırıları engellemek için kullanılsa da, özellikle Android ve iOS uygulamalarının önemli bir kısmı halen bu saldırılara karşı savunmasız.
Finans ve seyahat gibi hassas veri barındıran sektörlere ait uygulamalarda dahi bu açıklar mevcut. Örneğin Android’deki finans uygulamalarının üçte biri, iOS’taki seyahat uygulamalarının ise yaklaşık beşte biri bu tür müdahalelere karşı yeterince koruma sunmuyor.
Zimperium’un tespitlerine göre birçok mobil uygulama, kullanıcı verilerini saklama konusunda ciddi hatalar yapıyor. En sık karşılaşılan sorunlar arasında kişisel bilgilerin konsol kayıtlarına yazılması, verilerin şifrelenmeden harici depolamada tutulması ve güvensiz yerel dosyalama yöntemleri yer alıyor.
Araştırma, en popüler 100 Android uygulamasının yüzde 6’sının kullanıcı verilerini geliştirici konsoluna yazdığını, yüzde 4’ünün ise dışarıdan erişilebilecek depolama alanlarına kaydettiğini ortaya koydu. Yerel depolama alanı başka uygulamalarla paylaşılmasa bile, cihaz fiziksel olarak ele geçirildiğinde bu veriler de tehlikeye girebiliyor.
Veriler dışa aktarılıyor
Görünürde zararsız gibi duran bazı uygulamalar, arka planda kullanıcıların etkileşimlerini kaydedebilen ya da GPS konum bilgilerini toplayarak uzak sunuculara aktarabilen yazılımlar içeriyor. Bu tür SDK’lar (Yazılım Geliştirme Kitleri), hem kullanıcı gizliliğini ihlal ediyor hem de şirketler için ciddi güvenlik riskleri yaratıyor. Üstelik bu yazılımlar, resmi uygulama mağazalarında yayınlanan popüler uygulamalarda bile bulunabiliyor.
Zimperium’un raporu, kullanıcıların ve özellikle işletmelerin alması gereken önlemleri de sıralıyor. İşte öne çıkan bazı adımlar:
- Uygulamaların kişisel verileri nerede ve nasıl sakladığı dikkatle incelenmeli.
- Yerel veriler şifreli tutulmalı ve başka uygulamalar tarafından erişilememeli.
- Ağ trafiği izlenmeli; verilerin şifrelenmeden gönderilip gönderilmediği kontrol edilmeli.
- Üçüncü taraf SDK’lar denetlenmeli, potansiyel olarak tehlikeli bileşenler ayıklanmalı.
- Uygulama izinleri, yalnızca gerekli olan işlemlerle sınırlandırılmalı.
- Uygulama davranışları düzenli olarak gözden geçirilmeli.
- Kod gizleme, çalışma zamanı güvenliği ve tersine mühendislik koruması gibi teknik önlemler alınmalı.
- API çağrılarının yalnızca orijinal ve güvenli uygulamalardan geldiği doğrulanmalı.
- Olası bir ihlal durumunda uygulanacak acil müdahale planları önceden hazırlanmalı.
