Mobil Uygulamaların Güvenliği

Mobile uygulamaları etkileyen yaygın nedenler şunlardır:

■ Hassas verileri kullanıcının telefonundaki diğer uygulamalar tarafından okunabilir hale getirmek veya hatayla sızdırmak.

■ Zararlı yazılımlar veya kullanıcı tarafından egale edilebilecek zayıf kimlik doğrulama şartları koymak.

■ Kolayca kırılabilecek şifreleme yöntemlerinin kullanılması.

■ Verilerin internet üzerinden şifreleme olmadan iletilmesi.

Mobile Uygulamaların Güvenlik Testi Nedir?

Mobil uygulama güvenliği testi, kötü amaçlı bir kullanıcıların ona saldırmasını varsayıp, bu şekilde uygulamadaki eksiklikleri bulup gidermeye dayanır. Bir güvenlik testinin etkili olabilmesi, ilk başta uygulamanın amacının ve girip çıkan veri türlerinin anlaşılması ile başlar. Buradan sonra statik, dinamik analiz, sızma tekniklerinin teste uygulanması güvenlik açıklarını bulmada etkili bir sonuca götürür.

Test süreçleri şunları içerir:

■ Uygulamayla etkileşim halinde olup, uyguların verileri nasıl sakladığını, aldığını ve ilettiğini anlamak.

■ Uygulamaların şifrelenmiş bölümlerinin şifresini çözme.

■ Uygulamanın derlenmesi ve kodun analiz edilmesi.

■ Koddaki güvenlik açıklarının belirlenmesi için statik analizin kullanılması.

■ Uygulamanın içindeki güvenlik kontrollerinin (Kimlik doğrulama ve yetkilendirme kontrolleri)

■ Etkinliğini değerlendirmek için statik ve dinamik sızma tekniklerinden yararlanmak.        

Uygulamaları, statik ve dinamik olarak test eden birçok mobil uygulama olmasına rağmen bu uygulamalar tam anlamıyla kapsamlı bir değerlendirme için gerekli yeterliliklere sahip değillerdir. En iyi analizin yapılması için uzman bir yazılımcı tarafından statik ve dinamik testlerin manuel incelemeyle birleştirilmesi gerekmektedir.

Yazar: Eğemen AKSÖZ (Bilgisayar Mühendisi)