Mobil uygulamalar, kullanıcıların kimlik bilgileri, finansal verileri ve hassas kişisel bilgileri düzeyinde büyük sorumluluk taşır. Bu nedenle geliştiriciler ve ürün sahipleri, güvenlik gereksinimlerini uygulama yaşam döngüsünün her aşamasına entegre etmelidir. Bu makalede modern yaklaşımlar, en iyi uygulamalar ve pratik tavsiyelerle mobil uygulama güvenliğinin nasıl sağlanacağı ele alınacaktır.
Neden mobil uygulama güvenliği kritik?
Mobil cihazlar sürekli internete bağlı, çeşitli sensörlere ve kişisel verilere erişebilen cihazlardır. Kullanıcı verilerinin sızması marka güvenine zarar verir, yasal cezalara (ör. GDPR, KVKK) yol açar ve kullanıcılar için doğrudan finansal ve kişisel risk oluşturur. Bu nedenle korunma çok katmanlı olmalı: istemci (aplikasyon), iletişim kanalı ve sunucu tarafı birlikte güvence altına alınmalıdır.
Temel prensipler
Güvenlik uygulamalarına başlarken benimsenmesi gereken temel prensipler şunlardır:
- En az ayrıcalık prensibi (least privilege)
- Gizlilik ve veri minimizasyonu
- Savunma derinliği (defense-in-depth)
- Gizlilik tasarımı (privacy-by-design)
- Sürekli izleme ve hızlı müdahale
Güvenli iletişim: Ağ ve TLS
Ağ trafiği her zaman şifrelenmelidir. Modern uygulamalarda TLS 1.2 veya tercihen TLS 1.3 kullanılmalıdır. Sertifika doğrulaması ve isteğe bağlı olarak certificate pinning (sertifika sabitleme) uygulayarak MitM saldırılarını azaltabilirsiniz. WebView kullanıyorsanız HSTS ve Content Security Policy (CSP) uygulayın.
Öneriler
- TLS 1.3 desteği sunun ve HTTP Strict Transport Security (HSTS) başlıkları kullanın.
- Certificate pinning uygulaması yapın; güncelleme ve pin dönüşümlerini yönetmek için esnek bir mekanizma hazırlayın.
- API uç noktalarında rate limiting, IP filtreleme ve WAF (Web Application Firewall) kullanın.
Güvenli kimlik doğrulama ve yetkilendirme
Modern kimlik doğrulama akışları OAuth2 ve OpenID Connect (OIDC) üzerinden yürütülmelidir. Mobil uygulamalar için PKCE (Proof Key for Code Exchange) zorunlu kullanılmalıdır. Access token ve refresh token tasarımında güvenliği ön planda tutun; token ömrünü kısa tutun, refresh token'ları güvenli depolayın ve gerektiğinde iptal mekanizması sağlayın.
Öneriler
- PKCE ile OAuth2 Authorization Code Flow kullanın.
- Token'ları mümkün olduğunca platformun güvenli depolama alanında tutun (Android Keystore, iOS Keychain).
- Biometrik doğrulama için platformun BiometricPrompt/LocalAuthentication API'lerini kullanın.
Veri şifreleme: Transit ve Rest
Hassas veriler istemci üzerinde ve sunucuda şifrelenmelidir. Transit için TLS, sunucuda ve cihazda veri için güçlü şifreleme algoritmaları kullanılmalıdır. Parola saklama sadece sunucuda uygun hash fonksiyonlarıyla (bcrypt, Argon2, PBKDF2) yapılmalıdır. Mobil cihazlarda veritabanı seviyesinde SQLCipher, Android için EncryptedSharedPreferences veya iOS için Keychain gibi çözümler kullanılmalıdır.
Güvenli depolama ve anahtar yönetimi
Şifreleme anahtarları asla düz metin olarak uygulama paketinde veya kod deposunda saklanmamalıdır. Platform kilitli güvenli depolama (Android Keystore, iOS Keychain) kullanılmalı, kritik anahtarlar donanım destekli (TEE/SE) olarak saklanmalıdır. CI/CD pipeline'larında secret yönetimi için HashiCorp Vault, AWS Secrets Manager veya benzeri çözümler kullanılmalıdır.
Geliştirme ve test süreçleri
Güvenlik, yalnızca üretim öncesi değil geliştirme döngüsünün bir parçası olmalıdır. SAST (statik uygulama güvenlik testleri), DAST (dinamik tarama), SCA (software composition analysis) ile üçüncü taraf kütüphanelerin güvenliği düzenli taranmalıdır. Otomatik güvenlik testleri CI pipeline'larına entegre edilmelidir.
Öneriler
- PR süreçlerine SAST araçları ekleyin (ör. SonarQube, Checkmarx).
- Üçüncü taraf SDK ve paketler için lisans ve güvenlik taraması uygulayın.
- Fuzzing ve manuel penetrasyon testlerini düzenleyin.
Uygulama sert obfuskasyonu ve bütünlük kontrolleri
Kod tersine mühendislik riskine karşı R8/ProGuard, DexGuard gibi obfuskasyon araçları kullanılabilir. Ayrıca uygulamanın bütünlüğünü doğrulayan anti-tamper kontrolleri, debugging ve emulator tespiti, root/jailbreak tespiti gibi önlemler eklenebilir. Ancak bunların kullanıcı deneyimini bozmayacak şekilde ve hatalı pozitifleri minimize edecek şekilde uygulanması gerekir.
Güncelleme mekanizmaları ve güvenli dağıtım
Uygulama güncellemeleri güvenli kanallardan yapılmalı, uygulama paketlerinin imzalanması zorunlu tutulmalıdır. OTA güncellemeler ve uygulama mağazası dışı dağıtımlarda imza doğrulaması ve sürüm kontrolü uygulayın. Eski sürümlerin kritik açıklar içeriyorsa kullanıcıları güncelleme yapmaya zorlayın veya kısıtlayın.
Gizlilik, veri minimizasyonu ve uyumluluk
Kullanıcı verilerini toplamadan önce amacınızı net belirleyin, gerekli olmayan verileri toplamayın. Kullanıcı onayı, açık aydınlatma ve veri imha süreçleri GDPR ve KVKK gereksinimlerine uygun olmalıdır. Ayrıca, loglama sırasında PII (kişisel tanımlayıcı bilgileri) maskeleyin veya anonimleştirin.
İzleme, kayıt ve olay müdahalesi
Güvenlik olaylarını erken tespit etmek için uygulama ve sunucu loglarını merkezi bir SIEM platformunda toplayın. Olay müdahale planı (incident response plan) hazırlayın ve düzenli tatbikatlar yapın. Veri ihlali durumunda yasal gerekliliklere göre bildirim süreçleri hızlıca işletilmelidir.
Pratik kontrol listesi (Hızlı uygulanabilir)
- TLS 1.2+/1.3 kullanın ve HSTS uygulayın.
- OAuth2 + PKCE ile güvenli kimlik doğrulama sağlayın.
- Sensitif verileri Keychain/Keystore dışında düz metin saklamayın.
- Refresh token'ları güvenli depolayın, token ömrünü sınırlandırın.
- SAST/DAST/SCA araçlarını CI/CD'ye entegre edin.
- Kodu obfuskasyon ve bütünlük kontrolleri ile koruyun.
- Üçüncü taraf SDK'ları ve izinleri düzenli tarayın.
- Root/jailbreak detection, FLAG_SECURE ile ekran görüntüsünü engelleme gibi önlemler uygulayın.
- Güncelleme, imza ve sürüm politikalarını netleştirin.
- Gizlilik politikası ve kullanıcı onay süreçlerini şeffaf yönetin.
Sonuç olarak, mobil güvenlik tek bir önlemle sağlanamaz; katmanlı, sürekli ve proje yaşam döngüsüne entegre bir yaklaşım gerektirir. Hem istemci tarafında hem sunucu tarafında doğru mimari kararlar, şifreleme, güvenli kimlik doğrulama, düzenli testler ve etkin bir olay müdahale mekanizması ile kullanıcı verilerini başarıyla koruyabilirsiniz. Sen Ekolsoft olarak mobil projelerinizde bu modern yaklaşımları hayata geçirmek için rehberlik ve uygulama desteği sunuyoruz.
