Mobil uygulama güvenliği, hem son kullanıcıların kişisel verilerini korumak hem de şirket itibarını ve hukuki uyumluluğu sağlamak için kritik bir konudur. Mobil tehditler sürekli evrilirken, geliştiriciler ve güvenlik ekipleri de modern tehditlere karşı bir dizi yeni yöntem ve en iyi uygulama benimsemelidir. Bu yazıda, güncel yaklaşımlar, teknik uygulamalar ve pratik kontrol listeleri ile uygulama verisini ve kullanıcı güvenliğini artırmanın yollarını ele alacağız.
Mobil Güvenlik İçin Temel Prensipler
Her güvenli mobil uygulama, bazı temel güvenlik ilkelerini takip etmelidir: en az ayrıcalık (least privilege), savunma derinliği (defense in depth), saldırı yüzeyini küçültme ve güvenli varsayılanlar. Bu prensipler mimariden kullanıcı deneyimine kadar tüm kararları yönlendirmelidir.
Threat Modeling (Tehdit Modelleme)
Uygulama geliştirme yaşam döngüsünün (SDLC) erken safhasında tehdit modellemesi yapın. Varlıkları (kullanıcı verisi, API anahtarları), tehdit aktörlerini, olası zayıflıkları ve etkileri belirleyin. STRIDE veya PASTA gibi metodolojilerle düzenli olarak güncelleyin. Bu, risk odaklı test planları oluşturmanızı sağlar.
Kimlik Doğrulama ve Yetkilendirme: Yeni Standartlar
Parolalara bağımlılığı azaltmak, mobil güvenliğin en önemli adımlarından biridir. Modern yaklaşımlar şunları içerir:
Passkeys ve FIDO2
Passkeys (FIDO2/WebAuthn) parolaya dayalı saldırıları büyük ölçüde azaltır. Platform destekleri (iOS, Android) gelişmektedir. Passkeys kullanıcı deneyimini iyileştirirken kimlik sahteciliğini zorlaştırır.
Biometrik Doğrulama ve Cihaz İtibarı
Face ID, Touch ID, veya Android BiometricPrompt gibi platform biyometri API'ları güvenli erişim sağlar. Ancak biyometrik veriler cihaz dışında saklanmamalıdır; sadece doğrulama mekanizması olarak kullanılmalıdır. Cihazın köklü/jailbreak durumunu tespit etmek ve Play Integrity / DeviceCheck gibi attestation çözümleri ile cihaz güvenilirliğini doğrulamak önemlidir.
Veri Koruma: Depolama ve İletim
Veri hem hareket halindeyken (in transit) hem de beklemede (at rest) korunmalıdır.
Şifreleme ve Anahtar Yönetimi
Verileri AES-256 gibi güçlü algoritmalarla şifreleyin ve anahtarları cihaz içinde düz metin olarak saklamayın. iOS için Keychain, Android için Keystore/Hardware-backed keystore kullanın. Sunucu tarafında KMS/HSM ile anahtar döndürme ve erişim kontrolü sağlayın.
TLS 1.3 ve Sertifika Pinning
Tüm ağ trafiği TLS 1.3 ile korunmalı; eski şifre tercihleri ve zayıf protokoller devre dışı bırakılmalıdır. Sertifika pinning, ortadaki adam (MITM) saldırılarını zorlaştırır. Ancak pinning uygularken sertifika yenileme stratejisini planlayın (back-up pinler vb.).
Ağ Güvenlik Konfigürasyonu
Android Network Security Config ve iOS ATS (App Transport Security) kullanarak güvenli bağlantıları zorunlu kılın. İçerik güvenlik politikaları (CSP) ve güvenli CORS ayarları API katmanında uygulanmalıdır.
Kod Güvenliği ve Uygulama Sertifikasyonu
Güvenli kodlama standartları, açık kaynak ve üçüncü parti SDK risklerinin yönetimi önemlidir.
SAST, DAST ve SCA
Statik uygulama güvenlik testi (SAST), dinamik uygulama güvenlik testi (DAST) ve bileşen analiz araçları (SCA) CI/CD hattına entegre edilmelidir. Böylece hatalar erken bulunur ve üçüncü parti kütüphanelerin bilinen açıkları tespit edilir.
Obfuscation ve Anti-Tamper
Kodun tersine mühendisliğini zorlaştırmak için obfuscation ve code shrinking (ProGuard, R8, iOS bitcode + symbol stripping) kullanın. Runtime App Self-Protection (RASP) çözümleri, çalışırken anomali tespiti yaparak saldırıları engelleyebilir.
Runtime Koruma: Root/Jailbreak Tespiti ve RASP
Root veya jailbreak edilmiş cihazlar, uygulamanın güvenliğini riske atar. Yapılabilecekler:
- Root/jailbreak tespiti ve risk bazlı davranış (uyarı, sınırlı özellik, oturum sonlandırma).
- Debugger, emulator, hooking tespitleri.
- Runtime integrity kontrolü ve uygulama imza doğrulama.
Gelişmiş Koruma: Attestation, Device Integrity ve Telemetri
Google Play Integrity API, Apple DeviceCheck ve benzeri attestation servisleri cihazın bütünlüğünü doğrulamak için kullanılmalıdır. Bu veriler sunucu tarafından değerlendirilerek riskli oturumlar kısıtlanabilir.
Backend ve API Güvenliği
Mobil uygulama güvenliği sadece istemciyle sınırlı değildir. Sunucu tarafı güvenliği kritik önemdedir:
- API yetkilendirme: token yaşam döngüsü, refresh token, token bağlama (token binding) kullanın.
- İstemci doğrulama: app attestation, API rate limiting, anomaly detection.
- Veri sınıflandırma ve minimize edilmiş veri transferi (least privilege).
CI/CD ve Güvenli Yayın Süreçleri
Otomatik testler, güvenli imzalama (Android APK/MAPK v2/v3, iOS notarization) ve dağıtım sırasında entegre edilmiş güvenlik kontrolleri uygulayın. Secrets yönetimini (API anahtarları, sertifikalar) CI ortamında güvenli hale getirin; asla kaynak kod deposuna koymayın.
Kullanıcı Gizliliği ve Uyumluluk
GDPR, KVKK gibi mevzuatlar çerçevesinde veri minimizasyonu, açık rıza yönetimi ve veri silme taleplerine hızlı cevap verebilen bir altyapı kurun. Açık izin talepleri ve kullanıcıya sunulan kontrol mekanizmaları (izin yönetimi, veri erişim istekleri) UX ile dengelenmelidir.
Testler, Pentest ve Sürekli İyileştirme
Düzenli olarak güvenlik testleri yapın: beyaz kutu (source code), gri kutu ve siyah kutu penetrasyon testleri. Üçüncü parti güvenlik denetimleri ve bug bounty programları ile dış kaynaklı güvenlik araştırmacılarından faydalanın.
Pratik Kontrol Listesi (Hızlı Özet)
- TLS 1.3 ve güçlü şifreleme kullanın.
- Passkeys ve biyometri ile parolasız deneyim sağlayın.
- Keychain/Keystore ve sunucu tarafı KMS/HSM kullanın.
- SAST, DAST, SCA araçlarını CI/CD'ye entegre edin.
- Sertifika pinning ve attestation uygulayın.
- Root/jailbreak/hooking tespiti ve RASP ile runtime koruma sağlayın.
- Günlükler ve hata raporlarında hassas veri saklamayın; logları şifreleyin.
- Üçüncü parti SDK'ları denetleyin ve minimum gerekli izinleri verin.
Sonuç
Mobil uygulama güvenliği tek seferlik bir işlem değil, sürekli bir süreçtir. Tehditler evrilirken savunma katmanlarınızı da güncellemelisiniz. Modern yöntemler—passkeys, attestation hizmetleri, RASP, güçlü şifreleme ve entegre güvenlik test otomasyonu—bir arada kullanıldığında hem veriyi hem de kullanıcıyı etkin şekilde korur. Sen Ekolsoft olarak önerimiz: güvenliği SDLC'nin merkezine koyun, otomasyonu artırın ve düzenli dış denetimlerle güvenlik duruşunuzu güçlendirin.
