OzzTech - Mobil Uygulamaları, API’leri Siber Saldırılardan Korumanın 7 Yolu

Mobil Uygulamaları, API’leri Siber Saldırılardan Korumanın 7 Yolu

Günümüzün dijital öncelikli ekonomisinde ilerlemeyi sağlayan iki temel unsur vardır: Mobil uygulamalar ve bu uygulamaların birbirleriyle iletişim kurmasına ve veri alışverişinde bulunmasına izin veren uygulama programlama arayüzleri (API'ler).

Bu iki teknolojideki büyüme, kullanıcıları ve verilerini önemli güvenlik tehditlerine maruz bıraktı:

  • Bilgisayar korsanları, mobil uygulamalar aracılığıyla cihazlara kolayca erişebilir.
  • Güvenli olmayan API'ler, kişisel tanımlanabilir bilgileri (PII) potansiyel saldırganlara ifşa eder.

Mobil uygulama güvenlik tehditleri yıllar içinde ortaya çıkmıştır. Aşağıda bazı endişe verici istatistikler bulunmaktadır:

  • 2019'da 21'e kadar pazarda yapılan mobil işlemlerin yüzde 93'ünün hileli olduğu tespit edildi ve bloke edildi.
  • Microsoft'a göre , bir kuruluşun uç noktalarının yüzde 60'ı mobil ve korumasız. Pandemi, daha fazla ekibin uzaktan çalışmasına ve iş için mobil cihazlarını kullanmasına neden oldu. Yapılan araştırmada, uzak ekiplerin bir veri ihlalinin ortalama maliyetlerini 137.000 $ artırdığını ortaya koydu.
  • 19 milyon dolar , bir veri ihlalinin ortalama maliyetidir.

Kötü adamların kullandığı en iyi saldırı yolları ve kuruluşların onlara karşı uygulayabileceği en iyi savunma yöntemleri için okumaya devam edin.

Kötü Aktörler Cihazınızı Hacklemek İçin Mobil Saldırı Yüzeylerini Nasıl Kullanır?

Mobil uygulamalar, meşru kullanıcıların uygulamanızı kötü niyetler olmadan kullandığı varsayımıyla çalışır. Sonuç olarak, bilgisayar korsanları, cihazınıza sızmak için kullanabilecekleri gizli bilgileri çıkarmak için saldırı yüzeylerini kullanır. Kötü niyetli kişilerin verilerinize erişmek için hedeflediği beş saldırı yüzeyi vardır:

  1. Kullanıcı kimlik bilgileri
  2. Uygulama Bütünlüğü
  3. Cihaz Bütünlüğü
  4. API Kanal Bütünlüğü
  5. API ve Hizmet Güvenlik Açıkları

Uygulamalarınızı Hedefleme Süreci

Bir siber suçlu, aşağıda özetlediğimiz ayrıntılı süreç aracılığıyla yukarıdaki yüzeylerde bir saldırı başlatabilir:

Saldırı Hazırlığı

Bir saldırı hazırlamanın dört yolu vardır:

  1. Kimlik avı, kimlik sahtekarlığı ve Dark Web aracılığıyla elde edilen veriler aracılığıyla kullanıcı kimlik bilgilerini edinir. Bu veriler genellikle veri ihlalleri yoluyla elde edilir ve şüpheli web aracılarına satılır.
  2. API bilgilerini çıkarmak ve uygulamanın iş işlevini kötüye kullanmak için uygulamanın bütünlüğüne saldırır.
  3. Kötü niyetli nedenlerle istemci bilgilerini almak için cihazın bütünlüğünü kötüye kullanır.
  4. Sırları ele geçirmek ve uygulamanın mantığına erişim sağlamak için kanal bütünlüğünü kurcalar.

Saldırı Yürütme

Bilgi edinme ve bilgi toplama yollarını hazırladıktan sonra, bilgisayar korsanlarının saldırı stratejilerini yürütmek için kullandıkları yöntemler şunlardır:

  1. Geçerli sorgular oluşturmak ve API'yi hedefleyen otomatik araçları ayarlamak için edinilen bilgileri kullanır.
  2. Sahte başvuru formları, kötü amaçlı yazılım içeren bağlantılar ve ekler gibi yeni veya yaygın olarak bilinen boşlukları kullanarak verileri toplar.
  3. Kullanıcılardan daha fazla para talep etmek veya kullanıcıları yanlış satın almalar yapmaya zorlamak için API iş mantığını kötüye kullanır.
  4. Kullanıcı isteklerini yavaşlatmak veya yönlendirmek için hizmetin çalışmasına müdahale eder.
  5. Uygulamayı kurcalamak için toplanan bilgileri kullanın ve finansal işlemleri, reklam gelirlerini yönlendirmek veya verileri çalmak için değiştirilmiş bir sürümü dağıtır.

Mobil Uygulamaları ve API'leri Saldırganlardan Korumanın 7 Yolu

Mobil uygulamalarınızı bilgisayar korsanlarından korumak için en iyi stratejiler aşağıdadır:

1. Güvensiz İletişimi Önleyin

Yalnızca sunucu isteğinin kimliğini doğruladıktan sonra güvenli bağlantıları onaylayın. Kullanıcı kimliklerinin kimliğini doğrulamak için, uygulamanın kimlik bilgileri ve belirteçler gibi hassas verileri tarayan aktarım kanallarında Güvenli Yuva Katmanı/Taşıma Katmanı Güvenliği (SSL/TLS) protokollerini uygulayın.

Kendinden imzalı sertifikaları önlemek için sertifika sabitleme ve güvenilir Sertifika Yetkilisi sağlayıcıları tarafından imzalanmış endüstri onaylı sertifikaları da kullanmalısınız.

2. Giriş Bilgilerini Doğrulayın

Giriş doğrulama, zararlı kodların uygulamanıza erişmesini önlemek için kimlik bilgilerinin ve oturum açma bilgilerinin uygun şekilde yapılandırılıp yapılandırılmadığını kontrol eder.

Doğrulama, bir mobil uygulama kullanıcının kişisel bilgilerini kabul etmeden önce gerçekleşir. Bu işlem, uygulamayı, uygulamanıza yıkıcı kod enjekte eden saldırganlardan korur.

Giriş doğrulama, üçüncü taraf satıcılarınız ve ortaklarınız için de geçerli olmalıdır. Saldırganlar, hizmet sağlayıcınız veya güvenilir bir düzenleyici gibi davranarak uygulamanızı hacklemeye çalışabilir.

3. Uygulamanızın Depolama Alanını Güvenli Hale Getirin

Mobil uygulamanızın veri depolama alanı, saldırganların hedefleyebileceği başka bir yoldur. Güvenlik açıkları SQL veritabanları, çerezler, yapılandırma dosyaları ve ikili veri depoları gibi depolama yerlerinde oluşur. Ek olarak, tehlikeli aktörler, şifreleme kitaplıklarını atlayarak yetersiz uygulanan güvenlik özelliklerini atlatır. Saldırganların hedef aldığı ortak bir yol, jailbreak veya root erişimi olan cihazlardır. Cihaz sahibi, cihazını jailbreak yaptığında/root yaptığında, gadget'ın yerleşik güvenliğini zayıflatarak bilgisayar korsanlarının erişmesini kolaylaştırır.

Veri depolarınızı saldırganlardan korumak için, cihazınızın güvenlik kitaplığını kullanarak hassas bilgiler içeren yerel dosyaları şifreleyin. Uygulamaların erişim kazanmasını önlemek için uygulama isteklerinin ve izinlerinin sayısını da azaltabilirsiniz.

4. Kodunuzu Güvence Altına Alın

Güvenli olmayan ve düşük kaliteli kod örneklerini azaltmak için OWASP Güvenli Kodlama Yönergeleri gibi güvenli kodlama uygulamaları uygulayın ve geliştirme sürecinde işinizin güvenliğini kontrol etmek için MobSF gibi durum analizi araçlarını kullanın .

Savunmasız kodla sonuçlanmayan tutarlı, güvenli kodlama ilkelerini koruyun.

Kodunuz dağıtılmaya hazır olduğunda , işçilerinizin etrafına bir pelerin yerleştirmek ve meraklı gözleri ondan uzak tutmak için ProGuard gibi bir şaşırtma aracı uygulamayı unutmayın .

5. Uygun Kimlik Doğrulama ve Yetkilendirme Uygulamalarını Uygulayın

Mobil uygulamaları saldırılara karşı korumak için uygun yetkilendirme ve kimlik doğrulamayı sağlamanın birden çok yolu vardır:

  • Her zaman sunucu ucundan gelen istekleri doğrulayın. Kimlik doğrulama, hatalı biçimlendirilmiş ve zararlı verilerin mobil uygulamaya yüklenmesini engeller.
  • Özellikle uygulama istemcinin depolama alanına erişim gerektiriyorsa, istemciyi ve verilerinizi güvenli bir şekilde korumak için şifreleme kullanın.
  • Kimliği doğrulanmış kullanıcıların izinlerini her zaman yalnızca arka uç verilerini kullanarak doğrulayın. Doğrulama, saldırganların arka uç bilgilerinize ve API'lerinize erişmek için benzer görünen kimlik bilgilerini kullanmasını engeller.
  • Bir kullanıcının kimlik bilgilerini ve kimliğini doğrulamak için iki faktörlü kimlik doğrulamayı kullanın.

6. Tersine Mühendisliği Hackerlardan Koruyun

Tersine mühendislik, bilgisayar korsanlarının bir uygulamanın bütünlüğüne saldırmak için başvurduğu bir yoldur. Bu tür senaryoları önlemek için istemcinin yeteneklerini sınırlayın ve uygulamanın işlevselliğinin çoğunu sunucu tarafında tutun. Örneğin, bilgisayar korsanlarının kod tabanınıza erişmesini önlemek için kullanıcı işlevselliğini ve istemci tarafı izinlerini azaltın. API anahtarları başlı başına bir güvenlik riskidir ve bir mobil uygulamada gizlenmeleri zordur. Bu nedenle, riski azaltmak için API anahtarının yanı sıra arka uç sunucusu tarafından ikinci, bağımsız bir faktörün gerekli olmasını sağlayarak bunların gayri meşru kullanımlarını koruyun.

Kuruluşunuzu siber saldırılardan korumak için şimdi bizimle iletişime geçin!


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.