Mobil Uygulamaları, API’leri Siber Saldırılardan Korumanın 7 Yolu

Günümüzün dijital öncelikli ekonomisinde ilerlemeyi sağlayan iki temel unsur vardır: Mobil uygulamalar ve bu uygulamaların birbirleriyle iletişim kurmasına ve veri alışverişinde bulunmasına izin veren uygulama programlama arayüzleri (API’ler).

Bu iki teknolojideki büyüme, kullanıcıları ve verilerini önemli güvenlik tehditlerine maruz bıraktı:

  • Bilgisayar korsanları, mobil uygulamalar aracılığıyla cihazlara kolayca erişebilir.
  • Güvenli olmayan API’ler, kişisel tanımlanabilir bilgileri (PII) potansiyel saldırganlara ifşa eder.

Mobil uygulama güvenlik tehditleri yıllar içinde ortaya çıkmıştır. Aşağıda bazı endişe verici istatistikler bulunmaktadır:

  • 2019’da 21’e kadar pazarda yapılan mobil işlemlerin yüzde 93’ünün hileli olduğu tespit edildi ve bloke edildi.
  • Microsoft’a göre , bir kuruluşun uç noktalarının yüzde 60’ı mobil ve korumasız. Pandemi, daha fazla ekibin uzaktan çalışmasına ve iş için mobil cihazlarını kullanmasına neden oldu. Yapılan araştırmada, uzak ekiplerin bir veri ihlalinin ortalama maliyetlerini 137.000 $ artırdığını ortaya koydu.
  • 19 milyon dolar , bir veri ihlalinin ortalama maliyetidir.

Kötü adamların kullandığı en iyi saldırı yolları ve kuruluşların onlara karşı uygulayabileceği en iyi savunma yöntemleri için okumaya devam edin.

Kötü Aktörler Cihazınızı Hacklemek İçin Mobil Saldırı Yüzeylerini Nasıl Kullanır?

Mobil uygulamalar, meşru kullanıcıların uygulamanızı kötü niyetler olmadan kullandığı varsayımıyla çalışır. Sonuç olarak, bilgisayar korsanları, cihazınıza sızmak için kullanabilecekleri gizli bilgileri çıkarmak için saldırı yüzeylerini kullanır. Kötü niyetli kişilerin verilerinize erişmek için hedeflediği beş saldırı yüzeyi vardır:

  1. Kullanıcı kimlik bilgileri
  2. Uygulama Bütünlüğü
  3. Cihaz Bütünlüğü
  4. API Kanal Bütünlüğü
  5. API ve Hizmet Güvenlik Açıkları

Uygulamalarınızı Hedefleme Süreci

Bir siber suçlu, aşağıda özetlediğimiz ayrıntılı süreç aracılığıyla yukarıdaki yüzeylerde bir saldırı başlatabilir:

Saldırı Hazırlığı

Bir saldırı hazırlamanın dört yolu vardır:

  1. Kimlik avı, kimlik sahtekarlığı ve Dark Web aracılığıyla elde edilen veriler aracılığıyla kullanıcı kimlik bilgilerini edinir. Bu veriler genellikle veri ihlalleri yoluyla elde edilir ve şüpheli web aracılarına satılır.
  2. API bilgilerini çıkarmak ve uygulamanın iş işlevini kötüye kullanmak için uygulamanın bütünlüğüne saldırır.
  3. Kötü niyetli nedenlerle istemci bilgilerini almak için cihazın bütünlüğünü kötüye kullanır.
  4. Sırları ele geçirmek ve uygulamanın mantığına erişim sağlamak için kanal bütünlüğünü kurcalar.

Saldırı Yürütme

Bilgi edinme ve bilgi toplama yollarını hazırladıktan sonra, bilgisayar korsanlarının saldırı stratejilerini yürütmek için kullandıkları yöntemler şunlardır:

  1. Geçerli sorgular oluşturmak ve API’yi hedefleyen otomatik araçları ayarlamak için edinilen bilgileri kullanır.
  2. Sahte başvuru formları, kötü amaçlı yazılım içeren bağlantılar ve ekler gibi yeni veya yaygın olarak bilinen boşlukları kullanarak verileri toplar.
  3. Kullanıcılardan daha fazla para talep etmek veya kullanıcıları yanlış satın almalar yapmaya zorlamak için API iş mantığını kötüye kullanır.
  4. Kullanıcı isteklerini yavaşlatmak veya yönlendirmek için hizmetin çalışmasına müdahale eder.
  5. Uygulamayı kurcalamak için toplanan bilgileri kullanın ve finansal işlemleri, reklam gelirlerini yönlendirmek veya verileri çalmak için değiştirilmiş bir sürümü dağıtır.

Mobil Uygulamaları ve API’leri Saldırganlardan Korumanın 7 Yolu

Mobil uygulamalarınızı bilgisayar korsanlarından korumak için en iyi stratejiler aşağıdadır:

1. Güvensiz İletişimi Önleyin

Yalnızca sunucu isteğinin kimliğini doğruladıktan sonra güvenli bağlantıları onaylayın. Kullanıcı kimliklerinin kimliğini doğrulamak için, uygulamanın kimlik bilgileri ve belirteçler gibi hassas verileri tarayan aktarım kanallarında Güvenli Yuva Katmanı/Taşıma Katmanı Güvenliği (SSL/TLS) protokollerini uygulayın.

Kendinden imzalı sertifikaları önlemek için sertifika sabitleme ve güvenilir Sertifika Yetkilisi sağlayıcıları tarafından imzalanmış endüstri onaylı sertifikaları da kullanmalısınız.

2. Giriş Bilgilerini Doğrulayın

Giriş doğrulama, zararlı kodların uygulamanıza erişmesini önlemek için kimlik bilgilerinin ve oturum açma bilgilerinin uygun şekilde yapılandırılıp yapılandırılmadığını kontrol eder.

Doğrulama, bir mobil uygulama kullanıcının kişisel bilgilerini kabul etmeden önce gerçekleşir. Bu işlem, uygulamayı, uygulamanıza yıkıcı kod enjekte eden saldırganlardan korur.

Giriş doğrulama, üçüncü taraf satıcılarınız ve ortaklarınız için de geçerli olmalıdır. Saldırganlar, hizmet sağlayıcınız veya güvenilir bir düzenleyici gibi davranarak uygulamanızı hacklemeye çalışabilir.

3. Uygulamanızın Depolama Alanını Güvenli Hale Getirin

Mobil uygulamanızın veri depolama alanı, saldırganların hedefleyebileceği başka bir yoldur. Güvenlik açıkları SQL veritabanları, çerezler, yapılandırma dosyaları ve ikili veri depoları gibi depolama yerlerinde oluşur. Ek olarak, tehlikeli aktörler, şifreleme kitaplıklarını atlayarak yetersiz uygulanan güvenlik özelliklerini atlatır. Saldırganların hedef aldığı ortak bir yol, jailbreak veya root erişimi olan cihazlardır. Cihaz sahibi, cihazını jailbreak yaptığında/root yaptığında, gadget’ın yerleşik güvenliğini zayıflatarak bilgisayar korsanlarının erişmesini kolaylaştırır.

Veri depolarınızı saldırganlardan korumak için, cihazınızın güvenlik kitaplığını kullanarak hassas bilgiler içeren yerel dosyaları şifreleyin. Uygulamaların erişim kazanmasını önlemek için uygulama isteklerinin ve izinlerinin sayısını da azaltabilirsiniz.

4. Kodunuzu Güvence Altına Alın

Güvenli olmayan ve düşük kaliteli kod örneklerini azaltmak için OWASP Güvenli Kodlama Yönergeleri gibi güvenli kodlama uygulamaları uygulayın ve geliştirme sürecinde işinizin güvenliğini kontrol etmek için MobSF gibi durum analizi araçlarını kullanın .

Savunmasız kodla sonuçlanmayan tutarlı, güvenli kodlama ilkelerini koruyun.

Kodunuz dağıtılmaya hazır olduğunda , işçilerinizin etrafına bir pelerin yerleştirmek ve meraklı gözleri ondan uzak tutmak için ProGuard gibi bir şaşırtma aracı uygulamayı unutmayın .

5. Uygun Kimlik Doğrulama ve Yetkilendirme Uygulamalarını Uygulayın

Mobil uygulamaları saldırılara karşı korumak için uygun yetkilendirme ve kimlik doğrulamayı sağlamanın birden çok yolu vardır:

  • Her zaman sunucu ucundan gelen istekleri doğrulayın. Kimlik doğrulama, hatalı biçimlendirilmiş ve zararlı verilerin mobil uygulamaya yüklenmesini engeller.
  • Özellikle uygulama istemcinin depolama alanına erişim gerektiriyorsa, istemciyi ve verilerinizi güvenli bir şekilde korumak için şifreleme kullanın.
  • Kimliği doğrulanmış kullanıcıların izinlerini her zaman yalnızca arka uç verilerini kullanarak doğrulayın. Doğrulama, saldırganların arka uç bilgilerinize ve API’lerinize erişmek için benzer görünen kimlik bilgilerini kullanmasını engeller.
  • Bir kullanıcının kimlik bilgilerini ve kimliğini doğrulamak için iki faktörlü kimlik doğrulamayı kullanın.

6. Tersine Mühendisliği Hackerlardan Koruyun

Tersine mühendislik, bilgisayar korsanlarının bir uygulamanın bütünlüğüne saldırmak için başvurduğu bir yoldur. Bu tür senaryoları önlemek için istemcinin yeteneklerini sınırlayın ve uygulamanın işlevselliğinin çoğunu sunucu tarafında tutun. Örneğin, bilgisayar korsanlarının kod tabanınıza erişmesini önlemek için kullanıcı işlevselliğini ve istemci tarafı izinlerini azaltın. API anahtarları başlı başına bir güvenlik riskidir ve bir mobil uygulamada gizlenmeleri zordur. Bu nedenle, riski azaltmak için API anahtarının yanı sıra arka uç sunucusu tarafından ikinci, bağımsız bir faktörün gerekli olmasını sağlayarak bunların gayri meşru kullanımlarını koruyun.

Kuruluşunuzu siber saldırılardan korumak için şimdi bizimle iletişime geçin!

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »