Rapor
Mobil Uygulama
Güvenliği
Çalışması
2013 raporu
Rapor | Mobil Uygulama Güvenliği Çalışması
İçindekiler
3 Rapor Bulguları
4 Araştırma Bulguları
4 Gizlilik Sorunları
5 İkili Koruma Eksikliği
5 Güvensiz Veri Depolama
5 Aktarım Güvenliği
6 Yetersiz Sunucu Tarafı Denetimleri
6 Sonuç
7 Yöntem
Rapor | Mobil Uygulama Güvenliği Çalışması
Genel Bakış
Mobil uygulamalarınıza güveniyor musunuz?
Kullanıcılar bugün her zamankinden daha mobil
olsalar da, bu esneklik beraberinde daha fazla risk
getiriyor. İş  yöneticileri daha mobil uygulamalar,
daha hızlı geliştirme, daha yeni özellikler ve
bu uygulamaların daha geniş bir kapsamda
dağıtılmasını talep ederken, işletmelerin karşı
karşıya olduğu riskler de katlanarak artıyor.
BT, üçüncü taraflarca geliştirilmiş olsalar dahi
bu uygulamaların güvenli olmasını sağlamalıdır;
ancak, mobil güvenlik açıkları dünyasını
anlayan yetkin güvenlik uzmanlarına olan
talep, şirket içinde bu uzmanlığa sahip olmayı
güçleştirmektedir. Sonuç olarak, kuruluşlar mobil
uygulamalarına yetkisiz erişim sağlanmasıyla
kurumsal verilerinin ifşa edilmesi, marka
değerlerinin kaybedilmesi ve nihayetinde finansal
kayıplara uğrama riskleriyle karşı karşıyadır.
Bilişimin sınırları ortadan kalkarken, düşmanlar güvenlik
çemberinin etrafından dolaşarak artan sayıda uygulamanın ve
bu uygulamaların güvensiz giriş noktalarının getirdiği güvenlik
açıklarından faydalanıyor. Aynı zamanda, iş yöneticileri
genellikle piyasaya sürümü aceleye getirilen ve birçoğu
zorunluluk gereği üçüncü taraflarca geliştirilen uygulamaların
dağıtım hızını çok büyük ölçüde artırıyor. Sonuç olarak, mobil
uygulamalar gerçek bir güvenlik tehdidi oluşturuyor ve bu
tehdit, işletmelerin “piyasaya hızlı” sürümden “piyasaya güvenli
ve hızlı” sürüme geçmesini sağlayan bir mobil uygulama
güvenliği stratejisine olan gereksinimini önemli hale getiriyor.
Rapor Bulguları
Kurumsal mobil uygulamaların onlarcası, hatta yüzlercesi tüketicilere yönelik mobil
uygulamalarla yan yana duruyor ve kişisel bilgiler barındırıyor. Bu durum, bir uygulama dağıtım
için piyasaya sürülmeden önce güvenlik açıkları saptandığı takdirde kolayca giderilebilecek
gereksiz güvenlik risklerini de beraberinde getiriyor. HP Güvenlik Araştırmaları, HP Fortify on
Demand (FoD) Mobile uygulamasından faydalanarak 600'den fazla şirketten 2.000'den fazla
mobil uygulamayı tarayarak, saldırılara karşı güvenlik açıklarına ve en sık karşılaşılan ve kolayca
giderilebilecek güvenlik açığı hatalarına sahip olan uygulamaların sayısının son derece alarm
verici düzeyde olduğunu ortaya çıkardı.
Uygulamalara ilişkin istatistikler:
•Forbes'un Küresel 2000 Şirket listesinde yer alan şirketler tarafından
yayınlanan 2.107 uygulama analiz edildi
•601 farklı şirketten uygulamalar
•50 farklı ülkede yer alan şirketler
•76 farklı sektörde faaliyet gösteren şirketler
•Üretkenlik ve sosyal ağlar dahil 22 kategoriden uygulamalar
3
Rapor | Mobil Uygulama Güvenliği Çalışması
Araştırma Bulguları
HP Araştırma birimi 600'den fazla şirketten 2.000'den fazla uygulamayı test etti
%97
%86
uygulamaların
%86'sı çağımızın
saldırılarına karşı
basit ikili kod
sertleştirme koruma
önlemlerini
kullanmıyor.
%75
uygulamaların %75'i
mobil aygıtlara
veri depolarken
düzgün şifreleme
teknikleri kullanmıyor.
%18
uygulamaların
%18'i kullanıcı
adlarını ve parolaları
HTTP üzerinden
gönderirken, (geriye
kalan %85'in)
yüzde 18'i de SSL/
HTTPS uygulamasını
yanlış yapıyor.
test edilen uygulamaların
%97'si bu uygulamaların
en az bir gizli bilgi
kaynağına erişiyor.
%71
güvenlik açıklarının
%71'i Web sunucusu
üzerinde
barındırılıyor.
Gizlilik Sorunları
Test edilen uygulamaların
%97'si en az bir özel bilgi
kaynağına erişebiliyordu
Onlarca tüketici uygulaması, kişisel bilgiler ve kurumsal mobil uygulamalar aynı aygıtta yer
aldığında, tüm bunlar birbirinden bağımsız hareket ediyormuş gibi görünebilir; ancak, mobil
uygulamalarda düzgün yerleşik güvenlik önlemleri bulunmuyorsa, gizli tümleştirme ve
iletişimler mevcut olabilir. Mad Mallards oyununun son sürümü kişi listenizi ve gönderilmiş
e-postalarınızı metin mesajıyla gönderme erişimine sahip olmalı mı? Peki  ya bir telefon
numarasını arayabilmeli mi? Ya kişi listenizi bir üçüncü taraf web sitesine göndermek isterse?
Uygulamaların  tam %97'sinin bu türde verilere erişebildiğini ve bu verileri paylaşabildiğini
bulduk. Daha da kötüsü, bu verilerin çoğu üçüncü taraf şirketlere HTTP üzerinden gönderiliyor.
Araştırmamızda, sosyal medyayla bütünleşen banka uygulamaları, gelecekteki satın alma
eğilimlerinin analiz edilmesi için sohbet günlüklerini gönderen sohbet uygulamaları ve coğrafi
konumunuzu takip eden çok ama çok sayıda uygulama olduğunu  bulduk.
OWASP İlk On Mobil Kategorisi: M4—İstenmeyen Veri Sızıntısı ve M1—Yetersiz Sunucu Tarafı
Denetimleri
4
Rapor | Mobil Uygulama Güvenliği Çalışması
İkili Kod Koruması Eksikliği
Uygulamaların %86'sı
çağımızın saldırılarına karşı
basit koruma önlemlerini
kullanmıyor
İkili kod korumaları uygulaması kolay olan bir güvenlik sınıfıdır. Aslında, bunların çoğu bir
uygulamayı derleyip Apple'a göndermeden önce işaretlediğiniz basit onay kutularıdır. İkili kod
korumaları günümüzdeki açıklardan ve taşmalardan yararlanmaya yönelik saldırılara karşı daha
fazla koruma sağlar. Ayrıca korsanlık amacıyla uygulamanız üzerinde ters mühendislik yapmak
isteyen saldırganlara karşı uygulamanızı korumak gibi işler yaparlar. Bunlardan hiçbiri geçerli
olmasa bile, uygulamanızın normalde paylaştığı bilgi miktarını azaltan basit en iyi uygulamalar
niteliğindedirler. Konumdan Bağımsız Yürütülebilir Dosya (PIE), yığın parçalama koruması,
sembol arındırma, kod gizleme, yol açıklaması, jailbreak algılama, vb. uygulamaların tamamı
bu grupta toplanmaktadır. Bu çalışmada, bu kullanımı kolay güvenlik korumalarını kullanmayan
uygulama sayısının alarm verici düzeyde olduğunu gördük.
OWASP İlk On Mobil Kategorisi: M10—İkili Kod Koruması Eksikliği
Güvensiz Veri Depolama
Uygulamaların %75'i mobil
aygıtlara veri depolarken
düzgün şifreleme teknikleri
kullanmıyor
Bir mobil uygulamadan erişilebilen depolanmış veriler, bu veriler şifrelenmeden depolandıysa 
bir hedef haline gelebilir. Bu tür veriler parolalar, kişisel bilgiler, oturum belirteçleri, belgeler,
sohbet günlükleri, fotoğraflar, vb. verileri içerir. Tüketicilerin çoğu verilerinin pin numaralarıyla
korunduğunu düşünmektedir, ancak bu yanlış bir varsayımdır. %75'lik bu oran, çalışır durumda
kilitsiz bir telefonu eline geçiren herhangi bir kimsenin bu verilere erişebileceği anlamına
gelir. Bir saldırgan tarafından kötü amaçla görüntülenen ve kullanılan şifrelenmemiş veriler
bir şirketin yönetimine ilişkin çeşitli politikalarını ihlal edebilir ve hassas ticari sırlar rakiplere
veya medyaya ifşa edilirse kurumun itibarını tehlikeye atabilir. Uzun lafın kısası, telefonunuzu
kaybetmek büyük değer verdiğiniz verilerinizi kaybetmekle eşittir.
OWASP İlk On Mobil Kategorisi: M2—Güvensiz Veri Depolama ve M4—İstenmeyen Veri Sızıntısı
Aktarım Güvenliği
Uygulamaların %18'i kullanıcı
adlarını ve parolaları HTTP
üzerinden gönderirken, %18'i
de SSL/HTTPS uygulamasını
yanlış yapıyor
Çok sayıda mobil uygulamanın parolalar ve kayıt verileri gibi bilgileri HTTP üzerinden aktardığını
bulduk. Son derece güvensiz olan bu işlem, bu kimlik bilgilerinin yalnızca mobil uygulamalar
değil, aynı zamanda bu uygulamaların Web uygulaması kısımları tarafından da kullanılıyor
olmasıyla daha da güvensiz bir hale gelmektedir. Uygulamanın kimlik bilgilerinin risk altında
olmasının yanı sıra tümleştikleri sosyal medya siteleri de genellikle HTTPS yerine sosyal medya
sitelerinin HTTP uç noktasını kullanmaktaydı. Bu ne anlama geliyor? Sizinle aynı ağ (örneğin
kafeler, işyeri Wi-Fi ağı, havaalanları veya sizinle çok uzaktaki bir web sitesi arasında yer alan
herhangi bir sunucu) üzerinde bulunan kötü amaçlı herkes verilerinize göz atabilir. İşin daha da
ilginç tarafı, SSL/HTTPS kullananların çoğunun, bunu yanlış kullanarak yukarıdaki senaryodaki
gibi ortadaki bir noktadan bir saldırı başlatılmasını mümkün kılan sertifika güvenlik açıklarına
olanak tanımasıydı.
OWASP İlk On Mobil Kategorisi: M3—Yetersiz Aktarım Katmanı Koruması
5
Rapor | Mobil Uygulama Güvenliği Çalışması
Yetersiz Sunucu Tarafı Denetimleri
Güvenlik açıklarının %71'i Web
sunucusu üzerinde
barındırılıyor
Dürüst olmak gerekirse, mobil alanda geliştirme hızı ve maliyetlerinin güvenlik çabalarımıza
sekte vurduğuna inanıyoruz. Bir topluluk (özellikle OWASP gibi organizasyonlar) olarak son on
beş yıldır Web tabanlı saldırılara karşı savaş veriyoruz. Mobil esnekliğin ortaya çıkmasıyla, bu
mobil uygulamaların Web arka uçlarının da var olduğu gerçeğini göz ardı ettik. Bu sunucuların
güvenlik açısından dikkate alınması gerektiğini unutuyoruz ve bunun sonucunda bu mobil
sitelerde/API’lerde/Web hizmetlerinde kritik önem taşıyan kusurlar görüyoruz. Ayrıca Web
hizmetleri veya API güvenliği söz konusu olduğunda bilgi eksikliğinin yeniden su yüzüne çıktığını
görüyoruz ki, biz bunun hiçbir güvenlik önlemi taşımayan çerçeveler veya geliştirme ortamları
kullanılmasıyla bağlantılı olduğunu düşünüyoruz.
OWASP İlk On Mobil Kategorisi: M1—Yetersiz Sunucu Tarafı Denetimleri
Sonuç
Bu istatistiklerin de gösterdiği gibi, mobil uygulama güvenliği hâlâ emekleme çağında. Web
tarafında olduğu gibi, teknoloji öncelik taşıyor ve güvenlik daha sonra geliyor. Ancak yeniliklerin
hızına yetişmek için kuruluşların hemen alabileceği belirli eylemler bulunmaktadır.
•Uygulamalarınızı tarayın
Bu işlem çeşitli nedenlerle önemlidir. Öncelikle, uygulaması basittir. Uygulamakta olduğunuz
herhangi bir güvenlik programı yoksa, işe buradan başlayabilirsiniz. İkinci olarak, otomatik
tarama geniş bir kapsama sahiptir. Bu durum, hem basit hem de karmaşık mobil uygulama
güvenliği hatalarının yapıldığı bir ortamda gereklidir. Otomatik tarama çözümleri, çok kısa
bir süre içinde insanların yapabileceğinden çok daha fazla sayıda test yapma yeteneğine
sahiptir. Son olarak, otomatik tarama çözümleri yerleşik güvenlik uzmanlığı içermektedir ve bu
uzmanlık kuruluşların her zaman kolayca edinebileceği bir şey değildir.
•Sızma testi uygulayın
Güvenlik tarayıcıları tasarımları gereği olabildiğince çok sayıda güvenlik açığı arar. Bu özellik
yanlış pozitif sonuçlar veya gerçekten güvenlik açığı olmayan sonuçlar yaratır. Bu durum
tarayıcıların doğasından kaynaklanmaktadır ve Yanlış Negatiflere (mevcut bir güvenlik açığını
tamamen gözden kaçırmak) göre çok daha tercih edilir bir davranıştır. Sızma testi, otomatik
tarama çözümlerinin sağladığı sonuçlarda, gerekli olan sonuçları gereksiz olanlardan
ayırmaya yardımcı olur. Sızma testleri, sonuçların manuel olarak gözden geçirilmesini ve
“ilginç” bulguların otomatik tarayıcıların yapamayacağı bir şekilde derinlemesine incelenmesini
sağlayarak doğrulanmış bulgular ve çok daha güvenilir sonuçlar sağlar. Ayrıca, düşük düzeyli
güvenlik açıklarının çoğu saldırı yöntemlerinin yükseltilmesini sağlayan “basamaklardır”.
Sızma testi yapan kişiler, tarayıcıların bulduğu güvenlik açıklarının gerçekten düşük düzeyli
olup olmadığını veya bunlarla derhal ilgilenmek gerekip gerekmediğini kolayca belirleyebilirler.
•Güvenli Kod Geliştirme Yaşam Döngüsü (SDLC) yaklaşımını benimseyin
Mobil Aygıt Yönetimi (MDM), Mobil Uygulama Yönetimi (MAM) ve Mobil Bilgi Yönetimi (MIM)
gibi mobil uygulama güvenlik açıklarına karşı “koruma” sağlamaya çalışan çeşitli yaklaşımlar
bulunmaktadır. Ancak, tek gerçek çözüm sorunları kodun içinde bulmak ve düzeltmektir. Bu
çözümler harika bir ekstra savunma katmanı oluşturabilir, ancak derinde yatan sorunları
çözmenin yerini alamaz ve kesinlikle bu amaçla kullanılmamalıdır. Güvenli kod yazma
uygulamalarının devreye alınması en uzun süren yöntem olsa da, bu adım genellikle en
iyi sonucu verir. Uzun lafın kısası, halen üretim halinde olan mobil uygulamalara güvenlik
eklemeye çalışmak yerine güvenliği geliştirme sürecinin içine yerleştirmek katbekat daha
ucuzdur. Nihai olarak, mesele uygulamayı yüzeysel olarak değil, derinlemesine yerleştirmektir.
6
Rapor | Mobil Uygulama Güvenliği Çalışması
Yöntem
Bu çalışmada uygulanan analiz, Fortify on Demand mühendisleri tarafından bir mobil
uygulamanın güvenlik durumunu değerlendirmek için yaratılan yeni teknolojiler içermektedir.
Bu otomatik İkili  ve Dinamik analiz motoru Fortify on Demand’in Mobile uygulamasında
kullanılmaktadır. FoD Mobile uygulaması, şirketlerin tüm mobil uygulamaların gizlilik ve
güvenlik kusurlarını görmesini sağlarken, aynı zamanda daha düşük maliyetlidir, daha kısa
bir süre alır ve kaynak kodu gerektirmemektedir. Kendi geliştirdiğiniz , dışarıya yaptırdığınız
veya kuruluşunuzun içinde kullanmaya izin vermeyi düşündüğünüz bir uygulama söz konusu
olduğunda, FoD Mobile size güvenlik kararlarını hızla ve kolayca almanızı sağlayan bilgiler verir.
Bu çalışmada yer verilen veriler yalnızca FoD Mobile tarafından toplanan verilerin bir alt kümesi
olarak kullanılmıştır. SQL ekleme, kötü şifreleme kullanan dosyaların özellikleri, tehlikeli günlük
kayıtları, çeşitli  önbelleğe alma güvenlik açıkları, uygulamalar arası iletişim güvenlik açıkları,
Benzersiz Aygıt Tanımlayıcı (UDID) sızıntısı, yetersiz kriptografi uygulamaları, vb. bulgular
önemli güvenlik kusurlarını açığa çıkarmamak için açıklanmamıştır.
Bu analizde kullanılan FoD Mobile teknolojisinin kapsamı çoğunlukla istemci tabanlı olsa
da, Fortify on Demand mobil  sunucu tarafındaki sorunlar üzerinde istatistiksel analizler
yürütmek için 2013 En Üst Düzey Değerlendirme verilerini kullanmıştır. En Üst Düzey Mobil
Değerlendirmeleri kaynak koduna, çalıştırılan uygulamaya ve Web sunucusu etki alanlarına
derinlemesine bir bakış sağlar. Bu hizmet manuel sızma testine benzer ve sektördeki en yetkin
mobil güvenlik uzmanlarından güç almaktadır.
Daha fazla bilgi için bkz.
hp.com/go/fortifymobile
Güncelleştirmeler için kaydolun
hp.com/go/getupdated
© Copyright 2014 Hewlett-Packard Development Company, L.P. Burada verilen bilgiler önceden bildirilmeksizin değiştirilebilir. HP ürün ve hizmetlerine
ilişkin yegane garantiler, bu ürün ve hizmetlerle birlikte verilen açık garanti bildirimlerinde belirtilmiştir. Buradaki hiçbir ifade ek bir garanti verilmesi
olarak yorumlanmamalıdır. HP, işbu belgede olabilecek teknik hatalardan veya yazım hatalarından ya da eksikliklerden sorumlu tutulamaz.
4AA5-1057TRE, Şubat 2014
Download

Mobil Uygulama Güvenliği Çalışması: 2013