Mobil Uygulama Güvenliği

iOS ve Android Uygulamalarınızı Koruyun:
MAST Güvenlik Testi

Mobile Application Security Testing (MAST)

MAST, mobil uygulamalarınızı statik analiz (kaynak kod/binary), dinamik analiz (çalışma zamanı) ve backend API testleri ile 360° değerlendirir. OWASP Mobile Top 10 zafiyetleri, güvensiz veri depolama, zayıf kriptografi ve daha fazlası için kapsamlı test sunarız.

Ne Sunuyoruz? Süreç Nasıl İşler? Görüşme Planlayın
Android (APK/AAB) iOS (IPA)

Ne Sunuyoruz? MAST Hizmet Kapsamı

Mobil uygulama güvenliğini üç katmanlı bir yaklaşımla ele alıyoruz: statik analiz (binary/kaynak kod), dinamik analiz (çalışma zamanı) ve backend API testleri.

Statik Analiz (SAST)

APK/IPA binary reverse engineering, decompilation, kaynak kod analizi. Hardcoded secret, güvensiz API key, zayıf kriptografi, debug flag tespiti.

Dinamik Analiz (DAST)

Gerçek cihaz/emülatör üzerinde çalışma zamanı testi. SSL pinning bypass, root/jailbreak detection, runtime manipulation, memory dump.

Backend API Testi

Mobil uygulamanın iletişim kurduğu backend API'lerin güvenlik testi. Authentication, authorization, rate limiting, injection zafiyetleri.

Veri Depolama Analizi

Lokal veri depolama güvenliği: SQLite, SharedPreferences, Keychain/Keystore, dosya sistemi. Hassas verilerin şifrelenmeden saklanması.

Kriptografi Değerlendirmesi

Şifreleme algoritmaları, key management, random number generation. Zayıf/deprecated algoritma kullanımı, hardcoded key, IV reuse tespiti.

Network Güvenliği

TLS/SSL konfigürasyonu, certificate pinning implementasyonu, cleartext traffic, MITM saldırı direnci. Network security config analizi.

Android Özel Testler

  • AndroidManifest.xml permission analizi
  • Content Provider, Broadcast Receiver, Activity export kontrolü
  • WebView güvenliği (JavaScript injection, file access)
  • Root detection bypass ve Frida/Xposed hooking
  • ProGuard/R8 obfuscation etkinliği

iOS Özel Testler

  • Info.plist ve entitlement analizi
  • Keychain data protection class kontrolü
  • App Transport Security (ATS) konfigürasyonu
  • Jailbreak detection bypass ve Cycript/Frida
  • URL scheme hijacking ve deep link güvenliği

OWASP Mobile Top 10 Kapsam

M1Improper Credential Usage
M2Inadequate Supply Chain
M3Insecure Auth/Authz
M4Insufficient Input/Output
M5Insecure Communication
M6Inadequate Privacy
M7Insufficient Binary Protection
M8Security Misconfiguration
M9Insecure Data Storage
M10Insufficient Cryptography

Kimler İçin? Hedef Kitle

Mobil uygulama yayınlayan her organizasyon için MAST kritik önem taşır.

  • Fintech ve bankacılık: Mobil bankacılık, ödeme uygulamaları, kripto cüzdanları.
  • Sağlık uygulamaları: Hasta verileri işleyen uygulamalar, tele-tıp platformları.
  • E-ticaret: Mobil alışveriş uygulamaları, ödeme sistemleri.
  • Kurumsal uygulamalar: Employee self-service, MDM ile dağıtılan iç uygulamalar.

Neden Mobil Güvenlik Farklı?

Mobil uygulamalar web'den farklı bir tehdit modeline sahiptir: uygulama binary'si kullanıcının cihazında bulunur ve reverse engineering'e açıktır. Trusted client fallacy: Mobil uygulama "güvenilir istemci" değildir.

Süreç Nasıl İşler? Mobile Security Pipeline

Statik analiz, dinamik test, API güvenliği ve raporlama içeren yapılandırılmış süreç.

Kapsam ve Materyal Teslimi

Test edilecek platform(lar), APK/IPA dosyaları veya kaynak kod, test hesapları netleştirilir.

Statik Analiz

Binary reverse engineering, kaynak kod review, manifest/config analizi, hardcoded secret taraması.

Dinamik Analiz

Fiziksel cihaz veya emülatör üzerinde çalışma zamanı testi. Traffic interception, runtime manipulation.

Backend API Testi

Mobil uygulamanın iletişim kurduğu API'lerin güvenlik testi. Authentication bypass, IDOR, injection.

Raporlama

Platform-specific düzeltme önerileri ile detaylı rapor. OWASP Mobile Top 10 mapping.

Re-test ve Kapanış

Düzeltmeler sonrası yeni build üzerinde yeniden test. Kapatılan ve kalan bulgular dokümante edilir.

Teslimatlar Platform-Specific Rehberlik

iOS ve Android geliştirici ekiplerinin hızlı aksiyon almasına olanak tanıyan platform-specific düzeltme önerileri.

Yönetici Özeti
Genel risk değerlendirmesi, kritik bulguların özeti, OWASP Mobile Top 10 uyum durumu.
Teknik Bulgu Raporu
Her bulgu için: zafiyet açıklaması, etkilenen platform, risk seviyesi, PoC ve düzeltme önerisi.
Android Düzeltme Rehberi
Android-specific düzeltmeler: ProGuard kuralları, Keystore kullanımı, Network Security Config.
iOS Düzeltme Rehberi
iOS-specific düzeltmeler: Keychain data protection, ATS konfigürasyonu, binary protection flags.
API Güvenlik Raporu
Backend API'lerde tespit edilen zafiyetler ve düzeltme önerileri.
Re-test Raporu
Düzeltmeler sonrası yeniden test. Kapatılan ve kalan riskler platform bazlı dokümante edilir.

Sıkça Sorulan Sorular MAST Hakkında

Test için kaynak koda mı yoksa sadece APK/IPA'ya mı ihtiyaç var?
Her iki yaklaşım da mümkündür. Sadece APK/IPA ile black-box test yapılabilir (reverse engineering ile). Kaynak kod erişimi varsa daha kapsamlı white-box analiz yapılır. İdeal olan her ikisinin kombinasyonudur.
iOS testi için jailbreak'li cihaz gerekli mi?
Jailbreak'li cihaz dinamik analizi kolaylaştırır ancak zorunlu değildir. Frida gibi araçlar jailbreak olmadan da çalışabilir. Kapsamlı test için jailbreak'li cihaz önerilir.
Hybrid/cross-platform uygulamalar (React Native, Flutter) test edilebilir mi?
Evet. React Native, Flutter, Xamarin, Cordova gibi cross-platform framework'ler test edilebilir. Hem native katman hem JavaScript/Dart bundle'ı ayrı ayrı analiz edilir.
MAST ne sıklıkla yapılmalı?
Her major release öncesi ve yılda en az bir kez kapsamlı MAST önerilir. Önemli güvenlik değişiklikleri ve yeni platform versiyonları sonrası yeniden test düşünülmelidir.
Store'dan indirilen uygulama test edilebilir mi?
Evet, Play Store veya App Store'dan indirilen uygulama test edilebilir. Ancak debug build veya enterprise distribution versiyonu daha kapsamlı test imkanı sağlar.

Mobil Uygulamalarınızı Güvence Altına Alın

iOS ve Android uygulamalarınızı OWASP Mobile Top 10 standartlarında test edelim. Statik analiz, dinamik test ve backend API güvenliği ile 360° mobil güvenlik değerlendirmesi sunuyoruz.

[email protected] İletişim Sayfası