Mobil uygulamalar, kullanıcı verisinin cihaz üzerinde saklandığı ve sürekli sunucuyla iletişim kurduğu için kendine özgü bir saldırı yüzeyine sahiptir. Web testlerinden farklı olarak, burada hem cihazdaki uygulamanın kendisi hem de arka plandaki API’ler birlikte değerlendirilmelidir.
SAVKOR’un mobil uygulama sızma testi, OWASP Mobile Application Security Testing Guide (MASTG) ve Mobile Top 10 doğrultusunda, statik ve dinamik analizi birlikte kullanır. Cihazda saklanan hassas verilerden sertifika doğrulama zafiyetlerine, tersine mühendislik risklerinden API güvenliğine kadar uygulamanızın bütününü saldırgan gözüyle inceler.
Test Kapsamı
- Yerel veri saklama ve hassas veri sızıntısı
- Sunucu iletişimi ve sertifika doğrulama (SSL pinning)
- Kimlik doğrulama ve oturum yönetimi
- İstemci tarafı enjeksiyon ve iş mantığı
- Tersine mühendislik ve kod koruma kontrolleri
- Platform izinleri ve API kullanımının güvenliği
Metodoloji
- 01
Statik Analiz
Uygulama paketi (APK/IPA) tersine çevrilerek kod, sabit anahtarlar, izinler ve yapılandırma güvenliği incelenir.
- 02
Dinamik Analiz
Uygulama çalışırken trafiği, bellek davranışı ve çalışma zamanı manipülasyonu (hooking) gözlemlenir.
- 03
İletişim Güvenliği
Uygulama–sunucu trafiği araya girilerek şifreleme, sertifika doğrulama ve API güvenliği test edilir.
- 04
Doğrulama & Etki
Bulgular manuel doğrulanır; her açığın iş etkisi ve risk seviyesi önceliklendirilir.
- 05
Raporlama
Kanıtlarla desteklenmiş bulgular ve çözüm önerileri teknik ve yönetici ekiplere sunulur.
Teslimatlar
- Yönetici özeti ve genel risk görünümü
- iOS ve Android için ayrı teknik bulgu detayları ve kanıtlar
- OWASP MASTG / Mobile Top 10 eşleştirmesi ve CVSS puanı
- Önceliklendirilmiş çözüm önerileri
- Düzeltme sonrası yeniden test (retest) ve kapanış dokümanı
Sık Sorulan Sorular
Hem iOS hem Android aynı anda test ediliyor mu?
Evet, kapsamınızda her iki platform varsa ikisi de test edilir. Platformlar arası farklılıklar (veri saklama, izin modeli) ayrı ayrı değerlendirilir.
Uygulamanın kaynak kodunu vermem gerekir mi?
Zorunlu değildir. Kaynak kodu olmadan (black-box) test yapılabilir; ancak kaynak kod paylaşılırsa (white-box) daha derin ve hızlı bir analiz mümkün olur.
Yayındaki (store) sürüm mü test edilir?
Tercihen test derlemesi kullanılır. Gerekirse yayındaki sürüm de test edilebilir; kapsam görüşmesinde birlikte belirlenir.