1. GİRİŞ

Mobil cihazlar ve uygulamalar hayatımızın merkezinde. Bankacılık, sağlık, iletişim ve iş uygulamaları mobil platformlarda yoğun olarak kullanılıyor. Bu yaygınlık, mobil ekosistemini hem tehdit aktörleri hem de saldırı yüzeyi açısından çekici kılıyor. Mobil güvenlik sadece bir uygulama geliştiricinin kaygısı değil; platform sağlayıcıları, ağ operatörleri, kurumsal güvenlik ekipleri, SRE'ler ve son kullanıcıları ilgilendiren çok katmanlı bir sorundur.

Bu neden bugün önemli?

• Mobil uygulamalarda saklanan hassas veriler (kimlik, finansal, sağlık) yüksek değere sahip.
• BYOD ve remote çalışma mobil cihaz sayısını ve heterojenliği artırdı.
• App store tedarik zinciri ve üçüncü taraf SDK'ları supply‑chain riskleri getiriyor.

Kimler için önemli?

• Mobil uygulama geliştiricileri — secure coding ve dependency hygiene için.
• Güvenlik mühendisleri — mobile specific threat model ve mitigations için.
• Platform mühendisleri ve DevOps — CI/CD, mobile build pipeline güvenliği için.
• Kurumsal ekipler — MDM/EMM ve endpoint posture yönetimi için.

2. KAVRAMSAL TEMELLER

2.1 Mobil güvenlik hangi kavramları kapsar?

• Platform güvenliği (Android, iOS): sandboxing, permission model, code signing.
• Uygulama güvenliği: input validation, secure storage, network security, authentication.
• Ağ ve iletişim güvenliği: TLS, certificate pinning, proxy detection.
• Cihaz güvenliği: device encryption, OS patching, secure boot, attestation.
• Operasyonel güvenlik: MDM/EMM, threat intel, incident response.

2.2 Terminoloji

• MASVS: Mobile Application Security Verification Standard — mobil uygulama güvenlik gereksinimleri.
• MAST: Mobile Application Security Testing — SAST/DAST kombinasyonu, dinamik analiz, binary analysis.
• App sandbox: Uygulamaların birbirinden izole edilmesi; platform tarafından sağlanan güvenlik sınırı.
• Attestation: Cihazın güvenilir durumunun uzaktan doğrulanması (SafetyNet, DeviceCheck, attestation APIs).

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ VE VERİ AKIŞI

3.1 Mobil uygulama mimarisi — temel bileşenler

Tipik bir mobil uygulama üç ana katmandan oluşur: UI/UX katmanı (frontend), uygulama mantığı (client‑side business logic) ve backend servisleri (API, auth, data). Mobil uygulamalar ayrıca üçüncü taraf SDK'lar (analytics, crash reporting, ads) ve platform‑özgü bileşenler içerir. Güvenlik, bu her katmanın ayrı ayrı ve birlikte değerlendirilmesini gerektirir.

3.2 Veri akışı ve hassas verinin yolu

Kullanıcı verisi genelde şu rotadan geçer: kullanıcı etkileşimi → uygulama iş mantığı (lokal ön işleme, cache) → network katmanı (TLS) → backend API → veri depolama. Her adımda gizlilik ve bütünlük sağlar: input validation, local encryption (keystore/secure enclave), TLS + certificate pinning, backend validation ve least privilege ile erişim kontrolü.

3.3 Kimlik doğrulama ve session yönetimi

En iyi uygulama, güçlü kimlik doğrulama (OAuth 2.0 / OpenID Connect) kullanmak ve short‑lived tokens ile refresh token stratejisini uygulamaktır. Refresh token'ların güvenli depolanması (secure storage, keystore) ve rotate edilmesi önemlidir. Ayrıca token theft'e karşı device binding ve rotating device identifiers uygulanabilir.

3.4 Local storage ve güvenli saklama

Mobil cihazlarda local storage (SQLite, SharedPreferences, Keychain) sıkça kullanılır. Hassas veriler kesinlikle şifrelenmeli ve platform‑native secure storage (iOS Keychain, Android Keystore/StrongBox) veya encrypted database (SQLCipher) tercih edilmelidir. Ayrıca dev build'lerde debug logs veya secret leakage kontrolü yapılmalıdır.

3.5 Ağ güvenliği ve TLS yönetimi

TLS her zaman zorunlu olmalı; minimum TLS 1.2+, modern cipher suite'ler ve HSTS politikaları kullanılmalıdır. Certificate pinning ek güvenlik sağlar ancak lifecycle (cert rotation) yönetimi gözardı edilmemelidir. Public Wi‑Fi ve proxy tespitleri için network state ve proxy flags izlenebilir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Finans uygulamaları (Örnek: Mobil bankacılık)

Mobil bankacılık uygulamaları için ek güvenlik katmanları gerekir: root/jailbreak detection, secure boot attestation, hardware‑backed keystore (TEE), transaction signing, anomaly detection ve step‑up authentication. Ayrıca fraud detection sinyalleri (geolocation deviance, velocity checks) backend ile korelasyonlu olarak değerlendirilir.

4.2 Sağlık uygulamaları

Sağlık verisi (PHI) saklayan uygulamalar HIPAA/GDPR uyumlu veri yönetimi, minimizasyon, güçlü şifreleme ve erişim kontrolleri gerektirir. Logging ve telemetry de maskelenmeli, access audit'leri detaylı tutulmalıdır.

4.3 Kurumsal uygulamalar ve BYOD

Kurumlar MDM/EMM çözümleriyle cihaz yönetimini sağlar; corporate container, app wrapping ve per‑app VPN ile veri izolasyonu sağlanır. Ayrıca conditional access ve device posture ile erişim kontrolleri sıkılaştırılır.

4.4 Üçüncü taraf SDK riskleri

Analytics veya reklam SDK'ları sensitive permission isteyebilir veya background davranış sergileyebilir. SDK'ların davranışı düzenli olarak analiz edilmeli ve minimal izinle çalışmaları sağlanmalıdır. Supply chain saldırıları sonucu SDK'ların değiştirilmesi riski göz önünde bulundurulmalıdır.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Mobil güvenlik kontrolleri, kullanıcı ve veri korumasını uçtan uca sağlar.
• Platform‑native güvenlik özellikleri (keystore, secure enclave) güçlü koruma sunar.
• MDM/EMM ile kurumsal görünürlük ve yönetim kazanılır.

Sınırlamalar

• Mobil cihazlar heterojen ve kullanıcıya ait olduğunda kontrol sınırlıdır (BYOD).
• Reverse engineering ve binary tampering riski yüksek; obfuscation sınırlı etki sağlar.
• Platform farklılıkları (Android vs iOS) güvenlik modellerinde zorluk yaratır.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Geliştirme ve SDLC

• Shift‑left: SAST, dependency scanning (SCA) ve secure code review'ları CI pipeline'a dahil edin.
• OWASP MASVS ve MASTG rehberlerini uygulayın; güvenlik gereksinimlerini tanımlayın.
• Third‑party SDK inventory: her bağımlılığı inventarize edin ve davranışını düzenli test edin.

7.2 Runtime ve deployment

• Secure build: code signing, reproducible builds ve private key management kullanın.
• Tamper detection: integrity checks, checksum ve signature validation uygulayın.
• Monitoring: crash reporting ve anomalous behavior monitoring'i SIEM/SOC ile entegre edin.

7.3 Cihaz ve operasyon

• MDM/EMM politikaları: device posture, enforced encryption, remote wipe ve conditional access.
• Regular patching: OS ve critical app güncellemelerini otomatikleştirin.
• Incident playbook: mobile‑specific IR playbook'ları, device seizure ve forensic adımları tanımlayın.

8. SIK YAPILAN HATALAR

• Hassas verileri plain‑text olarak local storage'da tutmak.
• Debug veya verbose log'ları üretim paketine bırakmak.
• SDK'ları blind şekilde kabul etmek; davranışını analiz etmemek.
• Certificate pinning'i management planı olmadan uygulamak (rotation failure).
• Root/jailbreak tespitini atlamak veya sadece basit kontrollerle yetinmek.

9. GELECEK TRENDLER

9.1 Confidential computing ve secure enclaves

Mobil cihazlar için donanım tabanlı güvenlik (TEE/secure enclave) özellikleri uygulamaların hassas işlemlerini daha güvenli yapacak. Biometric attestation ve hardware backed keys uygulamaların ileriye dönük güvenliğini artıracak.

9.2 AI‑destekli anomaly detection

SecOps tarafında AI, user/device davranışını modelleyerek anomali tespiti ve risk scoring’de etkin rol oynayacak. Federated learning yaklaşımlarıyla gizliliği korurken modeller eğitilebilecek.

9.3 App store supply‑chain güvenliği

App store ekosisteminde yazılım tedarik zinciri güvenliği daha fazla önem kazanacak; kod provenance, reproducible builds ve store‑side scanning gibi mekanizmalar yaygınlaşacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Mobil uygulamalarda hangi veriler kesinlikle local'de saklanmamalı?

   Plain‑text şifreler, uzun‑yaşayan erişim token'ları, kredi kartı numaraları ve sağlık verileri gibi hassas bilgiler local'de açık olarak saklanmamalıdır. Gerekiyorsa platform keystore ve şifreleme kullanılarak saklanmalıdır.

2. 2. Certificate pinning neden kullanılır ve riskleri nelerdir?

   Pinning, MITM saldırılarına karşı ekstra koruma sağlar. Ancak cert rotation veya CA değişiklikleri gibi operasyonel durumlarda uygulamanın çalışmamasına yol açabilir; rotation stratejisi ve fallback planı şarttır.

3. 3. Root ve jailbreak tespitine nasıl yaklaşmalıyım?

   Basit dosya kontrolleri yetersizdir. Multiple checks (suid binaries, system properties, protected API failures), attestation ve risk‑based response (limited functionality vs block) kombinasyonu kullanılmalıdır.

4. 4. Üçüncü taraf SDK'lar nasıl denetlenmeli?

   SDK'ların izin istekleri, network davranışı, dependency chain ve binary diff analizleri düzenli olarak yapılmalıdır. Riskli SDK'lar için runtime monitoring ve allowlist politikaları uygulanmalıdır.

5. 5. BYOD ortamında veri güvenliği nasıl sağlanır?

   Containerized corporate apps, per‑app VPN, DLP kontrolleri ve MDM ile veri izolasyonu sağlanabilir. Kullanıcı deneyimini koruyarak gerekli önlemler dengelenmelidir.

6. 6. Mobil uygulama testlerinde hangi araçlar kullanılmalı?

   SAST: MobSF, Semgrep; DAST: Burp Suite Mobile, Frida/Objection; binary analysis: jadx, jadx‑gui; device testing: Android emulator / iOS simulator ve gerçek cihazlar. Ayrıca MASVS/MASTG kontrol listeleri kullanılmalı.

7. 7. Push notification güvenliği nelere dikkat eder?

   Push payload'larında hassas veri göndermeyin; notification açıldığında uygulama içinde güvenli yollardan veri çekin. Ayrıca push token'larının güvenli saklanması ve rotate edilmesi gerekir.

8. 8. Mobil için incident response nasıl farklıdır?

   Mobil IR, cihazın fiziksel erişimi, remote wipe, device attestations, app binary collection ve app‑level forensics gibi adımlar içerir. MDM entegrasyonu IR süreçlerini hızlandırır.

Anahtar Kavramlar

• MASVS: Mobil uygulama güvenlik doğrulama standardı.
• MASTG: Mobil uygulama güvenlik test rehberi.
• Keystore / Keychain: Platform‑native secure storage.
• Attestation: Cihazın güvenilir durumunun uzaktan doğrulanması.

Öğrenme Yol Haritası

1. 0–1 ay: Mobil platformların (Android/iOS) temel güvenlik modelleri, app sandbox, permission model ve temel cryptography kavramlarını öğrenin.
2. 1–3 ay: OWASP MASVS/MASTG çalışın; temel SAST/DAST araçları ve binary analysis ile pratik yapın.
3. 3–6 ay: Secure build pipeline, certificate management, attestation ve MDM/EMM yönetimi üzerine projeler yapın.
4. 6–12 ay: Mobile IR, threat hunting mobil telemetri, secure enclave kullanımı ve federated learning ile privacy preserving anomaly detection konularında uzmanlaşın.