Mobil cihazların kullanımının artmasıyla birlikte, mobil uygulamalar hem bireyler hem de kurumlar için kritik bir hal almıştır. Ancak bu durum, mobil platformların siber saldırılara açık hale gelmesine neden olmuştur. Bu makalede, mobil uygulamalara yönelik güvenlik test tekniklerini ve Drozer kullanılarak Android uygulamalarında zaafiyet analizi nasıl yapılacağını ele alacağız.

Mobil Uygulama Güvenliği Neden Önemlidir?

Mobil uygulamalar, kullanıcı verilerini saklamak ve işlemek için geniş bir yüzey sunar. Saldırganlar, bu yüzeyi çeşitli yollarla hedef alabilir:

• Hassas Verilerin Sızdırılması: Kullanıcı bilgileri, oturum token’ları ve şifreler.
• Kötü Amaçlı Kod Enjeksiyonu: Zararlı komutların mobil uygulama üzerinden yürütülmesi.
• Yetkisiz Erişim: İstemci-sunucu iletişimi veya uygulama kodlarının manipülasyonu.

Yaygın Mobil Uygulama Zaafiyetleri

1. Zayıf sunucu tarafı kontrolleri.
2. Güvensiz veri depolama (örneğin, açık metinle yazılmış veriler).
3. Uygulama kaynak kodundaki hatalar.
4. İstemci tarafında yetersiz giriş doğrulama.

Güvenlik Test Teknikleri

Mobil uygulama güvenliği testi, aşağıdaki adımlarla sistematik bir şekilde gerçekleştirilir:

Uygulama Analizi

Uygulama analizinde APK (Android uygulama paketi) dosyaları incelenir. Araçlar:

• APKTool: APK dosyasını decompile etmek için kullanılır.
• Dex2Jar: Java koduna dönüştürmek için yardımcı olur.
• Jadx: APK kaynak kodunu analiz etmek için kullanılır.

Ağ Trafiği İncelemesi

Uygulama ile sunucu arasındaki iletişim, saldırı yüzeyini anlamak için incelenir:

• Burp Suite veya OWASP ZAP gibi proxy araçlarıyla HTTP/S trafiği yakalanır.
• Şifrelenmemiş veriler veya güvenli olmayan oturum işlemleri tespit edilir.

Dinamik Analiz

Uygulama çalışırken, güvenlik açıklarını bulmak için test edilir:

• Root edilmiş cihazlar üzerinde zararlı işlemler denenir.
• API’ler ve istemci-sunucu doğrulama eksiklikleri araştırılır.

Yetki Yükseltme ve Manipülasyon

Saldırganların kullanıcı verilerine erişim sağlayabileceği yollar test edilir:

• Activity ve Intent manipülasyonu.
• SQL Injection gibi veri tabanı zaafiyetleri.

Drozer ile Android Zaafiyet Analizi

Drozer, Android uygulama güvenlik testleri için kullanılan güçlü bir araçtır. Aşağıdaki adımlarda Drozer ile bir Android uygulamasını nasıl test edeceğimizi inceleyeceğiz:

Drozer Kurulumu

Drozer’ı indirin ve yükleyin:

apt-get install drozer

Test cihazına Drozer Agent uygulamasını yükleyin ve başlatın.

Test cihazının ve test makinesinin aynı ağda olduğundan emin olun.

Test cihazında Drozer agent’i aktif hale getirin ve IP adresi üzerinden iletişim kurmak için adb forward komutunu kullanın:

adb forward tcp:31415 tcp:31415

Drozer İle Güvenlik Test Adımları

Uygulama Keşfi

Drozer ile cihazda yüklü olan tüm uygulamaları listeleyin:

run app.package.list

Hedef uygulamayı belirlemek için:

run app.package.info -a com.hedef.uygulama

Activity Testleri

Uygulamanın açık aktivitelerini listeleyin:

run app.activity.info -a com.hedef.uygulama

Bu aktiviteleri manipüle ederek, güvenli olmayan yapılandırmalar olup olmadığını test edin:

run app.activity.start --component com.hedef.uygulama com.hedef.uygulama.MainActivity

Content Provider Zaafiyetleri

Content Provider üzerinden hassas verilere erişim sağlayın:

run app.provider.query content://com.hedef.uygulama.provider

Broadcast Receiver Testleri

Broadcast Receiver’ları test ederek, saldırganların zararlı mesajlar göndermesini simüle edin:

run app.broadcast.send --action com.hedef.uygulama.ACTION_TEST

Güvenlik Testlerinden Sonra Yapılması Gerekenler

1. Zaafiyetlerin Belirlenmesi ve Raporlanması:
   • Bulunan açıkları teknik ve iş düzeyinde net bir şekilde açıklayın.
   • Risk seviyesini değerlendirerek önceliklendirme yapın.
2. Düzeltme Önerileri:
   • Güvensiz veri depolamanın önüne geçmek için şifreleme kullanımı önerin.
   • İstemci tarafında tüm doğrulama işlemlerini sunucuya taşıyın.
3. Tekrar Testler:
   • Düzeltilen sorunları tekrar test ederek kapatıldığından emin olun.

Mobil uygulama güvenlik testleri, mobil uygulamaların artan kullanımına paralel olarak daha kritik hale gelmiştir. Drozer gibi araçlar, Android uygulamalarındaki zaafiyetleri etkili bir şekilde analiz etme ve güvenlik seviyesini artırma imkanı sunar. Uygun test teknikleriyle, mobil uygulamaların saldırılara karşı daha dirençli hale getirilmesi sağlanabilir.