OWASP, 2-3 yılda bir mobil uygulamaları üzerinde tespit edilen önemli zafiyetleri yayınlar. OWASP Testing Metodolojisi bu zafiyetlerin nasıl giderileceğine dair bir liste içerir. Bu zafiyetler önem derecesine göre aşağıdaki şekilde sıralanabilir;
M1 – Improper Platform Usage (Hatalı Platform Kullanımı)
Platform güvenlik kontrollerinin hatalı veya kötüye kullanılması.
Mobil uygulamalarda bu riski yaşamanın çeşitli yolları vardır;
Yayımlanmış klavuz ihlali,
Sözleşme veya yaygın bir uygulama hali,
Kasıtsız kötüye kullanma
M2 – Insecure Data Storage (Güvensiz Veri Saklama)
Bu kısım güvensiz veri depolama ve istenmeyen veri sızıntılarını kapsar.
SQL Databases
Log files
Binary data stores
Cookie stores
SD card
Cloud synced.
M3 – Insecure Communication (Güvenli Olmayan İletişim)
Güvenlik açısından yanlış SSL versiyonlarının kullanımı
Hassas verilerin clear-text olarak gönderilmesi
İletişimin sağlandığı kanallar arasında zayıf iletişimlerin kurulması.
M4 – Insecure Authentication (Güvensiz Doğrulama)
Mobil uygulama herhangi bir parolayı veya paylaşılan sırları cihazda yerel olarak saklarsa, güvensiz kimlik
doğrulama sorunuyla karşılaşır.
Mobil uygulama bir şifre girmeyi kolaylaştırmak için zayıf bir şifre politikası kullanıyorsa, güvensiz kimlik
doğrulama uygular.
M5 – Insufficient Cryptography (Yetersiz Şifreleme)
Hassas kod bilgileri şifrelenir. Ancak yine de şifreleme yetersiz kalabilir.
Yaygın hatalar;
Zayıf şifreler
Yanlış şifreleme
M6 – Insecure Authorization (Güvensiz Yetki)
Yetkilerde hataları yakalama
Örneğin; cihaz kayıt, kullanıcı tanımlama kimlik doğrulama sorunları farklıdır. Eğer uygulamada kullanıcı kimlik doğrulama yoksa bu kimlik doğrulama hatası değil başarısız yetkilendirme hatasıdır.
M7 – Client Code Quality (İstemci Kod Kalite Sorunları)
Mobil istemcideki kod düzeyinde uygulama hatasıdır.
Bufferoverflow, format string güvenlik açıkları ve çözümün mobil cihaz üzerinde çalışan bazı kodu tekrar
yazmak olan çeşitli kod düzeyindeki hatalar gibi riskleri bu yakalar.
M8 – Code Tampering (Kod Kurcalama)
Uygulama mobil cihaza yüklendikten sonra kod ve veri kaynakları orada bulunur.
Bir saldırgan doğrudan uygulamanın kodunu veya kullandığı sistem API’lerini değiştirebilir.
Böylece saldırgan kişisel ya da parasal kazanç için yazılımın kullanım amacını yıkarak kötü amaçlı kullanması yöntemidir.
M9 – Reverse Engineering (Tersine Mühendislik)
Uygulamanın kaynak kodu, kütüphaneleri, algoritması ve diğer kaynakların tespitidir.
Saldırgan doğabilecek açıklıkları, şifreleri vb. bilgileri yararına kullanabilir.
M10 – Extraneous Functionality (Gereksiz İşlevsellik)
Genellikle geliştiricilerin arka kapı bırakması
Örneğin, geliştirici bir uygulamada şifre unutmuş olabilir.
Diğer bir örnek de test sırasında 2 faktörlü kimlik doğrulamayı devre dışı bırakmasıdır.
Kaynak:https://www.exploit-db.com