Mobil uygulamalar muhtemelen herhangi bir kuruluş sistemindeki en çok güvenlik açığı barındıran kısımdır ve çoğu kişi bunlar hakkında yeterli bilgiye sahip değildir. Mobil uygulama güvenlik açıkları tüm tiplerdeki iş uygulamalarında çok yaygındır. Peki neden?
Belki bunun “sadece bir uygulama” olduğu mantalitesi veya özellikle de gelişmiş güvenlikleri olmayan daha küçük işletmelerdeki pek çok işletme sahibinin güvenliği yeterince tartışmadan “ bizim de mobil uygulamamız olması lazım” trendine kendine kaptırmalarındandır. Mobil uygulamalar hiç olmadıkları kadar karmaşıklaştı ama güvenlik açıkları oldukça tahmin edilebilir nitelikte ve kötü niyetli kişiler de bunları bilmekte.
Bulduğum mobil uygulamalardaki güvenlik açıklarının bazı yeni örnekleri arasında şunlar var:
Bunlar gibi zafiyetler kolaylıkla iş riskleri, PCI DSS, HIPAA ve daha fazlası için uyumluluk boşlukları yarabilmektedir.
Peki, bu güvenlik açıklarını bulmak ve ortadan kaldırmak hatta bunlardan tümden kaçınmak ne gerektiriyor? Bunları başarmak, ilk olarak ve büyük ölçüde bu zorlukları kabul etmeye bağlıdır. Mobil uygulamaların risk yönetim programınızın bir parçası olması gerekir, bu da ideal olarak SDLC esnasında veya en kötü senaryoda daimi güvenlik değerlendirmeleri veya herhangi bir kod veya uygulama ortamı değişikliklerinden sonra test edilmeleri gerekir. Mobil uygulamalarınıza penetrasyonu testi, forensik veya kaynak kodu analizi perspektiflerinden bakmanız gerekir çünkü bunların hepsi farklı şeyleri ortaya çıkaracaktır.