Mobil Uygulama Güvenlik Testi: iOS ve Android için Pentest Rehberi

Android APK dosyasını apktool ile açtığınızda AndroidManifest.xml, kaynak kodu (decompile ile) ve gömülü sertifikaları görebilirsiniz. iOS IPA'da benzer şekilde Info.plist, framework'ler ve derlenmiş binary analiz edilir. MobSF, Qark ve Objection SAST için endüstri standardı araçlardır.

En sık bulunan açıklar: hardcoded API key ve secret, debug modunun açık bırakılması, WebView'de JavaScript interface ile native fonksiyon pozlama ve SharedPreferences'da şifrelenmemiş hassas veri saklama.

Frida, çalışan uygulamaya hook ekleyerek metot çağrılarını izlemenizi, argümanları değiştirmenizi ve fonksiyonları bypass etmenizi sağlar. SSL pinning bypass, jailbreak/root detection bypass ve lisans kontrolü atlatma için Frida script'leri topluluk tarafından yaygın paylaşılıyor.

Objection, Frida üzerine kurulmuş CLI aracıdır ve mobil pentestin %70'ini basitleştirir. 'objection explore' ile cihaza bağlanıp 'android hooking list classes' ile uygulama iç yapısını dakikalar içinde haritalayabilirsiniz.

Mobil uygulamalar büyük çoğunlukla arka planda REST veya GraphQL API'larıyla iletişim kurar. Burp Suite veya OWASP ZAP'ı proxy olarak kurup cihazın tüm trafiğini yakalayın. SSL pinning aktifse Frida ile bypass edin ve istekleri tek tek inceleyin.

IDOR (Insecure Direct Object Reference), BOLA (Broken Object Level Authorization) ve authentication bypass, mobil API'larda en sık bulduğumuz zafiyetler. Mobil token'ın ömrü, yenileme akışı ve cihaz parmak izi doğrulaması detaylı test edilmeli.

Sertifika pinning, uygulamanın yalnızca belirli bir CA veya public key'e güvenmesini sağlar ve Man-in-the-Middle saldırılarını engeller. Ancak yanlış uygulanırsa uygulama sertifika yenilenince çalışmaz hale gelir. İki anahtar (primary + backup) pinleyerek bu riski ortadan kaldırabilirsiniz.

iOS'ta App Transport Security (ATS), Android'de Network Security Config ile pinning'i manifest seviyesinde de zorunlu kılmak mümkün. Ek olarak biyometrik kimlik doğrulama (Face ID, Touch ID, BiometricPrompt) ile hassas işlemlerde ikinci bir güvenlik katmanı sağlanır.

OWASP MASVS (Mobile Application Security Verification Standard), mobil güvenlik için endüstri standardıdır ve 8 ana kategoride denetim sağlar: Storage, Cryptography, Authentication, Network, Platform, Code, Resilience. Her kategoride L1 (başlangıç) ve L2 (yüksek değerli uygulamalar için) seviyeleri vardır.

VefaSec mobil pentest paketinde MASVS L1 kontrolleri standart, L2 ise finans ve sağlık uygulamaları için opsiyonel. Rapor; yönetici özeti, CVSS skorlu bulgu listesi, ekran görüntülü PoC kanıtı ve öncelik sıralı remediation rehberini içerir. Düzeltme sonrası ücretsiz re-test de süreçte.