Mobil Uygulama Sızma Testi: Yerel Depolama ve Trafik

Kısaca

• Statik analizde kod/gömülü anahtar ve hassas dizinlere odaklanın.
• Dinamik analizde SSL pinning, trafik ve kimlik akışlarını test edin.
• Yerel depolama ve yedeklemelerde veri sızıntılarını araştırın.

Özet Anlatım

Mobil uygulamalarda güvenlik; istemci tarafı saklanan veriler, ağ trafiği ve uygulamanın çalışırken aldığı kararların doğrulanmasıyla sağlanır. Basit bir log kaydı veya debug yapılandırması bile hassas bilgilerin sızmasına yol açabilir.

Statik Analiz

• Hassas anahtar/endpoint sızıntıları (strings, resources)
• İmza, izinler ve güvenlik özellikleri (AndroidManifest/Info.plist)

Dinamik Analiz

• SSL pinning, cert validation ve MITM dayanıklılığı
• Runtime hook (Frida) ile kontrol atlama testleri

Yaygın Bulgular

• Yerel depolamada şifrelenmemiş PII/Token
• Zayıf SSL/TLS ve sertifika doğrulaması eksikliği

Pratik Rehber

Önce cihazda nelerin kaldığını görün: Log, cache ve yedekleme klasörlerinde kişisel veri veya token izleri var mı? Ardından trafiği inceleyin; SSL pinning yalnızca geçerli sertifikayı değil, beklenen sertifikayı doğruluyor mu? Son olarak uygulamanın aldığı kararları test edin; kök tespiti veya debug kapalıysa bunu atlayarak hassas işlemler yapılabiliyor mu?

Adım adım:

1. Statik analiz. Kaynak dosyaları ve izinleri kontrol edin; gömülü anahtar/endpoint var mı?
2. Dinamik analiz. Trafiği izleyin, pinning/sertifika doğrulamasını sınayın; temel hook denemeleri yapın.
3. Depolama. Kalıntı veriler, yedekleme noktaları ve ekran görüntüsü sızıntılarını kontrol edin.

Örnek: Bazı uygulamalar, arka plana alındığında ekran görüntüsünü maskeler. Bu özellik kapalıysa, duyarlı bilgiler çoklu görev ekranında sızabilir; basit bir maskeleme bile ciddi riski ortadan kaldırır.