Mobil Uygulama Kabusu: Verileriniz Tehlikede, Yapay Zeka Saldırıyor!

Taraklı Ajans

Mobil Uygulamalar: Yeni Siber Savaş Alanı ve Yapay Zekanın Karanlık Yüzü

Mobil uygulamalar, sessizce ancak giderek artan bir şekilde kötü niyetli aktörlerin dikkatini çekiyor ve bunun iyi bir nedeni var: kullanıcıları hakkında muazzam miktarda özel bilgi barındırıyorlar. Sadece iOS evreninde bile, uygulamaların %82.78'inin (yaklaşık 1.55 milyon uygulama) özel kullanıcı verilerini takip ettiği belirtiliyor.

Veri Madeni Olarak Mobil Uygulamalar ve Güvenlik Açıkları

Mobil uygulamaların siber suçlular için özellikle savunmasız saldırı yüzeyleri olduğu kanıtlanmıştır. Uygulamaların içindeki API çağrıları, arka planda senkronizasyon ve anlık bildirimler gibi 'görünmez' giriş ve çıkış noktaları, geleneksel güvenlik araçları bir ihlali tespit etmeden önce bile ele geçirilebilir.

Black Duck Software'den baş güvenlik danışmanı Satish Swargam, kullanıcıların mobil uygulamalarda izinler verdiğini açıklıyor. "Çoğu kullanıcı izinleri özenle uygulamaz ve geniş çapta izinler verir, bu da kötü niyetli uygulamaların bu görünmez noktalardan yararlanmasına olanak tanır," diyor.

Yapay Zeka Destekli Tehditlerin Yükselişi

Dahası, eski nesil güvenlik araçları şüpheli davranışları genellikle çok geç olana kadar tespit edemiyor. Yapay zeka destekli dolandırıcılık, çok faktörlü kimlik doğrulamayı atlatabilir, bellekle ilgili hataları ve güvenlik açıklarını sömürebilir ve işlemleri gerçek zamanlı olarak ele geçirebilir.

Appdome CEO'su Tom Tovar, "Yapay zeka, mobil tüketicileri, mobil işlemleri, mobil geliri ve mobil deneyimleri koruma konusunda tüm manzarayı değiştirdi. Saldırı oluşturma engelini düşürdü," diyor ve ekliyor: "Yapay zekanın saldırılar oluşturmak, geliştirmek, büyütmek ve her zamankinden daha kolay bir şekilde daha fazla tüketiciye karşı kullanılması konusunda gerçek bir karanlık rönesans gördüğümüzü düşünüyorum."

BeyondTrust baş güvenlik stratejisti Chris Hills ise, "Yapay zeka destekli saldırılar hem gerçek dünyada hem de mobil uygulamalarda tehdit aktörlerinin sistemleri ele geçirmesini daha kolay ve hızlı hale getiriyor. Kötü amaçlar için eğitilmiş yapay zeka, normal bir insanın yapabileceğinden çok daha hızlı bir şekilde kusurları tarayabilir, keşfedebilir, ortaya çıkarabilir ve sömürebilir," diye ekliyor.

Tasarım Kusurları ve Yerleşik Güvenlik Eksikliği

BlueVoyant'tan T. Frank Downs, mobil uygulamaların her yerde olması ve değerli bilgilerle dolu olması nedeniyle tehdit aktörleri için cazip hedefler olduğunu belirtiyor. "Uygulamalarınızın konumunuzdan ve kişilerinizden finansal bilgilerinize kadar ne kadar çok kişisel veriye erişimi olduğunu düşünün," diyor.

Ayrıca, birçok mobil uygulama güvenli bir şekilde tasarlanmamıştır. 360 Privacy'den Chris Wingfield, "Uygulamalar, saldırganların ihtiyaç duyduğu her şeyi direnç göstermeden sızdırıyor," diyor. "Mobil uygulamalar sürekli olarak kurulum kimlikleri, reklam SDK meta verileri ve cihaz konumunu ve parmak izi verilerini ortaya çıkaran analitik yükleri gibi yumuşak tanımlayıcılar yayar. Bunların hiçbiri güvenlik için tasarlanmadı, çünkü başlangıçta ilişkilendirme (attribution) için tasarlanmıştı."

Wingfield'a göre, tehdit aktörlerinin root erişimine ihtiyacı yok; sadece "veri egzozu"na ihtiyaçları var ve mobil uygulamalar bunu onlara sessizce, ölçekli bir şekilde milyonlarca oturum boyunca sağlıyor.

Güvenlik Yaklaşımlarındaki Boşluklar ve Odak Noktaları

Birçok kuruluşun arka uç (backend) güvenliğine odaklanıp uç nokta (endpoint) güvenliğini ihmal etmesi de bilgisayar korsanlarının işini kolaylaştırıyor. Zimperium'dan Kern Smith, "Mevcut birçok düzen, doğrudan cihazda veya uygulama içinde meydana gelen tehditleri tespit etmeyen veya durdurmayan arka uç analitiği veya kullanıcı davranışı sinyallerine odaklanıyor. Bu, kötü amaçlı yazılımlar, çalışma zamanı manipülasyonu ve kimlik bilgisi hırsızlığı için boşluklar bırakıyor," açıklamasını yapıyor.

Downs, sunucu tarafı korumalarının ve kullanıcı etkinliği analizinin önemli olduğunu kabul etmekle birlikte, "Uygulamanın kendisini güvence altına alma konusunda - uygulama mantığı, veri depolama ve iletişim gibi şeyler hala savunmasız olabilir - genellikle hedefi ıskalıyorlar," diye ekliyor.

Wingfield, mevcut koruma şemalarının hala tehdidin kimlik bilgisi tabanlı olduğunu varsaydığını, ancak modern hedeflemenin bir hesap oluşturulmadan önce bile başlayabileceğini belirtiyor. Reklam SDK'ları, analitik araçları ve ilişkilendirme ağları tarafından toplanan telemetri verilerinin (IP tabanlı coğrafi konum, cihaz modeli, işletim sistemi sürümü, saat dilimi, hareket olayları, reklam kimlikleri) genellikle şifrelenmemiş ve denetlenmemiş olarak uygulamadan çıktığını ve geleneksel dolandırıcılık araçları tarafından görülmediğini vurguluyor.

Sunucu Taraflı Riskler Hala Önemli mi?

Bununla birlikte, arka uç uygulamalarına ve API'lere odaklanmanın sağlam bir mantığı var. Contrast Security CTO'su Jeff Williams, "Mobil uygulama bir kullanıcı için veriye sahiptir. Sunucu tarafı tüm kullanıcılar için veriye sahiptir," diyor. "İstemci tarafında bazı ilginç riskler olsa da, kritik risklerin neredeyse tamamı sunucu tarafındadır."

Bütünleşik Güvenliğe Doğru

Salt Security'den Eric Schwake, geleneksel arka uç güvenlik önlemlerinin yanı sıra uygulama içi korumayı entegre etme yönünde bir eğilim olduğunu belirtiyor. "Bu eğilim, mobil uygulamaların arka uç savunmalarını atlatan ve doğrudan uygulamaya saldıran saldırılara karşı giderek daha savunmasız hale geldiği anlayışından kaynaklanmaktadır," diyor. "Uygulama içi koruma, uygulamayı kurcalamaya, tersine mühendisliğe ve çalışma zamanı saldırılarına karşı güçlendirerek güvenliği artırır."