Saldırı vektörleriSaldırganlar mobil uygulamalara nasıl saldırır
Cihaz üzerinde tam kontrole sahip saldırganlar; uygulamanızı anlamak, manipüle etmek ve değer çıkarmak için üç temel tekniğe dayanır. Penetration testing bu tekniklerin her birini gerçek bir saldırgan gibi uygular.
Reverse Engineering
Uygulamanız, kullanıcının tamamen kontrol ettiği bir cihaza binary olarak indiği için saldırganlar onu jadx ve Ghidra gibi araçlarla decompile eder; iş mantığınızı okur, gömülü API anahtarlarını ve token'ları çıkarır ve backend'inizin tam olarak nasıl çalıştığını öğrenir. Derlenmiş bir kara kutu gibi görünen şey pratikte okunabilir kaynak koddur ve build'e gömülen her şey geri elde edilebilir. Penetration testing, bir saldırganın yayınladığınız binary'den gerçekte neyi çıkarabileceğini kanıtlar; böylece sırları sunucu tarafına taşıyıp kalanı sertleştirebilirsiniz.
Risk altında
Fikri mülkiyet, gömülü anahtarlar, API tasarımı
Runtime Manipulation
Root'lu veya enstrümante edilmiş bir cihazda saldırganlar Frida gibi hooking framework'lerini çalışan uygulamanıza bağlar ve davranışını bellekte yeniden yazar: "jailbreak mi" kontrolünü false'a çevirir, bir lisans veya ödeme adımını atlar ya da şifresi çözülmüş veriyi doğrudan RAM'den döker. Statik savunmalar bunu hiç görmez çünkü diskteki kod değişmez; saldırı canlı gerçekleşir. Biz bu runtime bypass'larını elle yeniden üreterek cihaz düşmanca olduğunda hangi kontrollerin gerçekten ayakta kaldığını gösteririz.
Risk altında
Kimlik doğrulama, dolandırıcılık ve bütünlük kontrolleri
Traffic Interception
Uygulamanızın yaptığı her istek yakalanıp değiştirilebilir. Saldırganlar trafiği Burp Suite gibi proxy'lerden geçirir, certificate pinning'i kaldırır veya atlar ve yetki yükseltmek, sahte işlem oluşturmak ya da başka kullanıcıların verisini toplamak için API çağrılarını tekrar oynatır veya kurcalar. Bir pentest, transport güvenliğinizi ve API'nizi gerçek bir saldırgan gibi sınar; sadece TLS'in açık olduğunu değil, pinning'in, kimlik doğrulamanın ve sunucu tarafı kontrollerin aktif bir man-in-the-middle altında ayakta kalıp kalmadığını kanıtlar.
Risk altında
Kimlik bilgileri, oturum token'ları, hassas kullanıcı verileri