Mobil Tedarik Zinciri Koruması

Bağımlılıklarınızın çoktanele geçirildiğini varsayın.

İmzalı bir SBOM size ne yayınlandığını söyler. ByteriaLab, üçüncü parti SDK'larınızın cihazda ne yaptığını söyler ve yanlış davrandıkları anda durdurur.

Demo Talep EtNasıl çalışıyor
Runtime savunma
Binary-aware
iOS & Android

Mobil tedarik zinciri neden farklı

Test ettiğiniz şey, yayınladığınız şey değil.

Mobil uygulamalar SDK'lardan, analytics kütüphanelerinden, reklam framework'lerinden ve çoğu güvenlik ekibinin hiç incelemediği transitive açık kaynak paketlerinden oluşur. Build-time araçları, cihazda fiilen çalışan binary blob'lar için tasarlanmadı.

OWASP Mobile Top 10 (2024)

M2: Yetersiz Tedarik Zinciri Güvenliği
Ayrı bir risk kategorisi olarak eklendi. Sektör artık mobil tedarik zincirini, web tedarik zinciri riskinden ayrı, başlı başına bir tehdit yüzeyi olarak ele alıyor.

Görünürlük boşluğu

Önde gelen mobil SDK'ların %60'tan fazlası önceden derlenmiş binary olarak geliyor
Statik tarayıcılar ve klasik SCA araçları içlerini göremez. Sunucu tarafı SCA çoğu zaman APK veya IPA paketlerini bile ayrıştıramaz. Dolayısıyla cihaza inen şey hiç doğrulanmaz.

2025–2026 npm worm dalgalarından ders

İmzalı, vetlenmiş bağımlılıklar bile ele geçiriliyor
Shai-Hulud ve Mini Shai-Hulud kampanyalarında, SLSA provenance, OIDC trusted publishing ve 2FA gibi tüm güvenlik standartlarını uygulayan yaygın projeler bile ele geçirilmiş CI/CD üzerinden zehirli versiyonlar yayınladı. Build-time doğrulama gereklidir ama yeterli değildir.

Mobil tarafa çoktan ulaştı

Ele geçirilen paketler uygulamanızın içine düşüyor
Yakın tarihli npm tedarik zinciri kampanyaları React Native, Flutter ve Android tooling pipeline'larında kullanılan paketleri vurdu. Saldırı yüzeyi artık sadece sunucu tarafı meselesi değil.

Yaklaşımımız

Üç katman, tek varsayım: breach.

Görünürlük araçları size uygulamanızın içinde ne olduğunu söyler. Biz içindeki bir şeyin zaten kötü niyetli olabileceğini varsayar ve cihazda onu izleriz.

Katman 1 · Felsefe

Her bağımlılık için assume-breach

Her üçüncü parti SDK'yı, kütüphaneyi ve transitive paketi, herhangi bir release'de ele geçirilebilir olarak kabul ederiz. Savunma bir imzaya güvenmeye değil, kodun runtime'da ne yaptığına dayanır.

  • Sadece yayıncı itibarına güven yok
  • Build-time imzalar tek sinyal olarak ele alınır, kanıt olarak değil
  • Detection mantığı temiz bir re-audit sonrası da geçerli kalır

Katman 2 · Runtime (Alphyn temelli)

Cihazda davranışsal savunma

Mevcut Alphyn RASP SDK'mız integrity verification, anti-tampering, root ve jailbreak tespiti ve secure channel kontrollerini zaten uygular. Biz bunun üzerine embedded bileşenlerin anormal davranış tespitini ekliyoruz.

  • Uygulama binary'sinin ve embedded bileşenlerin bütünlük doğrulaması
  • Anti-tampering ve repackaging tespiti
  • Yeniden yönlendirilmiş trafiğe karşı secure channel zorlaması
  • Anormal bileşen davranışı tespiti

Katman 3 · Araştırma derinliği

Bu işin binary'de nasıl saklandığını biliyoruz

ByteriaLab, açık kaynak ARM64 dynamic-instrumentation toolkit'imiz Renef'i ve aktif bir reverse engineering pratiğini yürütüyor. Sadece binary tarayıcısı değiliz, binary'leri sökerek geçiniyoruz. Yayınladığımız her detection'ın arkasındaki araştırma temeli bu.

  • Renef · açık kaynak ARM64 dynamic instrumentation toolkit
  • Alphyn RASP · production mobil runtime koruma SDK'sı
  • Aktif reverse engineering ve offensive security araştırması

Bizim kendi tedarik zincirimiz

Sizin uygulamanıza bir SDK veriyoruz, yani biz de sizin tedarik zincirinizdeyiz.

Kendi build'lerimizi, müşterilerimizin bağımlılıklarından beklediğimiz aynı standartta tutuyoruz: yeniden üretilebilir build'ler, imzalı release'ler, yayımlanmış provenance ve yayınladığımız her Byteria SDK için doğrulanabilir SBOM. Yarın bir Shai-Hulud bizim pipeline'ımıza ulaşırsa, siz de bileceksiniz, biz de.

  • Doğrulanabilir provenance ile imzalı release'ler
  • Her Byteria SDK versiyonu için yayımlanmış SBOM
  • Major release'lerde harici binary inceleme

Hazır olduğunuzda

Ele geçirilmiş bir bağımlılığı yayınlamadan önce durdurun.

ByteriaLab Mobil Tedarik Zinciri Koruması'nı kendi uygulamanız üzerinde çalışırken görün. Ekibimiz size detection, entegrasyon ve güvenlik organizasyonunuzun ihtiyaç duyduğu runtime telemetri akışını gösterir.

Demo Talep Et

veya doğrudan bize yazın:info@byterialab.com

Bir iş günü içinde dönüş sağlıyoruz.