Mobile App Security 2026 yılında OWASP MASVS 2.0 standardı ile yapılandırılıyor. Verizon Mobile Security Index 2025 raporu, kurumsal mobile uygulama saldırılarının %46 arttığını gösteriyor. NowSecure 2025 Mobile App Security Report: App Store ve Play Store’daki en popüler 100 uygulamanın %85’i MASVS L1’i tam karşılamıyor.
OWASP MASVS 2.0: 2026 Mobile Security Standardı
OWASP Mobile Application Security Verification Standard (MASVS), mobile uygulamaların güvenlik gereksinimlerini tanımlayan açık standart. v2.0 (2024) ile 7 ana kontrol kategorisi: Storage, Crypto, Auth, Network, Platform, Code, Resilience. 3 verification seviyesi: L1 (baseline tüm uygulamalar), L2 (sensitive data, fintech), R (Resilience, anti-tampering, gaming/DRM). Konuyla ilişkili olarak Runtime Application Self-Protection (RASP) ve Modern WAF Karşılaştırması rehberimiz detaylı incelemeyi içerir.
OWASP MASTG (Mobile Application Security Testing Guide), MASVS gereksinimlerinin test metodolojisini sunar. NIST SP 800-163 Rev 1 mobile uygulama vetting framework’ü MASVS’i referans alıyor. PCI Mobile Payment Acceptance Security Guidelines L2’yi minimum kabul ediyor. App Defense Alliance (Google + ESET + Lookout + McAfee) Play Store’da MASVS L1’i baseline kalite kontrolü olarak uyguluyor.
7 Kontrol Kategorisi: MASVS 2.0 Detayı
| Kategori | Konu | L1 | L2 | R |
|---|---|---|---|---|
| MASVS-STORAGE | Veri depolama | Sensitive data Keychain/Keystore | + Encryption at rest | + Anti-extraction |
| MASVS-CRYPTO | Kriptografi | Modern algoritma, secure RNG | + Key protection | + White-box crypto |
| MASVS-AUTH | Kimlik doğrulama | Strong auth, session | + MFA, biometric | + Bypass detect |
| MASVS-NETWORK | Ağ iletişimi | TLS 1.2+, cert validation | + Cert pinning | + MITM detect |
| MASVS-PLATFORM | Platform etkileşimi | Permission, IPC | + Deep link validation | + Screen capture protect |
| MASVS-CODE | Kod kalitesi | Patched libraries | + Static analysis | + Obfuscation |
| MASVS-RESILIENCE | Anti-tampering | N/A | N/A | RASP, root/JB detect |
MASVS-STORAGE: Hassas Veri Depolama
iOS Keychain (with kSecAttrAccessibleWhenUnlockedThisDeviceOnly) ve Android Keystore (StrongBox-backed when available) sensitive data için zorunlu. SharedPreferences veya NSUserDefaults’a token, password, API key yazımı L1 ihlali. SQLite encryption (SQLCipher) sensitive PII için L2 gereksinim. Screen recording / backup’tan exclude flag’i (FLAG_SECURE on Android) L2.
MASVS-CRYPTO: Modern Algoritma Zorunluluğu
MD5, SHA1, DES, 3DES yasak (L1). RSA-2048+, AES-256, SHA-256+ zorunlu. Random number generation SecureRandom (Android) veya SecRandomCopyBytes (iOS); Math.random gibi PRNG kullanımı L1 ihlali. Hard-coded key kod içinde tutmak L1 ihlali; Android Keystore veya iOS Keychain ile derive edilen key kullanılmalı.
MASVS-NETWORK: TLS ve Certificate Pinning
TLS 1.2+ zorunlu (L1); TLS 1.3 önerilen. Self-signed certificate veya CA-trust-all kullanımı L1 ihlali. Certificate pinning L2 gereksinimi; OkHttp CertificatePinner (Android) ve URLSession delegate (iOS) ile implementation. Pin’lenmiş sertifika rotation stratejisi (backup pin, gracefule update) production’da kritik.
MASVS-CODE: Obfuscation Karşılaştırması
| Obfuscator | Platform | Lisans | Korumalar |
|---|---|---|---|
| ProGuard / R8 | Android | Açık kaynak | Name obfuscation, shrinking |
| DexGuard | Android | Ticari (Guardsquare) | + Control flow, string encrypt, RASP |
| iXGuard | iOS | Ticari (Guardsquare) | Control flow, anti-debug, RASP |
| Swift Shield | iOS | Açık kaynak | Symbol obfuscation |
| Obfuscapk | Android | Açık kaynak | Multiple obfuscation |
| Promon SHIELD | iOS + Android | Ticari | RASP, anti-tampering |
İlgili konu: Certificate pinning rehberimizde backup pin ve rotation pattern’lerini detaylandırdık.
MASVS-RESILIENCE: Root/Jailbreak Detection
RASP (Runtime Application Self-Protection) ve root/jailbreak detection L-R (Resilience) seviyesi. Detection bypass tools (Frida, Objection, Magisk Hide) sürekli evrildiği için defense-in-depth: multiple detection method (su binary, build tags, file integrity, hooked method) + integrity check. False positive: kurumsal Android telefonlarda %12; whitelisted device pattern gerekli.
Sektörel Use Case: Bankacılık, Sağlık, Government
Bankacılıkta PSD2 SCA ve Türkiye BDDK için L2 minimum, R önerilen. RASP + cert pinning + biometric auth + transaction signing standart. Sağlıkta HIPAA ve EU MDR için MASVS L2; HealthKit/Google Fit izole storage. Devlet uygulamalarında STIG MOBILE Application SRG (Security Requirements Guide) MASVS’i referans alıyor.
Kurumsal Mobile Security Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- L1 baseline yapılmadan L2/R için yatırım — temel storage ve crypto eksiklikleri
- ProGuard’ı “kod obfuscation” sayma — sadece name obfuscation, control flow değil
- Certificate pinning rotation planı olmaması — sertifika değişiminde uygulama tamamı kırılıyor
- Root detection bypass tools (Frida) için defense-in-depth eksikliği
- MASTG penetration test yerine yalnızca statik analiz — runtime issue’ları yakalanmıyor
- SDK güvenlik posture’ının değerlendirilmemesi — Firebase, AppsFlyer sızıntı vektörü olabiliyor
Sonuç
Mobile App Security 2026’da OWASP MASVS 2.0 ile yapılandırıldı. Tüm uygulamalar için L1 baseline; fintech/sağlık için L2; gaming/DRM/yüksek değerli için R seviyesi. ProGuard/R8 yetmiyor; bankacılık için DexGuard veya iXGuard ticari obfuscator + RASP gerekiyor. MASTG penetration test 90 günde bir; statik analiz CI/CD’ye gate olarak; runtime’da AppMon veya jailbreak/root detection. 6-12 aylık L1→L2 roadmap pilot için gerçekçi.
Sıkça Sorulan Sorular
L1, L2, R seviyeleri arasında nasıl seçim yaparım?
Risk ve regülasyon tabanlı. Sensitive data işliyorsanız (PII, financial, health) L2 minimum. Yüksek değerli işlem veya DRM koruma gerektiriyorsa R. Genel B2C ürün L1 yeterli. PCI DSS Mobile, BDDK fintech denetimi L2 zorunlu.
ProGuard güvenlik için yeterli mi?
Hayır. ProGuard/R8 sadece name obfuscation ve shrinking yapar; control flow obfuscation, string encryption, anti-debugging yok. Bankacılık ve high-value app için DexGuard, iXGuard veya Promon ticari obfuscator gerekli.
Root/jailbreak detection bypass edilebiliyor mu?
Evet, Frida ve Magisk Hide ile sıkça bypass ediliyor. Çözüm: defense-in-depth (multiple detection method) + integrity check + RASP + server-side anomaly detection. Tek bir detection method’un bypass’i tüm güvenliği kırmamalı.
Mobile penetration test ne sıklıkta yapılmalı?
OWASP MASTG her major release; minimum yılda 2 kez. Bankacılık ve fintech için her release. Üçüncü taraf pentest firmaları (NowSecure, CyberCX, Cobalt) MASTG metodolojisini kullanıyor; report MASVS coverage matrix içermeli.
Türkiye’de BDDK mobile bankacılık güvenlik gereksinimleri nelerdir?
BDDK Mobil Bankacılık Yönetmeliği 2024 update: MASVS L2 minimum, biometric auth zorunlu, transaction signing, certificate pinning, anti-tampering. Yıllık penetration test ve uygulama imza sertifikası yetkili CA’dan. KVKK ile birlikte ayrı denetim takibi.
Ömer ÖNAL
Mayıs 23, 2026Mobile güvenliği TLS termination ile bittiğini sanan kurumlar, jailbreak/root cihazlarda data exfiltration ve reverse engineering saldırılarına teslim oluyor. Doğru yaklaşım: MASVS L1 baseline (tüm uygulamalar) + L2 (yüksek değerli, fintech-sağlık) + R (anti-tampering). ProGuard/R8 yetmiyor; bankacılık için DexGuard veya iXGuard ticari obfuscator + RASP gerekiyor. — Ömer Önal