Mobil uygulama güvenlik açıklarının %78’i pentest ile tespit edilmiş zafiyetlerden oluşmaktadır ve IBM Cost of a Data Breach Report 2024 raporuna göre mobil kaynaklı veri ihlallerinin ortalama maliyeti 4,2 milyon USD’ye ulaşmıştır. OWASP Mobile Application Security Verification Standard (MASVS) ve Mobile Security Testing Guide (MSTG) mobil güvenliğin altın standardı olarak kabul edilir. Doğru uygulanan pentest süreci ile production’a giden zafiyet sayısı %85 azalır; yanlış kurgu ise App Store/Play Store red’leri ve kullanıcı veri sızıntılarıyla yıllık 500.000-3 milyon USD’lik kayba yol açar.
Bu rehberde mobil uygulama güvenlik testi sürecini OWASP MASVS ve MSTG çerçevesinde detaylı inceliyoruz:
- MASVS güvenlik gereksinim seviyeleri (L1, L2, R)
- MSTG test kategorileri ve metodolojisi
- Statik (SAST), dinamik (DAST) ve manuel analiz teknikleri
- iOS ve Android için spesifik test yaklaşımları
- Pentest araçları: MobSF, Frida, Burp Suite, Objection
- Compliance ve düzenleyici gereksinimler
OWASP MASVS: Mobil Güvenlik Verifikasyon Standardı
MASVS, OWASP Mobile Application Security projesi tarafından geliştirilen ve mobil uygulamaların güvenlik gereksinimlerini standardize eden çerçevedir. 2024’te v2.0 yayınlanmıştır. MASVS 8 kontrol kategorisi ve 3 doğrulama seviyesi içerir.
| MASVS Kategorisi | Kısaltma | Açıklama | Kontrol Sayısı |
|---|---|---|---|
| MASVS-STORAGE | STORAGE | Hassas veri depolama | 12 |
| MASVS-CRYPTO | CRYPTO | Kriptografi pratikleri | 4 |
| MASVS-AUTH | AUTH | Authentication ve session | 8 |
| MASVS-NETWORK | NETWORK | Ağ iletişim güvenliği | 6 |
| MASVS-PLATFORM | PLATFORM | Platform etkileşimi (IPC, deep link) | 7 |
| MASVS-CODE | CODE | Kod kalitesi ve binary security | 5 |
| MASVS-RESILIENCE | RESILIENCE | Reverse engineering direnci | 9 |
| MASVS-PRIVACY | PRIVACY | Veri minimizasyonu, kullanıcı kontrolü | 4 |
MASVS Doğrulama Seviyeleri
MASVS üç farklı uygulama tipi için doğrulama seviyesi tanımlar. Hangi seviyenin gerekli olduğu uygulamanın risk profiline göre belirlenir.
| Seviye | Uygulama Tipi | Örnek | Kontrol Sayısı |
|---|---|---|---|
| MASVS-L1 | Standart güvenlik | Sosyal medya, oyun, e-ticaret | ~30 kontrol |
| MASVS-L2 | Defense-in-depth | Mobil bankacılık, sağlık, kurumsal | ~45 kontrol |
| MASVS-R | Reverse engineering direnci | DRM, lisans, anti-cheat oyun | L1/L2 + ~10 kontrol |
OWASP MSTG: Mobile Security Testing Guide
MSTG, MASVS gereksinimlerini test etme metodolojisini detaylandıran kılavuzdur. Her MASVS kontrolü için spesifik test prosedürleri ve araç önerileri sunar. GitHub’da 11.500+ yıldızlı open source proje olarak sürdürülür.
MSTG’nin tanımladığı test kategorileri:
- Static Analysis (SAST): Kaynak kod veya derlenmiş binary analizi
- Dynamic Analysis (DAST): Runtime davranış analizi
- Interactive Application Security Testing (IAST): Hybrid yaklaşım
- Manual code review: Otomatize edilemeyen logic flaw kontrolleri
- Penetration Testing: Exploit oluşturma, attack surface mapping
- Reverse Engineering: Decompilation, dynamic instrumentation
Mobil Pentest Metodolojisi
Tipik bir mobil pentest 5 fazda yürütülür. Her faz ölçülebilir çıktılar üretir.
- Reconnaissance (Bilgi toplama): APK/IPA çıkarımı, manifest analizi, kullanılan SDK’lar (1-2 gün)
- Static Analysis: Otomatik SAST tarama (MobSF, Semgrep), kod kalitesi (2-3 gün)
- Dynamic Analysis: Runtime trafiği yakalama, IPC interaction (2-3 gün)
- Manual Testing: Authentication bypass, IDOR, business logic (4-6 gün)
- Reporting: CVSS skor, remediation öneri, executive özet (2-3 gün)
Mobil Pentest Araçları
Mobil pentest için olmazsa olmaz araçlar:
| Araç | Kategori | Platform | Lisans | Birincil Kullanım |
|---|---|---|---|---|
| MobSF (Mobile Security Framework) | SAST + DAST | iOS + Android | GPL v3 | Otomatik tarama, dashboard |
| Frida | Dynamic instrumentation | iOS + Android | wxWindows | Runtime hooking |
| Objection | Frida wrapper | iOS + Android | GPL v3 | SSL pinning bypass |
| Burp Suite | Proxy interceptor | Both | Free + Pro 449 USD/yr | HTTP/S trafik analizi |
| OWASP ZAP | Proxy interceptor | Both | Apache 2.0 | Burp alternatifi |
| Drozer | Android exploitation | Android | BSD 3-Clause | Component testing |
| APKTool | Decompiler | Android | Apache 2.0 | APK reverse engineering |
| Hopper / Ghidra | Reverse engineering | iOS binary | Hopper 99 USD / Ghidra OSS | iOS Mach-O analizi |
| jadx | Java decompiler | Android | Apache 2.0 | DEX → Java kodu |
iOS Mobil Güvenlik Test Konuları
iOS uygulamalarında spesifik test alanları:
- Keychain kontrolü: Hassas veriler kSecAttrAccessibleAfterFirstUnlock’ta mı
- App Transport Security (ATS): Info.plist’te HTTP exception yok mu
- URL scheme deep link: Yetersiz validation, hijacking riski
- Universal Links: Apple App Site Association doğru yapılandırılmış mı
- Jailbreak detection: /Applications/Cydia.app kontrol, Frida tespiti
- Background snapshot: Hassas ekranlarda blur veya hide
- Pasteboard güvenliği: UIPasteboard içeriğine yetkisiz erişim
- NSUserDefaults yanlış kullanımı: Hassas veri burada saklanmamalı
- Code signing ve provisioning: Distribution profili doğrulama
Android Mobil Güvenlik Test Konuları
Android uygulamalarında spesifik test alanları:
- Manifest analizi: exported components, intent filters
- Insecure Activity: External app’ler yetkisiz Activity başlatabiliyor mu
- BroadcastReceiver güvenliği: Sticky broadcast, permission kontrolü
- Content Provider izinleri: SQL injection, path traversal
- WebView güvenliği: JavaScript interface, file:// schema
- Shared Preferences: MODE_PRIVATE doğru mu, encryption var mı
- SQLite encryption: SQLCipher veya alternatif
- Root detection: SafetyNet, Play Integrity API
- Code obfuscation: R8/ProGuard yapılandırması
- Tapjacking: filterTouchesWhenObscured kontrolü
Network Security: SSL Pinning ve mTLS
Mobil uygulamaların büyük çoğunluğu backend API’lerle iletişim kurar. OWASP Mobile Top 10 2024‘da M4 (Insufficient Input/Output Validation) ve M5 (Insecure Communication) ilk 5’tedir.
| Konu | Test Yaklaşımı | Beklenen Davranış |
|---|---|---|
| SSL/TLS sürümü | SSLLabs API, nmap | TLS 1.2+ minimum, 1.3 önerilen |
| Cipher suite | testssl.sh | Strong ciphers only |
| Certificate validation | MITM proxy ile geçersiz cert | Bağlantı reddedilmeli |
| SSL pinning | Frida ile bypass denemesi | Bypass başarısız olmalı (L2) |
| HTTP fallback | Trafiği HTTP’ye düşür | İletişim kurmamalı |
| Sensitive data in URL | URL parametre analizi | Token, ID URL’de olmamalı |
| Mixed content | Network trace analizi | Tüm istekler HTTPS |
Common Mobil Güvenlik Açıkları (OWASP Mobile Top 10 2024)
OWASP Mobile Top 10 2024 listesi en yaygın 10 mobil güvenlik açığını sıralamaktadır:
- M1: Improper Credential Usage — Hardcoded credentials, weak token storage
- M2: Inadequate Supply Chain Security — Üçüncü-taraf SDK’lar, dependency riskleri
- M3: Insecure Authentication/Authorization — Zayıf MFA, IDOR, role bypass
- M4: Insufficient Input/Output Validation — Injection, deserialization
- M5: Insecure Communication — TLS bypass, cleartext trafik
- M6: Inadequate Privacy Controls — Aşırı izin, kullanıcı rızası eksik
- M7: Insufficient Binary Protections — Obfuscation yok, anti-tamper yok
- M8: Security Misconfiguration — Debug enabled, exported components
- M9: Insecure Data Storage — Plaintext storage, world-readable files
- M10: Insufficient Cryptography — MD5/SHA-1, hardcoded key
Compliance ve Regülasyon Uyumu
Mobil güvenlik test gereksinimleri sektörel regülasyonlarla zorunlu hale gelir:
| Regülasyon | Test Gereksinimi | Tipik Maliyet | Frekans |
|---|---|---|---|
| PCI DSS 4.0 (ödeme) | Yıllık pentest, MASVS L2 | 15.000-40.000 USD | Yıllık + major release |
| HIPAA (sağlık) | Risk assessment, encryption | 10.000-30.000 USD | Yıllık |
| KVKK (TR) | VERBIS kaydı, veri minimizasyonu | 5.000-15.000 USD | Major release |
| GDPR (AB) | DPIA, breach notification 72h | 8.000-25.000 USD | Yıllık + major change |
| SOC 2 Type II | Annual audit, continuous control | 30.000-80.000 USD | Yıllık |
| ISO 27001 | ISMS, secure SDLC | 40.000-120.000 USD | 3 yıllık sertifika |
| NIS2 Direktifi (kritik altyapı) | Risk management, incident reporting | 50.000-200.000 USD | Sürekli |
Pentest Süreci ve Tipik Maliyetler
Mobil pentest projelerinin tipik maliyet ve süre dağılımı:
| Pentest Tipi | Süre | Maliyet (USD) | Maliyet (TL) | Kapsam |
|---|---|---|---|---|
| Otomatik SAST scan | 1-2 gün | 1.500-4.000 | 51.000-136.000 | MobSF + Semgrep |
| Black-box pentest | 5-7 gün | 8.000-15.000 | 272.000-510.000 | OWASP Top 10 manuel |
| White-box pentest | 10-14 gün | 15.000-30.000 | 510.000-1.020.000 | Kaynak kod + binary |
| MASVS L1 doğrulama | 7-10 gün | 10.000-20.000 | 340.000-680.000 | 30 kontrol |
| MASVS L2 doğrulama | 14-21 gün | 22.000-45.000 | 748.000-1.530.000 | 45 kontrol |
| MASVS L2 + R | 21-30 gün | 35.000-70.000 | 1.190.000-2.380.000 | Tüm kontroller |
| Sürekli güvenlik (yıllık) | Aylık 5 gün | 60.000-150.000 | 2,04-5,1 milyon | DevSecOps entegre |
CI/CD Pipeline’ında Mobil Güvenlik Otomasyonu
Mobil güvenlik testlerinin CI/CD pipeline’ına entegre edilmesi, shift-left yaklaşımı ile zafiyet maliyetini düşürür. Snyk State of Open Source Security 2024 raporu zafiyetin production’da yakalanmasının dev aşamasına göre 100x daha pahalı olduğunu belirtir.
- SAST entegrasyonu: Her PR’da MobSF veya SonarQube taraması
- SCA (Software Composition Analysis): Snyk, Dependabot ile dependency vulnerability
- Secret scanning: Gitleaks ile commit’lerde token detection
- License compliance: FOSSA, Snyk License ile uyum kontrolü
- DAST otomatik: Pre-release ortamda otomatik dinamik tarama
- Mobile binary scanning: NowSecure, Veracode Mobile entegre
- Quality gate: Critical/High severity = build fail
Kurumsal pentest süreç rehberimizde detayları bulabilirsiniz. DevSecOps shift-left yazımız mobil güvenlik otomasyonunu tamamlar.
Kurumsal Mobil Güvenlik Dönüşümünde Karşılaşılan Tipik Sorunlar
Mobil güvenlik test programlarında teknik araç seçimi kadar süreç olgunluğu ve kültür kritiktir. Danışmanlık projelerinde gözlemlenen örüntüler, mobil güvenlik programlarının %32’sinin yıllık pentest dışında düzenli kontrol yapmadığını göstermektedir. Tipik sorunlar:
- Yıllık pentest yetersiz: Major release sıklığı haftalık, pentest yılda 1, kritik gap
- SSL pinning yok veya bypass’lanabiliyor: Reverse engineering ile API’ler keşfediliyor
- Hardcoded API key: Decompiled APK/IPA’da plain text bulunuyor
- SDK envanteri yok: Üçüncü-taraf SDK güncellemeleri takip edilmiyor
- App Store reject sonrası reaktif: Apple/Google review red’i ile zafiyet keşfi
- Remediation timeline gevşek: Critical bulgu 6 ay açık kalabiliyor
Sık Sorulan Sorular
MASVS L1 ve L2 arasındaki fark nedir?
MASVS L1 standart güvenlik gereksinimleridir; çoğu mobil uygulama (sosyal medya, oyun, basit e-ticaret) için yeterlidir ve yaklaşık 30 kontrol içerir. MASVS L2 defense-in-depth yaklaşımıyla daha sıkı kontroller (sıkı SSL pinning, key derivation, anti-tamper) ekler ve mobil bankacılık, sağlık, kurumsal mesajlaşma gibi yüksek-risk senaryolar için tasarlanmıştır (45 kontrol). MASVS R seviyesi reverse engineering direnci ekler ve DRM, lisans tabanlı uygulamalar için L1/L2’ye ek 10 kontrol içerir.
Mobil pentest ne kadar sürede tamamlanır?
Pentest süresi uygulama büyüklüğüne ve test derinliğine bağlıdır. Tipik bir orta ölçekli uygulama (30-50 ekran, 1 backend API) için black-box pentest 5-7 gün, white-box pentest 10-14 gün sürer. MASVS L1 doğrulaması 7-10 gün, MASVS L2 14-21 gün, MASVS L2+R 21-30 gün gerektirir. Reporting ve remediation review için ek 3-5 gün eklenir. Toplam süreç (planning + test + report) tipik 4-6 hafta’dır.
SSL pinning gerçekten gerekli mi?
Yüksek-risk uygulamalar için evet. SSL pinning, kullanıcı cihazındaki rogue certificate authority veya MITM proxy ile API trafiğinin yakalanmasını engeller. Bankacılık, sağlık, ödeme ve enterprise uygulamalarında zorunludur (MASVS L2). Tüm halka açık veri sunan basit uygulamalar (haber, kataloğ) için opsiyoneldir. SSL pinning Frida ile bypass edilebilir; bu yüzden tek başına yeterli değildir, sertifika ataçmaları + jailbreak detection + anti-tamper kombine kullanılmalıdır.
App Store ve Play Store güvenlik incelemeleri yeterli mi?
Hayır. Apple App Review ve Google Play Protect otomatik taramaları temel zafiyetleri (hardcoded credentials, basic malware) yakalar ancak business logic flaw, IDOR, broken access control, advanced injection gibi zafiyetleri tespit etmez. App Store/Play Store onayı güvenlik garantisi değildir; sadece minimum compliance kontrolüdür. Kurumsal uygulamalar için bağımsız üçüncü-taraf pentest ve OWASP MASVS doğrulaması şarttır.
Mobil güvenlik testi için iç mi dış kaynak mı tercih edilmelidir?
Hybrid yaklaşım idealdir. Otomatik SAST/DAST/SCA taramaları iç DevSecOps ekibi tarafından CI/CD’de yapılır (sürekli ve düşük maliyet). Yıllık veya major release pentest dış güvenlik firması tarafından gerçekleştirilir (objektiflik, uzman beceri, regülasyon). Sürekli güvenlik programlarında managed security service provider (MSSP) ile aylık 5-10 gün pentest 60.000-150.000 USD/yıl aralığında. İç ekip için MobSF + Frida + Burp Suite Pro standart araç stack’i (yıllık ~3.000 USD lisans).
Sonuç
Mobil uygulama güvenlik testi 2026 itibarıyla kurumsal mobil stratejisinin vazgeçilmez bileşeni haline gelmiştir; OWASP MASVS ve MSTG çerçeveleriyle %85 daha yüksek zafiyet tespit oranı ve 4,2 milyon USD’lik ortalama breach maliyetinden kaçınma sağlar. MASVS L1 standart uygulamalar için, L2 yüksek-risk senaryolar (banka, sağlık) için, R seviyesi ise reverse engineering kritik uygulamalar için tasarlanmıştır. MobSF, Frida, Burp Suite, Objection gibi araçlar pentest workflow’unun temelidir. Yıllık pentest tek başına yeterli değildir; CI/CD’ye entegre SAST/DAST/SCA otomasyonu, SSL pinning, anti-tamper, jailbreak detection ve sürekli SDK güncellemesi katmanlı bir defense-in-depth oluşturur. Doğru programlama ile kurumsal uygulamalar yıllık 500.000-3 milyon USD’lik potansiyel kayıptan korunurken, PCI DSS, HIPAA, KVKK, GDPR gibi regülasyon uyumlulukları da temin edilir.
Ömer ÖNAL
Mayıs 17, 2026OWASP MASVS uyumluluğu mobil uygulamalarda B2B/finans/sağlık segmentlerinde artık tender kriteri — özellikle MSTG L2 seviye penetrasyon testleri (R8: anti-tampering, R9: code obfuscation) maliyet kalem olarak başlangıçta öngörülmüyor ama %15-25 ek geliştirme süresi getiriyor.