E-ticaret, sağlık veya finans... Sektörünüz ne olursa olsun, bir mobil uygulamanın en zayıf halkası, sahip olduğu güvenlik altyapısıdır. Türkiye'de KVKK (Kişisel Verilerin Korunması Kanunu), Avrupa'da GDPR standartları gereği, kullanıcı verilerinin sızdırılması durumunda şirketler milyonlarca lira para cezası ve telafisi imkansız bir itibar kaybıyla karşı karşıya kalır. Güvenlik, geliştirme aşamasının sonunda eklenecek bir "yama" değil, projenin en başından tasarlanması gereken bir "mimaridir" (Security by Design).

OWASP Mobile Top 10: En Sık Rastlanan Zafiyetler

Açık Web Uygulama Güvenliği Projesi (OWASP), her yıl mobil dünyadaki en kritik 10 güvenlik açığını yayınlar. 2026 itibarıyla en çok karşılaştığımız ve önlem alınması gereken zafiyetler şunlardır:

  • Güvensiz Veri Depolama (Insecure Data Storage): Geliştiricilerin şifreleri, API anahtarlarını veya kişisel kullanıcı verilerini cihazın yerel depolama alanında (SQLite, SharedPreferences, UserDefaults) düz metin (plain text) olarak saklamasıdır. Veriler mutlaka AES-256 standartlarında şifrelenerek saklanmalıdır (örn: iOS'te Keychain, Android'de Keystore kullanımı).
  • Güvensiz İletişim (Insecure Communication): Uygulama ile sunucu arasındaki trafiğin (HTTP üzerinden) dinlenmesi (Man-in-the-Middle atakları). Bunu engellemek için sadece SSL/TLS (HTTPS) kullanmak yetmez, SSL Pinning (Sertifika Sabitleme) yapılarak sahte sertifikalarla araya girilmesi engellenmelidir.
  • Zayıf Kimlik Doğrulama (Insecure Authentication): Kullanıcı oturum yönetiminin yanlış yapılması. Biometrik doğrulama (FaceID / TouchID) ve JWT (JSON Web Token) tabanlı güvenli oturum yönetimi standart hale gelmelidir.

KVKK ve GDPR Uyumluluğu İçin Yapılması Gerekenler

Kanuni zorunlulukları teknik bir altyapıyla desteklemek şarttır:

  1. Açık Rıza Yönetimi: Uygulama açılışında lokasyon, kamera veya rehber izinleri istenirken mutlaka "Aydınlatma Metni" ve onay kutucuğu (checkbox) bulunmalıdır. Opt-in/Opt-out mekanizmaları veritabanında loglanmalıdır.
  2. Veri Minimizasyonu: Sadece uygulamanın çalışması için gerçekten gereken verileri toplayın. Bir hava durumu uygulamasının kullanıcının fotoğraf galerisine erişmesi, KVKK denetimlerinde doğrudan "ihlâl" kabul edilir.
  3. Unutulma Hakkı (Right to be Forgotten): Kullanıcı, uygulama üzerinden hesabını ve tüm ilişkili verilerini tek tuşla kalıcı olarak silme (soft delete değil, hard delete veya anonimleştirme) hakkına sahip olmalıdır. Apple, 2022'den beri hesap silme özelliğini tüm uygulamalar için zorunlu tutmaktadır.
Kod Obfuscation (Karmaşıklaştırma)
Uygulamanız markete yüklendikten sonra hackerlar tarafından indirilip "tersine mühendislik (Reverse Engineering)" yöntemiyle kaynak kodu açılabilir. Bunu zorlaştırmak için kodunuzu derlerken (örn: ProGuard, R8) anlaşılmaz hale getiren obfuscation araçları kullanılmalıdır.

Penetrasyon (Sızma) Testlerinin Önemi

Uygulama canlıya alınmadan önce, sertifikalı "Beyaz Şapkalı Hacker" firmaları tarafından güvenlik testlerine (Pen-test) tabi tutulmalıdır. Ajansımız, özellikle finans, sağlık ve e-ticaret projelerinde bağımsız kurumlarca gerçekleştirilen bu testleri sürecin standart bir parçası olarak yönetir.

Askeri Sınıf Şifreleme ve Veri Güvenliği

Kurumsal verilerinizin ve müşteri bilgilerinizin 0-Day açıklarına karşı korunduğundan emin misiniz?

Güvenlik Mimarinizi İnceleyelim