Mobil API odaklı saldırılardaki artış hem veri güvenliğini tehdit ediyor hem de işletmelerin mobil uygulamalarını çalışamaz hale getiriyor.

Akıllı telefonlar sağolsun, günümüzde mobil uygulamaların hayatımıza girmediği konu pek yok. Buna iş odaklı uygulamalar dahil. Osterman Research’ün mobil uygulama güvenliği alanında çözümler sunan Approov için yaptığı “The State of Mobile App Security 2022” başlıklı araştırma, bu durumu sayısal verilerle de ortaya koydu.

Araştırmaya göre her dört iş dünyası temsilcisinden üçü mobil uygulamaların, işlerinin daha başarılı olması için bir temel oluşturduğunu ya da temelin kendisi olduğunu ifade ediyor. Farkın nerede olduğuna bakarsak bu oran, iki yıl önceye göre üç kat artmış durumda.

Hedefte mobil API’ler var

Araştırmada elde edilen bulgulardan biri, siber saldırıların mobil uygulamaları çalışamaz hale getiren API’lere yönelik yoğunlaşması. Bu durumun, işletmelerin yüzde 75’i için bir maliyet oluşturduğuna dikkat çekiliyor. Üstelik bu saldırılar yalnızca mobil uygulamaların işlevsiz kalmasına neden olmuyor. Saldırganlar veri hırsızlığı, sahte hesap oluşturma gibi işlemler için de bu yöntemi kullanıyor.

Bununla birlikte mobil uygulama güvenliği işletmelerin pek de farkında olmadığı, en azından önlem alamadığı bir durum. Araştırmadan elde edilen verilere göre işletmelerin yüzde 60’ı, mobil uygulamalara ve API’lere yönelik zamanlı tehditlere karşı bir görünürlüğe sahip olmadıklarını ifade ediyor.

Uygulama başına 30’dan fazla üçüncü parti API kullanılıyor

Siber saldırganların deyim yerindeyse işini kolaylaştıran bir etken de API kullanımındaki çeşitlilik. API anahtarlarını sabit olarak depolayan mobil uygulamaların yarısı ile mobil uygulama başına 30’dan fazla üçüncü parti servisin API’lerinin kullanımı tehdit için alan yaratıyor. Bununla birlikte araştırmaya katılanların yüzde 55’i, API anahtarlarını ve diğer sabit kodlanmış sırları mobil uygulamalarda saklama ihtiyacını ortadan kaldırmaya yüksek öncelik veriyor.

API ataklarının artış hızı yüzde 700’e yakın

Salt Security’nin geçen yıl yaptığı bir araştırma, API saldırılarında yüzde 681 gibi ciddi bir artış olduğunu gösteriyor. Bir başka araştırmada ise Corscha, zayıf API güvenliğinin işletmelere 75 milyar doları bulan bir maliyete yol açacağına dikkat çekiyor. Bu durumun, hızla büyüyen mobil işletmeler için önemli finansal risklerle karşı karşıya olması durumun vehametini ortaya koyuyor.

Hedefteki sektörler arasında iki tanesi öne çıkıyor: FinTech ve sağlık. Araştırmacı Alissa Knight tarafından yapılan bir çalışma, FHIR standardını kullanan pek çok sağlık hizmeti uygulaması ile API’de güvenlik sorunları buldu. Test edilen mobil sağlık uygulamalarının çoğunda EHR API’lerine erişim için kullanılabilecek sabit kodlanmış API anahtarları ve belirteçler tespit edildi. Eylül 2021’de yapılan bu araştırmada 4 milyon hasta ve klinik uzman kayıtlarına tek bir hasta giriş hesabından erişilebildiği ortaya çıkmıştı. Bununla birlikte test edilen FHIR API’lerinin tamamı, bir hastanın kimlik bilgileri kullanılarak diğer hastaların sağlık verileriyle ilgili API verilerine erişim izni verdi.