Mobil Cihazlar Savunmasız, Kurumlar Risk Altında

Mobil tehdit ortamı önemli bir dönüşüm geçirmektedir. 2025 Küresel Mobil Tehdit Raporu’nu yayımlayan güvenlik araştırma kuruluşu Zimperium’a göre, siber saldırganlar artık öncelikli hedef olarak masaüstü sistemlerden ziyade mobil cihazları tercih etmektedir. Kurumlar açısından mobil platformlar artık ikincil değil, en kritik saldırı yüzeylerinden biri haline gelmiştir.

• Mobil tehditlerin üçte biri oltalama saldırılarından oluşuyor. Bunların içinde, smishing olarak da adlandırılan, SMS oltalama saldırıları oranı üçte ikiden fazla. Saldırganlar oltalama bağlantılarını gizlemek için PDF’lere kötü amaçlı kod ekleme gibi yeni yöntemler de kullanıyor. En fazla hedef alınan bölge ise Amerika Birleşik Devletleri olarak belirtilmiş.
• Kurumsal cihazların neredeyse yüzde 25’inde resmi mağaza dışından yüklenmiş uygulamalar var. Bunların çoğu meşru uygulamaları taklit eden, veri çalmak veya zararlı yazılım yüklemek için tasarlanan uygulamalar.
• Kullanıcıların mobil cihazlarının yaklaşık dörtte biri eski cihazlar. Bu da bu cihazların en son güncellemelere sahip olmadığını gösteriyor. Bu cihazların işletim sistemi en son sürüme yükseltilemiyor ve güvenlik risklerine karşı savunmasız kalıyor.
• İş için kullanılan uygulamaların yüzde 23’ü yüksek riskli veya ambargo uygulanan ülkelerdeki sunucuları kullanıyor. Birçok iş uygulaması veri iletimini yeterince şifrelemiyor veya konum, rehber ve mesaj verilerini güvensiz biçimde işliyor.
• Kurum içi geliştirilen uygulamalar da genellikle güvenlikten yoksun. Android uygulamalarının %60’tan fazlası yalnızca temel, ücretsiz araçlara dayanıyor; iOS uygulamalarının %60’ı ise hiçbir kod koruması kullanmıyor.

Rapor özellikle şu noktaya dikkat çekiyor; güvenli biçimde geliştirilen uygulamalar bile çalıştıkları cihaz tehlikedeyse kendilerini koruyamıyor. Kırılmış ya da zararlı yazılımla enfekte olmuş cihazlar uygulamaların güvenlik katmanlarını aşabilir. Bu nedenle cihaz durumu doğrulaması olmadan bir uygulamanın güvenli bir ortamda çalıştığından emin olması mümkün değildir.

Mobil teknolojiler kurumlar tarafından hem operasyonel verimliliği artırmak hem de müşteri etkileşimini güçlendirmek için yaygın biçimde benimsenmektedir. Bu durum siber tehdit aktörlerinin de mobil öncelikli saldırı stratejilerine yönelmesine neden olmaktadır. Araştırmalara göre kuruluşların yüzde 70’i çalışanların kişisel cihazlarını iş amaçlı kullanmasına izin vermekte ve hem çalışanlara hem de müşterilere yönelik mobil uygulamalar geliştirmektedir. Bu da mobil tehdit yüzeyini ciddi şekilde genişletmektedir.

Mobil saldırı yüzeyini daraltmak yalnızca uygulama güvenliğini değil, aynı zamanda cihaz güvenliğini de kapsayan kapsamlı bir mobil güvenlik stratejisi gerektirir. Mobil güvenlik artık ikincil bir konu değil, kurumsal güvenliğin temel unsurlarından biri haline gelmiştir. Mobil cihazlar geleneksel uç noktalarla aynı düzeyde korunmalı; bu da katmanlı güvenlik mimarisi, sürekli tehdit izleme ve sıkı güvenlik politikalarının birlikte uygulanmasını zorunlu kılar.