Kullanıcı Odaklı Yaklaşımlarla Mobil Güvenliğin Değerlendirilmesi ve Geliştirilmesi

Abstract

Mobil uygulamalar günümüzde bireylerin finansal, tıbbi ve kişisel etkileşimlerinin giderek artan bir kısmını yönetmektedir. Ancak güvenlik araştırmaları hâlâ büyük ölçüde kod düzeyindeki açıklar üzerine yoğunlaşmakta ve sıradan kullanıcıların bu koruma mekanizmalarıyla nasıl etkileşime geçtiğini göz ardı etmektedir. Bu boşluğu kapatmak amacıyla, OWASP Mobile Top 10, MITRE ATT&CK ve güncel akademik literatürde tanımlanan teknik tehditleri sade bir dille sekiz uygulanabilir adıma dönüştüren bir kontrol listesi geliştirilmiştir. Bu adımlar; aşırı izin verme, güvensiz ağ kullanımı ve zayıf kimlik doğrulama gibi temel güvenlik açıklarını hedef alır ve teknik olmayan terimlerle ifade edilerek geniş bir kullanıcı kitlesi için erişilebilir hale getirilmiştir. Çalışma üç aşamalı bir yöntem izlemiştir: zafiyet analizi yoluyla kontrol listesi geliştirme, kullanıcı davranışlarını ve liste kullanımını değerlendiren bir anket uygulaması ve katılımcı geri bildirimlerine dayalı rehber ilke oluşturma. Geliştirilen kontrol listesi, yaş, platform ve siber güvenlik deneyimi bakımından çeşitlilik gösteren 42 Android ve iOS kullanıcısıyla test edilmiştir. Katılımcıların %83'ü kontrol listesindeki adımların çoğunu tamamlamış, %70'ten fazlası ise mobil riskler konusunda farkındalıklarının arttığını bildirmiştir. Bu bulgulara dayanarak teknik standartlarla kullanıcı pratiği arasındaki boşluğu doldurmayı amaçlayan on ilke geliştirilmiştir. Her ilke, belirli kullanıcı eylemlerini bilinen zafiyetlerle eşleştirmekte ve OWASP ile MITRE gibi güvenlik çerçeveleriyle uyum göstermektedir. Sonuçlar, teknik temelli davranışsal içgörülerle geliştirilen kullanıcı odaklı araçların farkındalığı artırma ve daha güvenli alışkanlıklar kazandırma potansiyeline sahip olduğunu vurgulamaktadır.

Mobile apps now mediate a growing share of people's financial, medical, and personal exchanges, yet most security research still concentrates on code‑level flaws and overlooks how ordinary users interact with those protections. To close this gap, we designed a plain‑language checklist that translates recognized technical threats synthesized from OWASP Mobile Top 10, MITRE ATT&CK, and recent peer-reviewed literature into eight actionable steps covering both device settings and everyday behaviors. These steps address core vulnerability areas such as over-permissioning, insecure network use, and weak authentication, and are framed in non-technical terms to ensure accessibility across a wide user base. The study employed a three-phase methodology: checklist development through vulnerability analysis, a user survey assessing behavior and checklist usage, and guideline formulation based on participant feedback. We evaluated the checklist with 42 Android and iOS users representing a range of ages, platforms, and cybersecurity experience levels. The results show that 83 percent of participants completed most of the checklist items, while over 70 percent reported improved awareness of mobile risks. These challenges were echoed in a complementary survey of broader mobile security habits, which confirmed additional blind spots, most notably, low rates of VPN and antivirus usage. Building on these insights, we formulated a set of ten guidelines designed to bridge technical standards and user practice. Each guideline maps specific user actions to known vulnerabilities and aligns with cybersecurity frameworks such as OWASP and MITRE. The findings underscore the importance of combining behavioral insight with technical frameworks.