[Seminaar] [Defending Agter die toestel: Mobile Aansoek Security] [Chris Wysopal] [Harvard Universiteit] [Hierdie is CS50.] [CS50.TV] Goeie middag. My naam is Chris Wysopal. Ek is die tegniese direkteur en mede-stigter van Veracode. Veracode is 'n aansoek sekuriteit maatskappy. Ons toets alle vorme van verskillende programme, en wat ek gaan om te praat oor vandag mobiele sekuriteit. My agtergrond is ek doen veiligheid navorsing vir 'n baie lang tyd, waarskynlik omtrent so lank soos enigiemand. Ek het in die middel van die 90s, en dit was 'n tyd wat was 'n bietjie interessant, want ons het 'n paradigma verandering in die middel van die 90s. Al van 'n skielike almal se rekenaar is gekoppel aan die internet, en dan het ons die begin van die web programme, en dit is wat ek gefokus op 'n baie dan. Dit is interessant. Nou het ons 'n ander paradigma verandering gebeur met die rekenaar, wat is die verskuiwing na mobiele programme. Ek voel dit is soort van 'n soortgelyke tyd toe was dit in die laat 90's wanneer ons ondersoek web-programme en die vind van defekte soos sessie bestuur foute en SQL-inspuiting wat regtig nie voorheen bestaan, en almal van 'n skielike hulle was oral in web programme, en nou 'n groot deel van die tyd wat ek spandeer is op soek na mobiele programme en kyk na wat aangaan daar buite in die natuur. Mobile aansoeke regtig gaan die dominante rekenaar platform te wees, sodat ons regtig nodig het 'n baie tyd te spandeer as jy in die sekuriteitsbedryf fokus op die web programme. Daar was 29000000000 mobiele apps afgelaai in 2011. Dit is voorspel te wees 76000000000 apps teen 2014. Daar is 686000000 toestelle wat gaan vanjaar gekoop word, so dit is waar mense gaan om te doen  die meerderheid van hul kliënt rekenaar gaan vorentoe. Ek was in gesprek met 'n vise-president op Fidelity Investments 'n paar maande gelede, en hy het gesê dat hulle nou net gesien het meer verkeer doen finansiële transaksies van hul kliënte op hul mobiele aansoek as op hul webwerf, so 'n algemene gebruik vir die Web in die verlede was die monitor van jou voorraadkwotasies, die bestuur van jou portefeulje, en ons is eintlik sien dat in 2012 oorskakeling om meer dominante op die mobiele platform. Seker as daar gaan 'n kriminele aktiwiteit te wees, enige kwaadwillige aktiwiteit, gaan dit begin om te fokus op die selfoon-platform met verloop van tyd as mense oor te skakel nie. As jy kyk na die mobiele platform, om te kyk na die risiko's van die platform is dit nuttig om dit te breek in die verskillende lae, net soos jy dit sou doen op 'n rekenaar, en jy dink oor die verskillende lae, sagteware, bedryfstelsel, netwerk laag, hardeware laag, en natuurlik, is daar probleme op almal wat lae. Dieselfde gebeur op die selfoon. Maar selfoon, blyk dit dat sommige van die lae is slegter af. Vir een, die netwerk laag is meer problematies op mobiele want baie van die mense het in hul kantoor of by die huis bedraad verbindings of hulle veilig WiFi-verbindings, en met 'n baie van mobiele toestelle wat jy is natuurlik buite die huis of buite die kantoor 'n baie, en as jy met Wi-Fi daar jy kan gebruik word om 'n onveilige WiFi-konneksie, iets wat 'n openbare Wi-Fi, So wanneer ons dink oor mobiele apps ons het in ag te neem dat die netwerk omgewing is riskant vir diegene aansoeke wanneer Wi-Fi gebruik word. En toe ek in die meer van die mobiele aansoek's jy sal sien waarom dit is meer belangrik is. Daar is risiko's aan die hardeware vlak op mobiele toestelle. Dit is 'n gebied van deurlopende navorsing. Mense noem hierdie breëband aanvalle of basisband aanvalle waar jy die aanval op die firmware wat se luister op die radio. Dit is regtig scary aanvalle omdat die gebruiker nie om iets te doen. Jy kan getref baie van die toestelle in RF reeks in 'n keer, en dit lyk asof wanneer hierdie navorsing borrels up dit vinnig kry geklassifiseer waar mense ophef in rond en sê: "Hier, vertel ons oor wat, en stop asseblief om daaroor te praat." Daar is 'n bietjie navorsing gaan aan in die breëband area, maar dit lyk baie hush hush te wees. Ek dink dit is meer van 'n nasie-staat tipe navorsing wat aangaan. 'N gebied van aktiewe navorsing, al is, is die bedryfstelsel laag, en weer, dit is anders as in die lessenaar rekenaar wêreld want in die mobiele ruimte wat jy hierdie spanne van mense genoem jailbreakers, en jailbreakers is anders as gereelde kwesbaarheid navorsers. Hulle het probeer om probleme te vind in die bedryfstelsel, Maar die rede waarom hulle probeer om die probleme te vind, is om nie te breek in iemand anders se masjien en kompromie nie. Dit is om te breek in hul eie rekenaar. Hulle wil om te breek in hul eie selfone, verander hul eie mobiele bedryfstelsel sodat hulle die aansoeke van hul keuse kan hardloop en dinge met volle administratiewe regte verander, en hulle wil nie die verkoper hiervan te vertel. Hulle is nie soos 'n sekuriteit navorser wat 'n wit hoed sekuriteit navorser wat gaan verantwoordelike openbaarmaking te doen en vertel die verkoper daaroor. Hulle wil hierdie navorsing te doen, en hulle wil dit eintlik publiseer in 'n buit of 'n rootkit of 'n jailbreak kode, en hulle wil dit om strategies te doen, soos regs na die verkoper skepe die nuwe bedryfstelsel. Jy het hierdie adversarial verhouding met OS-vlak probleme op die selfoon, wat ek dink is baie interessant, en een plek waar ons dit sien is dit maak dit so dat daar 'n goeie gepubliseer ontgin kode daar buite vir kern-vlak kwesbaarheid, en ons het gesien wat werklik deur malware skrywers gebruik word. Dit is 'n bietjie anders as die PC wêreld. En dan die finale laag is die boonste laag, die aansoek laag. Dit is wat ek gaan vandag oor te praat. Die ander lae bestaan, en die ander lae speel in dit, maar ek is meestal gaan om te praat oor wat gaan aan by die aansoek laag Wanneer Kode loop in die sandbox. Dit hoef nie 'n administratiewe voorregte. Dit het die APIs van die toestel te gebruik, Maar nog steeds, 'n baie kwaadwillige aktiwiteit en 'n baie risiko kan gebeur op daardie laag want dit is die laag waar al die inligting. Programme kan al die inligting op die toestel toegang indien hulle oor die nodige regte, en hulle kan toegang tot die verskillende sensors op die toestel, GPS sensor, mikrofoon, kamera, wat jy het. Selfs al het ons net praat oor die program laag Ons het 'n baie risiko daar. Die ander ding wat anders is oor die mobiele omgewing is al die bedryfstelsel spelers, word dit BlackBerry of Android of IOS of Windows Mobile, het hulle almal het 'n boete grein toestemming model, en dit is een van die maniere wat hulle in die bedryfstelsel gebou die idee dat dit is nie so riskant wees as wat jy dink. Selfs al het jy al jou kontakte op daar, al jou persoonlike inligting, jy jou foto's, moet jy jou plek op daar, jy die stoor van jou bank pen vir motor aanteken op daar, dit is veilig, want programme het sekere regte te hê om by sekere dele van die inligting oor die toestel, en die gebruiker het met aangebied word hierdie regte en sê okay. Die probleem met dit is die gebruiker sê altyd goed. As 'n sekuriteit persoon, ek weet jy kan die gebruiker vra, sê iets baie sleg gaan gebeur, wil jy dit om te gebeur? En as hulle in 'n haas of daar is iets wat regtig aanloklike aan die ander kant van daardie, soos 'n spel gaan geïnstalleer word dat hulle gewag het, hulle gaan om te klik okay. Dit is waarom ek sê op my slide hier laat my net fling voëls by varke reeds en jy kan sien op die skyfie hier daar is voorbeelde van 'n BlackBerry toestemming boks. Dit sê: "Stel die BlackBerry Travel aansoek regte nadat dit op die knoppie hieronder "en basies die gebruiker is net gaan om te sê stel die regte en red. Hier is 'n Android vinnige waar dit wys dinge, en dit eintlik sit iets wat amper lyk soos 'n waarskuwing. Dit het 'n soort van toegeeteken daar gesê netwerk kommunikasie, oproep, maar die gebruiker gaan kliek installeer, reg? En dan is die Apple een is heeltemal onskadelik. Dit gee nie enige vorm van waarskuwing. Dis net Apple wil graag jou huidige ligging te gebruik. Natuurlik jy gaan kliek okay. Daar is hierdie fyn toestemming model, en programme het 'n manifes lêer waar hulle verklaar te hê die regte wat hulle nodig het, en dit sal vertoon te raak aan die gebruiker, en die gebruiker sal hê om te sê ek gee die regte. Maar laat ons eerlik wees. Gebruikers is net gaan om altyd okay sê. Kom ons neem 'n vinnige blik op die regte wat hierdie programme vra vir en 'n paar van die regte wat daar is. Hierdie maatskappy Praetorian het 'n opname verlede jaar van 53000 aansoeke ontleed in die Android mark en 3rd party markte, so dit is al Android. En die gemiddelde inligting versoek 3 regte. Sommige programme versoek 117 regte, so natuurlik hierdie is 'n baie fyn grein en weg te kompleks vir 'n gebruiker om te verstaan as hulle aangebied met hierdie inligting wat nodig het om hierdie 117 regte. Dit is soos die eindgebruiker lisensie-ooreenkoms dit is 45 bladsye lank. Miskien gou hulle sal 'n opsie waar dit is soos 'n die regte druk en stuur vir my 'n e-pos. Maar as jy kyk na 'n paar van die top interessante regte 24% van die programme wat hulle afgelaai het van die 53000 versoek GPS inligting uit die toestel. 8% lees die kontakte. 4% gestuur SMS, en 3% ontvang SMS. 2% aangeteken klank. 1% verwerk uitgaande oproepe. Ek weet nie. Ek dink nie 4% van die programme in die App Store regtig nodig sms-boodskappe te stuur, so ek dink dit is 'n aanduiding dat iets verdags aan die gang is. 8% van die programme moet jou kontakte lys te lees. Dit is waarskynlik nie nodig nie. Een van die ander interessante dinge oor regte is As jy 'n skakel in 'n gedeelde biblioteke in jou aansoek diegene erfgename van die regte van die aansoek, So as jou jeug moet die kontak lys of moet die GPS-plek om te funksioneer en jy 'n skakel in 'n advertensie-biblioteek, byvoorbeeld, dat die advertensie biblioteek sal ook in staat wees om die kontakte om toegang te verkry en ook in staat wees om toegang tot die GPS-plek, en die ontwikkelaar van die jeug weet niks van die kode wat hardloop in die advertensie biblioteek. Hulle is maar net 'n skakel wat in, want hulle wil hul jeug om geld te verdien. Dit is waar-en ek sal praat oor 'n paar voorbeelde van hierdie met 'n aansoek genoem Pandora waar 'n aansoek ontwikkelaar dalk onwetend lek word inligting van hul gebruikers as gevolg van biblioteke hulle verbind het in Oorsig van die landskap daar buite, kyk na al die verskillende programme wat aangemeld is in die nuus as kwaadwillige of om iets te doen gebruikers nie wil en dan inspekteer 'n baie van die programme-ons doen 'n baie statiese binêre analise op mobiele apps, so ons het hulle geïnspekteer en kyk na die kode self- ons het met wat ons ons top 10 lys van riskante gedrag in aansoeke. En dit is afgebreek in 2 afdelings, kwaadwillige kode, so dit is slegte dinge dat die programme kan doen wat is waarskynlik iets wat 'n kwaadwillige individu te wees spesifiek sit in die aansoek nie, maar dit is 'n bietjie vaag. Dit kan iets wees wat 'n ontwikkelaar dink is goed wees, maar dit eindig word beskou as kwaadwillige deur die gebruiker. En dan is die tweede deel is wat ons noem kodering probleme, en dit is dinge waar die ontwikkelaar basies is die maak van foute of net nie verstaan ​​hoe die jeug om veilig te skryf,  en dit is om die jeug gebruiker in gevaar. Ek gaan om te gaan deur middel van hierdie in detail en gee 'n paar voorbeelde. Vir verwysing, ek wou sit die OWASP mobiele top 10 lys. Dit is die 10 kwessies wat 'n groep by OWASP, die Open Web Aansoek Security Project, hulle het 'n werkgroep werk op 'n mobiele top 10 lys. Hulle het 'n baie bekende web top 10 lys, wat is die top 10 gevaarlikste dinge wat jy kan hê in 'n web aansoek. Hulle doen dieselfde ding vir mobiele, en die lys is 'n bietjie anders as ons s'n. 6 uit die 10 is dieselfde. Hulle het 4 wat anders is. Ek dink hulle het 'n bietjie van 'n ander neem op risiko in mobiele programme waar 'n baie van hul probleme regtig hoe om die aansoek te kommunikeer aan 'n back-end-bediener of wat gaan aan op die back-end-bediener, nie soseer programme wat riskante gedrag wat net eenvoudig kliënt programme. Die mense in die rooi hier is die verskille tussen die 2 lys. En 'n paar van my navorsing-span het eintlik bygedra tot die projek, so ons sal sien wat gebeur met verloop van tyd, maar ek dink die afhaal hier is Ons weet nie regtig wat die top-10-lys is in mobiele programme, omdat hulle het eintlik net is om vir 2 of 3 jaar nou, en daar is nie genoeg tyd om werklik ondersoek die bedryfstelsel en wat hulle in staat is, en daar is nie genoeg tyd vir die kwaadwillige gemeenskap, as jy wil, genoeg tyd bestee het probeer om gebruikers aan te val deur middel van mobiele apps, so ek verwag dat hierdie lyste 'n bietjie te verander. Maar vir nou, hierdie is die top 10 dinge om te bekommer nie. Jy mag dalk wonder oor die mobiele kant waar kom die kwaadwillige mobiele kode- hoe dit kry op die toestel? Noord-Carolina State het 'n projek genaamd die Mobile Malware Genome Project waar hulle versamel soveel mobiele malware as hulle kan en dit te ontleed, en hulle het afgebreek inspuiting vektore dat die mobiele malware gebruik, en 86% gebruik 'n tegniek genoem herverpakking, En dit is net op die Android-platform kan jy regtig hierdie herverpakking. Die rede is Android-kode is gebou met 'n Java-kode byte genoem Dalvik wat maklik decompilable. Wat die slegte ou kan doen, is om neem 'n Android-aansoek, afbreek nie, voeg hul kwaadwillige kode, heropstel dit, en dan sit dit in die app store voorgee om 'n nuwe weergawe van die aansoek om te wees, of net miskien die verandering van die naam van die aansoek. As dit was 'n soort van wild, die naam verander effens En so gaan dit herverpakking is hoe 86% van die mobiele malware kry versprei. Daar is nog 'n tegniek genoem update wat baie soortgelyk aan herverpakking, maar jy eintlik nie sit die kwaadwillige kode in Wat jy doen is jy sit in 'n klein update meganisme. Jy afbreek, jy sit in 'n update meganisme, en jy dit heropstel, en dan wanneer die jeug aktief is dit trek af in die malware op die toestel. By verre die meerderheid is die 2 tegnieke. Daar is nie regtig veel aflaai drive-gangers of ry-deur afgelaai op selfone, wat kan wees soos 'n phishing-aanval. Hey, check hierdie baie cool website, of jy moet gaan na die webwerf en vul die vorm in te hou voort om iets te doen. Diegene is phishing-aanvalle. Dieselfde kan gebeur op die selfoon-platform waar hulle verwys na 'n foon te laai, sê: "Hi, dit is die Bank van Amerika." "Ons sien jy die gebruik van hierdie aansoek." "Jy moet dit ander aansoek af te laai." Teoreties, kan dit werk. Miskien is dit net nie genoeg sal wees nie gebruik word om te bepaal of dit suksesvol was of nie, maar hulle het bevind dat minder as 1% van die tyd wat tegniek gebruik word. Die meerderheid van die tyd wat dit is regtig 'n herverpakte kode. Daar is 'n ander kategorie genoem selfstandige waar iemand net bou 'n splinternuwe program. Hulle bou 'n aansoek wat voorgee om iets te wees. Dit is nie 'n herverpakking van iets anders, en dit het die kwaadwillige kode. Wat gebruik word om 14% van die tyd. Nou wil ek om te praat oor wat die kwaadwillige kode te doen? Een van die eerste malware daar buite jy kan 'n spyware oorweeg. Dit spioene basies op die gebruiker. Dit versamel e-pos, SMS-boodskappe. Dit blyk op die mikrofoon. Dit oes die kontak boek, en dit stuur dit aan iemand anders. Hierdie tipe van spyware bestaan ​​op die rekenaar, so maak dit perfekte sin vir mense om te probeer om dit te doen op mobiele toestelle. Een van die eerste voorbeelde van hierdie was 'n program met die naam Secret SMS Replicator. Dit was in die Android Marketplace 'n paar jaar gelede, en die idee was om as jy toegang gehad het tot iemand se Android-selfoon wat jy wou om te spioeneer op, so miskien is dit jou eggenoot of jou beduidende ander, en jy wil om te spioeneer op hul sms, jy kan hierdie inligting af te laai en installeer dit en stel dit 'n sms-boodskap te stuur na jou met 'n afskrif elke sms wat hulle gekry het. Dit is natuurlik in die skending van die app store terme van die diens, en dit is verwyder van die Android Marketplace binne 18 uur van dit wat daar is, so 'n baie klein aantal mense was in gevaar as gevolg van hierdie. Nou, ek dink as die program is iets wat dalk 'n bietjie minder uitdagende genoem soos Secret SMS Replicator is dit waarskynlik 'n baie beter sou gewerk het. Maar dit was soort van voor die hand liggend. Een van die dinge wat ons kan doen om te bepaal of programme het hierdie gedrag wat ons wil nie is die kode te inspekteer. Dit is eintlik baie maklik om te doen op Android, want ons kan afbreek van die programme. Op IOS kan jy 'n disassembler soos IDA Pro gebruik om te kyk wat Apis die jeug is die roeping en wat dit doen. Ons het ons eie binêre statiese ontleder vir ons kode en ons doen dit, en so wat jy kan doen is jy kan sê beteken die toestel enigiets wat basies spioenasie op my of my dop te doen? En ek het 'n paar voorbeelde hier op die iPhone. Die eerste voorbeeld is hoe die UUID op die telefoon om toegang te verkry. Dit is eintlik iets wat Apple het net verban vir nuwe aansoeke, Maar ou programme wat jy kan loop op jou selfoon kan nog steeds doen, en sodat unieke identifikasie kan gebruik word om jou op te spoor oor baie verskillende programme. Op die Android, ek het hier 'n voorbeeld om die toestel se plek. Jy kan sien dat as dit API oproep is daar dat inligting is die dop, en jy kan sien of dit is om fyn plek of growwe plek. En dan op die bodem hier, ek het 'n voorbeeld van hoe om op die BlackBerry 'n aansoek kan toegang tot die e-pos boodskappe in jou posbus. Dit is die soort van dinge wat jy kan inspekteer om te sien As die jeug doen daardie dinge. Die tweede groot kategorie van kwaadwillige optrede, en dit is waarskynlik die grootste kategorie nou, is ongemagtigde skakelkode, ongemagtigde premium SMS teks boodskappe of ongemagtigde betalings. Nog 'n ding wat uniek is oor die telefoon word die toestel is verslaaf aan 'n faktuur rekening En toe aktiwiteite gebeur op die selfoon Dit koste kan skep. Jy kan dinge koop oor die telefoon, en as jy 'n premie sms jy eintlik die gee van geld na die rekening houer van die telefoon nommer op die ander kant. Hierdie is die opstel van voorraad kwotasies te kry of kry jou daaglikse horoscoop of ander dinge, maar hulle kan ingestel word om 'n produk te bestel deur die stuur van 'n sms. Mense gee geld aan die Rooi Kruis deur die stuur van 'n SMS-boodskap. Jy kan gee $ 10 op die manier. Die aanvallers, wat hulle gedoen het, is hulle die opstel rekeninge in die buiteland, en hulle sluit in die malware dat die telefoon sal 'n premie sms-boodskap stuur, sê, 'n paar keer 'n dag, en aan die einde van die maand wat jy besef jy het spandeer tien of miskien selfs honderde dollars, en hulle loop weg met die geld. Dit het so erg dat dit die heel eerste ding wat die Android Mark of die Google-plek was dit die Android Marketplace op die oomblik, en dit is nou Google Play-die eerste ding wat Google begin nagaan vir. Wanneer Google begin die verspreiding van Android-programme in hul App Store hulle het gesê hulle is nie van plan om te kyk vir iets nie. Ons sal trek programme keer het ons in kennis gestel hulle ons terme van die diens het gebreek, maar ons gaan nie om te kyk vir iets nie. Wel, sowat 'n jaar gelede het dit so sleg met hierdie premie sms malware dit is die heel eerste ding wat hulle begin nagaan vir. As 'n jeug sms-boodskappe stuur hulle verder met die hand bestudeer wat aansoek. Hulle kyk vir die APIs wat noem dit, en nou is sedertdien Google het uitgebrei, maar dit was die eerste ding wat hulle begin soek. Sommige ander programme wat het 'n paar sms-boodskappe, hierdie Android Qicsomos, ek dink dit is genoem. Daar was hierdie huidige geval op die selfoon waar hierdie CarrierIQ uitgekom as spyware op die toestel deur die draers, sodat mense wou weet of sy selfoon was kwesbaar vir hierdie, en dit was 'n gratis artikels wat getoets nie. Wel, natuurlik, wat hierdie inligting gedoen het, was dit gestuur premie sms-boodskappe, so deur die toets om te sien of jy besmet is met spyware jy gelaai malware op jou toestel. Ons het dieselfde ding gebeur in die laaste Super Bowl. Daar was 'n valse weergawe van die Madden sokker wedstryd wat gestuur premium SMS teks boodskappe. Dit is eintlik probeer om 'n bot netwerk te skep op die toestel. Hier het ek 'n paar voorbeelde. Interessant genoeg, Apple was redelik slim, en hulle nie toelaat dat aansoeke sms-boodskappe op alle te stuur. Geen inligting kan dit doen. Dit is 'n goeie manier om ontslae te raak van 'n hele klas van kwesbaarheid, maar op Android kan jy dit doen, en natuurlik, op 'n BlackBerry kan jy dit ook doen. Dit is interessant dat op die BlackBerry al wat jy nodig het, is die internet regte 'n sms-boodskap te stuur. Die ander ding regtig dat ons kyk vir wanneer ons soek om te sien of daar iets is kwaadwillige is net 'n soort ongemagtigde netwerk aktiwiteit, soos kyk na die netwerk aktiwiteit die jeug is veronderstel om te hê om sy funksies te hê, en kyk na hierdie ander netwerk aktiwiteit. Miskien is 'n app, om te werk, het data oor HTTP te kry, Maar as dit om dinge te doen via e-pos of SMS of Bluetooth of iets soos dit nou dat inligting kan potensieel skadelike wees, so dit is 'n ander ding wat jy kan inspekteer vir. En op hierdie skyfie hier Ek het 'n paar voorbeelde van wat. Nog 'n interessante ding wat ons gesien het met malware gebeur terug in 2009, en dit gebeur het in 'n groot manier. Ek weet nie of dit so baie gebeur het sedertdien, maar dit was 'n artikels wat hom uit 'n ander program. Daar was 'n stel van die programme, en dit is genoem die 09Droid aanval, en iemand het besluit dat daar 'n baie klein, streeks-, musiek-grootte banke wat nie 'online bank aansoeke, So wat hulle gedoen het, was hulle sowat 50 aanlyn bank aansoeke gebou dat alles wat hulle gedoen het, was die gebruiker naam en wagwoord en lei jou na die webwerf. En so het hulle dit al in die Google Marketplace, in die Android mark, en wanneer iemand gesoek om te sien of hul bank het 'n aansoek sou hulle die valse aansoek vind, wat hul geloofsbriewe versamel en dan herlei hulle na hul webwerf. Die manier waarop dit werklik geword het-die programme was daar vir 'n paar weke, en daar was duisende afgelaai. Die manier om dit aan die lig gekom het iemand 'n probleem met een van die programme, en hulle het hul bank, en hulle het hul bank se kliënte ondersteuning lyn en gesê: "Ek het 'n probleem met jou mobiele bank aansoek." "Kan jy my help om uit?" En hulle het gesê: "Ons het nie 'n mobiele bank aansoek doen." Wat begin met die ondersoek. Dat die bank genoem Google, en dan Google gekyk en gesê: "Sjoe, dieselfde outeur geskryf het 50 bank aansoeke," en het hulle almal af. Maar seker dit kan weer gebeur nie. Daar is die lys van al die verskillende banke hier wat deel was van hierdie bedrogspul. Die ander ding wat 'n app kan doen, is die oomblik is die UI van 'n ander program. Terwyl dit is wat uitgevoer kan dit pop-up die Facebook UI. Dit sê jy hoef te sit in jou gebruiker naam en wagwoord om voort te gaan of sit 'n gebruiker naam en wagwoord UI vir 'n webwerf dat miskien die gebruiker gebruik net om te probeer om die gebruiker te flous in om hul geloofsbriewe in Dit is regtig 'n reguit parallel van die e-pos phishing-aanvalle waar iemand wat jy stuur 'n e-pos en gee jou basies 'n valse UI vir 'n webwerf dat jy toegang het. Die ander ding wat ons sien in 'n kwaadwillige kode is stelsel verander. Jy kan kyk vir al die API oproepe wat vereis dat die wortel voorreg korrek uit te voer. Die verandering van die toestel se web proxy sal iets wat 'n aansoek in moet nie in staat wees om te doen. Maar as die aansoek het kode daar om dit te doen jy weet dat dit waarskynlik 'n kwaadwillige aansoek of baie hoogs waarskynlik 'n kwaadwillige aansoek te wees, En ja, wat sal gebeur, is dat inligting sal een of ander manier van stygende voorreg het. Dit sou 'n paar voorreg eskalasie ontgin in die aansoek, en dan wanneer dit toegeneem voorregte dit hierdie stelsel veranderinge sou doen. Jy kan malware wat voorreg eskalasie vind in dit selfs sonder om te weet hoe om die voorreg eskalasie ontgin gaan gebeur, en dit is 'n lekker, maklike manier om te kyk vir malware. DroidDream was waarskynlik die mees bekende stuk Android malware. Ek dink dit geraak oor 250,000 gebruikers oor 'n paar dae voordat dit gevind is. Hulle herverpak 50 valse aansoeke, sit hulle in die Android App Store, en in wese is dit gebruik Android jailbreak kode voorregte te styg en dan installeer 'n bevel en beheer en draai al die slagoffers in 'n bot net, maar jy kan opgespoor het hierdie As jy die skandering van die aansoek en net op soek na API oproepe wat vereis wortel toestemming korrek uit te voer. En daar is 'n voorbeeld hier Ek het wat besig is om die volmag, en dit is eintlik net beskikbaar is op die Android. Jy kan sien ek gee jou 'n baie voorbeelde op Android want dit is waar die mees aktiewe malware ekosisteem is want dit is baie maklik vir 'n aanvaller kwaadwillige kode te kry in die Android Marketplace. Dit is nie so maklik om dit te doen in die Apple App Store omdat Apple vereis ontwikkelaars om hulself te identifiseer en teken die kode. Hulle het eintlik kyk wie jy is, en Apple is eintlik onder die loep die aansoeke. Ons sien nie 'n baie van die ware malware waar die toestel is om die gedrang kom. Ek sal praat oor 'n paar voorbeelde waar dit is regtig privaatheid wat is om in die gedrang, en dit is wat regtig gebeur op die Apple-toestel. Nog 'n ding om te kyk vir kwaadwillige kode, riskante kode in toestelle is logika of tyd bomme, en tyd bomme is waarskynlik veel makliker om te kyk vir as logika bomme. Maar met die tyd bomme, wat jy kan doen is dat jy kan kyk vir plekke in die kode waar die tyd getoets word of 'n absolute tyd het vir voordat sekere funksies in die jeug gebeur. En dit gedoen kan word dat die aktiwiteit om weg te steek van die gebruiker, sodat dit laat gebeur in die nag. DroidDream het al sy aktiwiteite 11:00-08:00 plaaslike tyd om te probeer om dit te doen, terwyl die gebruiker kan nie gebruik word om hul toestel. Nog 'n rede om dit te doen, is as mense is met behulp van gedrags-analise van 'n aansoek, loop van die jeug in 'n sandput om te sien wat die gedrag van die aansoek is, hulle kan die tyd-gebaseerde logika gebruik om die aktiwiteit te doen wanneer die jeug is nie in die sandbox. Byvoorbeeld, 'n app store soos Apple loop die aansoek nie, maar dat hulle waarskynlik nie elke aansoek om te hardloop nie, sê, 30 dae voor die goedkeuring daarvan, sodat jy kan sit logika in jou aansoek wat gesê het, okay, net die slegte ding doen na 30 dae het verby gegaan of na 30 dae na die publiseer datum van die aansoek, en wat kan help om die kwaadwillige kode versteek van mense te inspekteer vir dit. As anti-virus maatskappye loop dinge in zandbakken of die artikels winkels self kan help verberg dat van daardie inspeksie. Nou, die ander kant van wat dit is maklik om te vind met statiese analise, so eintlik die inspeksie van die kode wat jy kan kyk vir al die plekke waar die aansoek toets van die tyd en inspekteer op die manier. En hier het ek 'n paar voorbeelde op hierdie 3 verskillende platforms hoe om tyd vir kan gekontroleer word deur die jeug outeur sodat jy weet wat om te kyk vir as jy inspekteer die jeug staties. Ek het net gegaan deur 'n hele klomp van verskillende kwaadwillige aktiwiteite wat ons gesien het in die natuur nie, maar watter is die mees algemene? Dieselfde studie van Noord-Carolina State Mobile Genome Project gepubliseer sommige data, en daar was basies 4 areas wat hulle gesien het, waar daar was 'n baie van die aktiwiteit. 37% van die programme het voorreg eskalasie, sodat hulle het 'n soort van jailbreak kode in daar waar hulle probeer voorregte te styg sodat hulle kon nie API opdragte wel soos die bedryfstelsel. 45% van die programme daar buite het premium SMS, so dit is 'n groot persentasie wat probeer om direk geld te verdien. 93% het remote control, sodat hulle probeer om 'n bot net, 'n mobiele bot net. En 45% geoes identifisering van inligting soos telefoonnommers, UUIDs, GPS-plek, die gebruiker rekeninge, en dit dra by tot meer as 100, want die meeste malware probeer om 'n paar van hierdie dinge te doen. Ek gaan oor te skakel na die tweede helfte en praat oor die kode probleme. Dit is die tweede helfte van die riskante aktiwiteit. Dit is waar in wese die ontwikkelaar maak foute. 'N wettige ontwikkelaar skryf van 'n wettige inligting maak foute of onkundig is van die risiko's van die mobiele platform. Hulle het net nie weet hoe om 'n veilige foon te maak, of soms die ontwikkelaar nie omgee om die gebruiker in gevaar. Soms deel van hul besigheid model kan wees die oes van die gebruiker se persoonlike inligting. Dit is soort van die ander kategorie, en dit is die rede waarom sommige van hierdie kwaadwillige versus wettige begin bloei oor, want daar is verskil van mening tussen wat die gebruiker wil hê en wat die gebruiker riskante mening en wat die program ontwikkelaar van mening riskant. Natuurlik, dit is nie die aansoek ontwikkelaar se data in die meeste gevalle. En dan uiteindelik, 'n ander manier dit gebeur is 'n ontwikkelaar kan skakel in 'n gedeelde biblioteek wat probleme of hierdie riskante gedrag in dit Unbeknownst aan hulle. Die eerste kategorie is sensitiewe data lekkasie, en dit is wanneer die jeug versamel inligting soos plek, adres boek inligting, eienaar inligting en stuur dat die toestel af. En as dit is die toestel af, ons weet nie wat gebeur met daardie inligting. Dit kan nie beskerm word deur die program ontwikkelaar. Ons het gesien dat die aansoek ontwikkelaars te raak in die gedrang, en die data wat hulle kry stoor geneem. Dit het gebeur 'n paar maande gelede aan 'n ontwikkelaar in Florida waar 'n groot aantal nie-dit was iPad UUIDs en toestel name uitgelek omdat iemand, ek dink dit is anoniem, beweer om dit te doen, het in hierdie ontwikkelaar se servers en miljoene iPad UUIDs gesteel en rekenaar name. Nie die mees riskante inligting Maar wat as dit was die berging van gebruikers name en wagwoorde en die huis adresse? Daar is baie van die programme wat slaan dat die soort van inligting. Die risiko is daar. Die ander ding wat kan gebeur, is as die ontwikkelaar nie sorg die data-kanaal te verseker, en dit is nog 'n groot kwesbaarheid ek gaan om te praat oor, dat data gestuur word in die helder. As die gebruiker is op 'n openbare Wi-Fi netwerk of iemand snuif die internet iewers langs die pad wat data blootgestel word. Een baie bekende geval van hierdie inligting lekkasie gebeur met Pandora, en dit is iets wat ons nagevors by Veracode. Ons het gehoor dat daar 'n-ek dink dit was 'n Federal Trade Commission ondersoek aan die gang met Pandora. Ons het gesê, "Wat gaan daar aan? Kom ons begin grawe in die Pandora aansoek." En wat ons bepaal was die Pandora aansoek ingesamel jou geslag en ouderdom, en dit het ook toegang tot jou GPS-plek, en die Pandora aansoek het dit vir wat hulle gesê het, was geldige redes. Die musiek wat hulle speel-Pandora is 'n musiek streaming app- die musiek wat hulle gespeel het slegs gelisensieer in die Verenigde State van Amerika, sodat hulle het om te kyk om te voldoen aan hul lisensie-ooreenkomste wat hulle moes vir die musiek wat die gebruiker in die Verenigde State. Hulle wou ook om te voldoen aan die ouers adviserende om volwasse taal in musiek, en dus is dit 'n vrywillige program, maar hulle wou om te voldoen aan wat en nie eksplisiete lirieke speel kinders 13 en onder. Hulle het geldige redes vir die insameling van hierdie inligting. Hul program het die regte om dit te doen. Gebruikers het gedink dit was reg. Maar wat gebeur? Hulle gekoppel in 3 of 4 verskillende advertensie biblioteke. Nou het al van 'n skielike al hierdie advertensie biblioteke kry toegang tot dieselfde inligting. Die advertensie biblioteke, as jy kyk na die kode in die advertensie biblioteke wat hulle doen, is om elke advertensie biblioteek sê "Maak my jeug het toestemming GPS-plek te kry?" "Ag, dit maak? Goed, vertel my die GPS-plek." Elke enkele advertensie biblioteek dit doen, en as die inligting nie GPS toestemming dit sal nie in staat wees om dit te kry, maar as dit gebeur, sal dit dit kry. Dit is waar die besigheid model van die advertensie biblioteke is gekant teen die privaatheid van die gebruiker. En daar is studies daar buite wat sal sê as jy weet die ouderdom van 'n persoon en jy weet hul plek waar hulle slaap in die nag, want jy het hul GPS koördinate terwyl hulle dalk aan die slaap, jy weet presies wie die persoon is want jy kan bepaal watter lid van die huishouding is daardie persoon. Regtig dit is die identifisering vir adverteerders presies wie jy is, en dit lyk soos dit was wettig. Ek wil net my streaming musiek, en dit is die enigste manier om dit te kry. Wel, ons blootgestel nie. Ons het hierdie in 'n paar blog boodskappe, en dit blyk dat iemand van Rolling Stone tydskrif lees een van ons blog en skryf hul eie blog in Rolling Stone oor dit, en die volgende dag Pandora het gedink dit was 'n goeie idee die advertensie biblioteke van hul aansoek te verwyder. Sover ek weet hulle is die enigste nie-hulle geprys moet word. Ek dink hulle is die enigste freemium tipe artikels wat dit gedoen het nie. Al die ander freemium programme het dieselfde gedrag, sodat jy het om te dink oor watter soort data wat jy gee hierdie freemium aansoeke, want dit is al wat gaan vir adverteerders. Praetorian het ook 'n studie oor die gedeelde biblioteke en gesê: "Kom ons kyk wat gedeel biblioteke die top gedeel biblioteke," en dit was die data. Hulle ontleed 53000 apps, en die nommer 1 van gedeelde biblioteek was Admob. Dit was eintlik in 38% van die aansoeke wat daar is, so 38% van die aansoeke wat jy gebruik is waarskynlik die oes van jou persoonlike inligting en stuur dit na die advertensie netwerke. Apache en Android was 8% en 6%, en dan die ander kinders af aan die onderkant, Google-advertensies, gejaagd, Mob City en Millennium Media, dit is al ad maatskappye, en dan, interessant genoeg, 4% gekoppel in die Facebook-biblioteek waarskynlik verifikasie te doen deur middel van Facebook sodat die jeug kan kontroleer die Facebook. Maar dit beteken ook dat die korporasie Facebook beheer kode wat hardloop in 4% van die Android mobiele apps daar buite, en hulle het toegang tot al die data dat inligting het om toestemming te kry by. Facebook probeer wese advertensie spasie te verkoop. Dit is hul sake-model. As jy kyk na hierdie hele ekosisteem met hierdie regte en gedeelde biblioteke jy begin om te sien dat jy het 'n baie risiko in 'n sogenaamde wettige aansoek. Dieselfde soortgelyke ding wat gebeur het met Pandora gebeur met 'n aansoek genoem pad, en Pad gedink hulle was nuttig, vriendelike ontwikkelaars. Hulle is net probeer om te gee jy 'n groot gebruikers ervaring, en dit blyk dat sonder om te vra die gebruiker of die vertel van die gebruiker enigiets- en dit gebeur op die iPhone en Android, die Pandora app op iPhone en Android- dat die pad aansoek gryp jou hele adresboek en dit oplaai na pad net wanneer jy geïnstalleer en hardloop die aansoek, en hulle het nie vertel oor hierdie. Hulle het gedink dit was regtig nuttig vir jou in staat wees om met al die mense in jou adresboek om te deel dat jy met behulp van die pad aansoek. Wel, natuurlik pad het gedink dit was 'n groot vir die maatskappy. Nie so groot aan die gebruiker. Jy het om te dink dat dit is een ding as miskien 'n tiener die gebruik van hierdie aansoek en hul dosyne vriende is daar, Maar wat as dit is die hoof uitvoerende beampte van 'n maatskappy wat Pad installeer en dan is almal van 'n skielike hulle hele adres boek is daar? Jy gaan 'n baie potensieel waardevolle kontak inligting te kry vir 'n klomp mense. 'N verslaggewer van die New York Times, kan jy in staat wees om die telefoon nommer te kry vir oud-presidente van hul adres boek, so natuurlik 'n baie sensitiewe inligting word oorgedra met iets soos hierdie. Daar was so 'n groot flap oor hierdie dat die pad om verskoning gevra. Hulle het hul jeug, en dit het selfs 'n impak Apple. Apple het gesê: "Ons gaan inligting verskaffers te dwing om gebruikers te vinnig As hulle gaan hul hele adresboek in te samel. " Dit lyk soos wat hier gebeur is wanneer daar 'n groot privaatheid skending en dit maak die pers sien ons 'n verandering wat daar is. Maar natuurlik, daar is ander dinge wat daar is. Die LinkedIn aansoek oes jou kalender inskrywings, maar Apple maak nie die gebruiker gevra word oor wat. Kalender inskrywings kan sensitiewe inligting in hulle te maak. Waar gaan jy die lyn te trek? Dit is regtig soort van 'n ontwikkelende plek waar daar is regtig nie 'n goeie standaard daar buite vir die gebruikers te verstaan ​​wanneer hulle inligting gaan wees op die risiko en toe hulle gaan om te weet dit is wat geneem word. Ons het 'n app op Veracode genoem Adios, en in wese is dit toegelaat dat jy die jeug om te wys op jou iTunes gids en kyk na al die aansoeke wat die oes van jou volledige adres boek. En soos jy kan sien op die lys hier, kwaad voëls, AIM, AroundMe. Hoekom is kwaad voëls nodig het om jou adres boek? Ek weet nie, maar dit een of ander manier. Dit is iets wat baie, baie aansoeke doen. Jy kan die kode inspekteer vir hierdie. Daar is goed gedefinieer API vir iPhone, Android en BlackBerry te kry by die adres boek. Jy kan regtig maklik inspekteer vir hierdie, en dit is wat ons gedoen het in ons Adios aansoek. Die volgende kategorie, onveilige sensitiewe data stoor, is iets waar ontwikkelaars neem iets soos 'n pen of 'n rekening nommer of 'n wagwoord en stoor dit in die helder op die toestel. Erger nog, hulle kan dit in 'n gebied stoor op die telefoon wat is wêreldwyd toeganklik is, soos die SD kaart. Jy sien dit meer dikwels op Android omdat Android maak voorsiening vir 'n SD kaart. IPhone toestelle nie. Maar ons het dit selfs gebeur in 'n CitiGroup aansoek. Hulle aanlyn bank aansoek gestoor die rekening nommers onveilig, net in die helder, so as jy jou toestel verloor, wese jy verloor jou bankrekening. Dit is waarom ek persoonlik nie doen nie bank op my iPhone. Ek dink dit is te riskant nou hierdie soort van aktiwiteite te doen. Skype het dieselfde ding. Skype, natuurlik, het 'n rekening balans, 'n gebruiker naam en wagwoord dat toegang wat balans. Hulle is die stoor van al die inligting in die helder op die mobiele toestel. Ek het 'n paar voorbeelde hier van die skep van lêers wat nie oor die nodige regte of skryf aan skyf en nie enige enkripsie gebeur vir daardie. Hierdie volgende gebied, onveilige sensitiewe data-oordrag, Ek het verwys na 'n paar keer, en as gevolg van openbare Wi-Fi dit is iets wat apps absoluut nodig het om te doen nie, en dit is waarskynlik wat ons sien verkeerd gaan die meeste. Ek sou sê-eintlik, ek dink ek het die werklike data, maar dit is naby aan die helfte van die mobiele programme skroef doen SSL. Hulle het net nie die APIs korrek te gebruik nie. Ek bedoel, al wat jy het om te doen is soos volg die instruksies en gebruik die API's, maar hulle het nie dinge soos nie te kyk of daar 'n ongeldige sertifikaat aan die ander kant, nie seker of die ander kant is probeer om 'n protokol te skaal aanval te doen. Die ontwikkelaars, hulle wil hulle boks te kry, reg? Hul vereiste is om dit te gebruik om te verkoop. Hulle het gebruik om dit te verkoop. Die vereiste is nie om dit te gebruik om veilig te verkoop, en so dit is die rede waarom alle aansoeke wat gebruik SSL data te beveilig as dit is wat oorgedra uit die toestel werklik geïnspekteer moet word om seker te maak dat die korrek geïmplementeer maak. En hier het ek 'n paar voorbeelde waar jy kan 'n aansoek te sien kan gebruik word HTTP in plaas van HTTPS. In sommige gevalle is programme sal val terug na HTTP As die HTTPS is nie werk nie. Ek het nog 'n oproep hier op Android waar hulle die sertifikaat tjek het afgeskakel, so 'n man-in-die-middel aanval kan gebeur. 'N ongeldige sertifikaat sal aanvaar word nie. Dit is al die gevalle waar die aanvallers gaan in staat wees om te kry op dieselfde Wi-Fi-verbinding as die gebruiker en toegang tot al die data dit is wat gestuur word oor die internet. En uiteindelik, die laaste kategorie Ek het hier is gekodeer wagwoord en sleutels. Ons het eintlik sien 'n baie ontwikkelaars gebruik dieselfde kodering styl wat hulle gedoen het toe hulle die bou van web bediener aansoeke, sodat hulle die bou van 'n Java-bediener aansoek, en hulle het die sleutel is hardcoding. Wel, as jy 'n program te bou, ja, hardcoding die sleutel is nie 'n goeie idee. Dit maak dit moeilik om te verander. Maar dit is nie so erg op die bediener kant, want wat toegang tot die bediener kant het? Slegs die administrateurs. Maar as jy dieselfde kode is en jy gooi dit oor na 'n mobiele aansoek Nou almal wat daardie mobiele program het toegang tot daardie gekodeer sleutel, en ons eintlik sien hierdie 'n baie keer, en ek het 'n paar statistieke van hoe dikwels sien ons dit gebeur nie. Dit was eintlik in voorbeeld kode wat MasterCard gepubliseer oor hoe om hulle te gebruik nie. Die voorbeeld kode gewys hoe jy net die wagwoord sal neem en sit dit in 'n gekodeer string net daar, en ons weet hoe ontwikkelaars lief stukkies kode te kopieer en plak wanneer hulle probeer om iets te doen, sodat jy kopieer en plak die kode uit dat hulle gegee het as 'n voorbeeld kode, en jy het 'n onveilige aansoek. En hier het ons 'n paar voorbeelde. Die eerste een is die een wat ons sien 'n baie waar hulle hardcode die data reg in 'n URL wat gestuur kry. Soms sien ons string wagwoord = die wagwoord. Dit is redelik maklik om op te spoor, of string wagwoord op BlackBerry en Android. Dit is eintlik redelik maklik om te kyk vir nie omdat byna altyd die ontwikkelaar name die veranderlike wat is die hou van die wagwoord 'n variasie van die wagwoord. Ek het genoem dat ons doen statiese analise op Veracode, so ons het 'n paar honderd ontleed Android en IOS aansoeke. Ons het volle modelle van hulle gebou het, en ons is in staat om hulle te scan vir verskillende probleme, veral die probleme wat ek praat, en ek het 'n paar data hier. 68,5% van die Android-programme het ons gekyk na het kriptografiese kode gebreek, wat vir ons is, kan ons nie vra as jy jou eie crypto roetine, Nie dat dit 'n goeie idee, maar dit is eintlik die gebruik van die gepubliseerde APIs wat op die platform, maar hulle doen dit op so 'n manier dat die crypto kwesbaar sou wees, 68.5. En dit is vir mense wat die stuur van hul aansoeke eintlik omdat hulle dink dis 'n goeie idee om veiligheid toets te doen. Dit is reeds mense wat waarskynlik veilig te dink, so dit is waarskynlik nog erger. Ek het nie gepraat oor die beheer lyn voer inspuiting. Dit is iets wat ons seker nie, maar dit is nie so riskant 'n probleem. Inligting lekkasie, dit is waar sensitiewe data wat gestuur word uit die toestel. Ons het gevind dat in 40% van die aansoeke. Tyd en die staat, dit is ras toestand tipe kwessies, tipies baie moeilik om te ontgin, so ek het nie daaroor praat, maar ons kyk na dit. 23% het SQL-inspuiting kwessies. Baie mense weet nie dat baie van die aansoeke Gebruik 'n klein bietjie SQL databasis op hul rug einde data te stoor. Wel, as die data wat jy gryp oor die netwerk het SQL-inspuiting aanval snare in dit iemand kan die toestel in gevaar deur daardie, en so ek dink ons ​​kry sowat 40% van die web programme het hierdie probleem, wat is 'n groot epidemie probleem. Ons vind dit 23% van die tyd in mobiele programme en dit is waarskynlik omdat baie meer web programme gebruik SQL as selfoon. En dan sien ons nog 'n paar kruis-site scripting, magtiging kwessies, en dan diploma bestuur, dit is waar jy jou gekodeer wagwoord. In 5% van die aansoeke sien ons dat. En dan het ons het 'n paar data op IOS. 81% het fout hantering kwessies. Dit is meer van 'n kode kwaliteit probleem, maar 67% het kriptografiese kwessies, so nie heeltemal so erg soos Android. Miskien is die APIs is 'n bietjie makliker te maak, die voorbeeld kode 'n bietjie beter op IOS. Maar nog steeds 'n baie hoë persentasie. Ons het 54% van inligting lekkasie, ongeveer 30% met buffer bestuur foute. Dit is plekke waar daar potensieel 'n geheue korrupsie kwessie kan wees. Dit blyk dat dit is nie so veel van 'n probleem vir die uitbuiting op IOS, omdat al die kode moet onderteken word, so dit is moeilik vir 'n aanvaller arbitrêre kode uit te voer op IOS. Gehalte-kode, gids traversal, maar dan geloofsbriewe bestuur hier by 14,6%, so erger as op die Android. Ons het mense nie wagwoorde korrek hanteer word. En dan is die numeriese foute en buffer oorloop, diegene is meer gaan code kwaliteit kwessies op IOS te wees. Dit was dit vir my aanbieding. Ek weet nie of ons is uit van die tyd of nie. Ek weet nie of daar enige vrae. [Man] 'n vinnige vraag rondom die versnippering en die Android mark. Apple ten minste besit lap. Hulle doen 'n goeie werk om dit daar buite, terwyl minder so in die Android ruimte. Jy moet byna jou selfoon te jailbreak te bly met die huidige weergawe van Android. Ja, dit is 'n groot probleem en so as jy dink oor- [Man] Hoekom kan jy dit nie herhaal? O, regs, so die vraag is wat oor die versnippering van die bedryfstelsel op die Android-platform? Hoe is dit invloed op die riskiness van dié toestelle? En dit is eintlik 'n groot probleem, want wat gebeur, is die ouer toestelle, wanneer iemand kom met 'n jailbreak vir daardie toestel, wese dis voorreg eskalasie, en tot op daardie bedryfstelsel is opgedateer enige malware kan dan gebruik om daardie kwesbaarheid heeltemal kompromie die toestel, en wat ons sien op die Android is om 'n nuwe bedryfstelsel te kry Google het om uit te sit die bedryfstelsel, en dan die hardeware vervaardiger het dit aan te pas, en dan is die draer het dit aan te pas en dit lewer. Jy het basies 3 bewegende dele hier, en dit draai uit dat die draers gee nie om nie, en die hardeware vervaardigers gee nie om nie, en Google is nie genoeg oefen om hulle om iets te doen, so in wese meer as die helfte van die toestelle daar buite 'bedryfstelsels wat hierdie voorreg eskalasie kwesbaarheid in hulle En so, as jy malware op jou Android-toestel dit is veel meer van 'n probleem. Goed, baie dankie. [Applous] [CS50.TV]