[Seminar] [Mbrojtja Behind Pajisjen: Mobile Application Security] [Chris Wysopal] [Universiteti i Harvardit] [Kjo është CS50.] [CS50.TV] Mirëdita. Emri im është Chris Wysopal. Unë jam CTO dhe bashkë-themelues i Veracode. Veracode është një kompani e sigurisë aplikim. Ne provuar të gjitha llojet e aplikimeve të ndryshme, dhe atë që unë jam do të flasim për sot është siguria e aplikimit celular. Prejardhja ime është që unë kam qenë duke bërë hulumtime të sigurisë për një kohë shumë të gjatë, ndoshta për aq kohë sa askush. I filluar në mes të viteve '90, dhe kjo ishte një kohë që ishte shumë interesante, sepse kemi pasur një ndryshim paradigmë në mes të viteve '90. Të gjitha të kompjuterin e të gjithëve papritur u përkulur deri në internet, dhe pastaj kemi pasur fillimet e aplikacioneve web, dhe kjo është ajo që unë u përqëndrua në një shumë më pas. Është interesante. Tani ne kemi një tjetër ndryshim paradigmë ndodh me informatikë, që është zhvendosje të aplikacioneve mobile. Ndjehem kjo është lloj i një kohe të ngjashme atëherë ajo ishte në fund të viteve '90 kur ne u hetuar aplikacioneve web dhe gjetjen e defekteve si Gabimet e menaxhimit sesion dhe SQL injeksion të cilat me të vërtetë nuk ka ekzistuar më parë, dhe të gjithë një e papritur ata ishin kudo në aplikimet web, dhe tani shumë herë të kam shpenzuar është në kërkim të aplikacioneve mobile dhe të shohin atë që po ndodh atje në të egra. Aplikacionet celularë janë me të vërtetë do të jetë platformë dominuese informatikë, kështu që ne me të vërtetë nevojë për të shpenzuar shumë kohë në qoftë se ju jeni në industrinë e sigurisë duke u fokusuar në aplikimet web. Ka qenë 29 miliardë Apps celular shkarkuar në vitin 2011. Është parashikuar që të jetë 76000000000 Apps deri në vitin 2014. Ka 686,000,000 pajisjet që do të blihen këtë vit, kështu që kjo është ajo ku njerëzit do të jetë bërë  shumica e tyre informatikë klientit duke shkuar përpara. Unë kam qenë duke folur me një zëvendëspresident në Investimet Fidelity dy muaj më parë, dhe ai tha se ata vetëm e pa më shumë trafik duke bërë transaksione financiare nga baza e tyre të konsumatorëve të aplikimit të tyre celular se sa në faqen e tyre, kështu që një përdorim i përbashkët për Web në të kaluarën ka qenë kontrolluar kuotat tuaj të aksioneve, menaxhimin e portofolit tuaj, dhe ne jemi në të vërtetë duke parë që në vitin 2012 kaloni mbi për të qenë më dominues në platformën celular. Sigurisht në qoftë se nuk do të jetë aktiviteti kriminal, ndonjë aktivitet me qëllim të keq, ajo do të fillojë të fokusohet në platformën celular me kalimin e kohës si njerëz të kaloni në lidhje me këtë. Nëse ju shikoni në platformën mobile, për të parë në rreziqet e platformës kjo është e dobishme për të thyer atë në shtresat e ndryshme, ashtu si ju do të bëni atë në një kompjuter desktop, dhe të jeni të kënaqur me shtresat e ndryshme, software, sistemit operativ, Shtresa e rrjetit, shtresa hardware, dhe natyrisht, nuk ka dobësi në të gjitha këto shtresa. E njëjta gjë ndodh në telefonin. Por celular, duket se disa nga këto shtresa janë më keq. Për një, shtresa e rrjetit është më problematike në mobil për shkak se shumë njerëz kanë në zyrën e tyre apo në shtëpi Wired lidhje apo ata kanë të sigurta Wi-Fi lidhje, dhe me një shumë të pajisjeve mobile që ju jeni të qartë jashtë shtëpisë ose jashtë zyrës shumë, dhe në qoftë se ju jeni duke përdorur Wi-Fi ka ju mund të jeni duke përdorur një lidhje të pasigurt Wi-Fi, diçka që është një lidhje Wi-Fi publik, kështu që kur mendojmë për Apps celular ne duhet të marrë në konsideratë se mjedisi rrjeti është me risk për ato aplikime kur Wi-Fi është duke u përdorur. Kur kam marrë në më shumë nga rreziqet celular aplikimit ju do të shihni se pse kjo është më e rëndësishme. Ka rreziqe në nivelin hardware në pajisje të lëvizshme. Kjo është një zonë e kërkimeve të vazhdueshme. Njerëzit e quajnë këto sulme broadband ose sulmet baseband ku ju jeni sulmuar firmware që është dëgjuar në radio. Këto janë me të vërtetë sulmet e frikshme për shkak se përdoruesi nuk duhet të bëjë asgjë. Ju mund të goditur shumë e pajisjeve brenda rrezes RF në të njëjtën kohë, dhe duket sikur sa herë që ky hulumtim bubbles lart ajo shpejt merr klasifikuar ku njerëzit të bie poshtë në rreth dhe të thonë: "Ja, na thoni për këtë, dhe ju lutem të ndaluar duke folur në lidhje me të." Ka disa kërkime ndodh në zonën e broadband, por kjo duket të jetë shumë e hesht hesht. Unë mendoj se është më shumë një lloj të shtetit komb të hulumtimit që po ndodh. Një zonë e kërkimeve aktive, edhe pse, është shtresa e sistemit operativ, dhe përsëri, kjo është e ndryshme se sa në botë desktop informatikë sepse në hapësirën celular ju keni këto grupe njerëzish të quajtur jailbreakers, dhe jailbreakers janë të ndryshme se sa studiues rregullt cenueshmërisë. Ata janë duke u përpjekur për të gjetur dobësitë në sistemin operativ, por arsyeja që ata janë duke u përpjekur për të gjetur dobësitë nuk është të të thyer në kompjuterin e dikujt tjetër dhe kompromis atë. Është për të thyer në kompjuterin e tyre. Ata duan të thyer në telefonin e tyre, të modifikojë sistemin operativ mobil të tij e në mënyrë që ata mund të kandidojë aplikacionet e tyre të zgjedhur dhe për të ndryshuar gjërat me leje të plotë administrative, dhe ata nuk duan të të treguar shitësi në lidhje me këtë. Ata nuk janë si një studiues të sigurisë i cili është një studiues e bardhë të sigurisë hat e cila do të bëjë zbulimin përgjegjës dhe tregoni shitësi në lidhje me të. Ata duan për të bërë këtë hulumtim, dhe ata duan që në fakt publikojë atë në një shfrytëzuar ose një rootkit ose një kod jailbreak, dhe ata duan për të bërë atë strategjike, si menjëherë pas anijet shitësi sistemin e ri operativ. Ju e keni këtë marrëdhënie armiqësore me dobësitë e nivelit OS në celular, e cila unë mendoj se është mjaft interesante, dhe një vend ne e shohim atë është kjo e bën atë në mënyrë që nuk ka kod të mirë të botuar shfrytëzuar atje për dobësitë e nivelit kernel, dhe ne kemi parë ato në të vërtetë do të përdoren nga shkrimtarët malware. Kjo është pak më ndryshe se në botë PC. Dhe pastaj shtresa e fundit është shtresa e lartë, shtresa e aplikimit. Kjo është ajo që unë jam do të flasim për sot. Shtresat e tjera ekzistojnë, dhe shtresat e tjera të luajnë në të, por unë jam më së shumti do të flasim për atë që po ndodh në shtresën e aplikimit ku kodi po kandidon në sandbox. Ajo nuk ka privilegje administrative. Ajo ka për të përdorur TV e pajisjes, por ende, një shumë të veprimtarisë me qëllim të keq dhe një shumë të rrezikut mund të ndodhë në atë shtresë sepse kjo është shtresa ku të gjitha informatat është. Apps mund të hyni të gjitha informacionet mbi pajisjen në qoftë se ata kanë të drejtat e duhura, dhe ata mund të hyni në sensorë të ndryshme për pajisjen, Sensori GPS, mikrofon, kamera, çfarë keni. Edhe pse ne jemi vetëm duke folur për në shtresën e aplikimit ne kemi një shumë të rrezikut atje. Gjë tjetër që është e ndryshme në lidhje me mjedisin celular është e të gjithë lojtarët e sistemit operativ, qoftë BlackBerry apo Android ose iOS ose Windows celular, ata të gjithë kanë një model të mirë trashë leje, dhe kjo është një nga mënyrat që ata të ndërtuar në sistemin operativ ideja se nuk është aq e rrezikshme sa ju mendoni. Edhe pse ju keni të gjitha kontaktet tuaja në atje, të gjitha të dhënat tuaja personale, ju keni fotot tuaja, ju keni vendin tuaj në atje, ju jeni ruajtjen pin tuaj bankare për login auto për atje, është e sigurt për shkak se Apps duhet të keni leje të caktuara për të marrë në pjesë të caktuara e informacionit mbi pajisjen, dhe përdoruesit duhet të paraqitet me këto leje dhe të thonë në rregull. Problemi me këtë është se përdoruesi gjithmonë e thotë në rregull. Si një person të sigurisë, unë e di ju mund të shpejtë të përdoruesit, thonë diçka të vërtetë e keqe do të ndodhë, nuk ju duan që ajo të ndodhë? Dhe në qoftë se ata janë në një nxitojnë apo ka diçka të vërtetë tërheqës në anën tjetër të kësaj, si një lojë do të jetë i instaluar që të keni qenë duke pritur, ata do të klikoni në rregull. Kjo është arsyeja pse unë them në rrëshqitje tim këtu vetëm më lejoni të flakëroj zogj në derra tashmë, dhe ju mund të shihni në rrëshqitje këtu ka shembuj të një kuti BlackBerry leje. Ai thotë se "Ju lutemi të vendosur lejet e aplikimit BlackBerry Travel pas klikuar butonin më poshtë ", dhe në thelb përdoruesi është vetëm do të thotë vendosur të drejtat dhe për të shpëtuar. Këtu ka një të shpejtë Android, ku ajo tregon gjëra, dhe ai në fakt e vë diçka që pothuajse duket si një paralajmërim. Ajo e mori një lloj shenjës së yield-it atje thoshte komunikimit të rrjetit, thirrje telefonike, por përdoruesit do të klikoni instaluar, apo jo? Dhe pastaj një Apple është plotësisht i parrezikshëm. Ajo nuk jep asnjë lloj paralajmërimi. Është vetëm Apple do të doja të përdorni vendndodhjen tuaj të tanishme. Sigurisht që ju jeni do të klikoni në rregull. Ekziston ky model gjobë-trashë leje, dhe Apps duhet të keni një fotografi të sigurt ku ata deklarojnë lejet ata kanë nevojë, dhe që do të shfaqet për të përdoruesit, dhe përdoruesit do të duhet të them unë dhënë këto leje. Por le të jetë i sinqertë. Përdoruesit janë vetëm do të them gjithmonë në rregull. Le të bëjmë një vështrim i shpejtë në lejet që këto Apps janë të kërkojnë dhe disa lejeve që janë atje. Kjo kompani Pretoriane bëri një studim të vitit të kaluar i 53.000 aplikimeve të analizuara në treg dhe partiake 3 tregjet Android, kështu që kjo është e gjitha Android. Dhe app mesatare e kërkuar 3 leje. Disa Apps kërkuar 117 lejet, kështu që padyshim këto janë shumë të mirë trashë dhe mënyrë shumë komplekse për një përdorues të kuptuar nëse ata janë paraqitur me këtë app që ka nevojë për këto 117 leje. Është si të përdoruesit fund licencës marrëveshje që është 45 faqe i gjatë. Ndoshta së shpejti ata do të kenë një mundësi ku Është si shtypura të drejtat dhe për të dërguar një email. Por nëse ju shikoni në disa prej lejeve të lartë interesante 24% e Apps që ata shkarkuar nga 53,000 kërkuar informacion GPS nga pajisja. 8% lexoni kontaktet. 4% dërgoi SMS, dhe 3% marrë SMS. 2% regjistruar audio. 1% të përpunuara thirrje dalëse. Nuk e di. Unë nuk mendoj se 4% e Apps në dyqan app të vërtetë nevojë për të dërguar mesazhe me tekst SMS, kështu që unë mendoj se është një aluzion se diçka e pafat po ndodh. 8% e Apps duhet të lexoni listën e kontakteve tuaj. Kjo ndoshta nuk është e nevojshme. Një nga gjëra të tjera interesante në lidhje me lejet është në qoftë se ju lidhje në biblioteka të përbashkëta në aplikimin tuaj ata trashëgojnë lejet e aplikimit, kështu që nëse app juaj ka nevojë për listën e kontaktit, ose ka nevojë për vendndodhjen GPS të funksionojë dhe ju lidhë në një bibliotekë reklamat, për shembull, se biblioteka ad do të jetë në gjendje të hyni në kontaktet dhe gjithashtu të drejtë të hyni vendndodhjen GPS, dhe zhvilluesi i app di asgjë për kodin që është drejtimin në bibliotekë ad. Ata janë vetëm lidh atë në, sepse ata duan të monedhë app tyre. Kjo është ajo ku-dhe unë do të flasim për disa shembuj të këtë me një aplikim të quajtur Pandora ku një zhvilluesi i aplikacionit padashur mund të rrjedhjen e informacionit nga përdoruesit e tyre për shkak të bibliotekave ata kanë lidhura in Vrojtimin e peisazhit atje, duke kërkuar në të gjitha Apps të ndryshme që janë raportuar në lajme si përdoruesit me qëllim të keq ose duke bërë diçka që nuk ka dashur dhe pastaj duke shqyrtuar një shumë të Apps-ne bëjmë një shumë të analizës statike binar në Apps celular, kështu që ne kemi inspektuar ato dhe shikuar në kodin e vetë- kemi ardhur me atë që ne e quajmë top 10 lista jonë e sjelljeve të rrezikshme në të gjitha kërkesat. Dhe është e ndarë në 2 pjesë, të dëmshme, kështu që këto janë gjëra të këqija që Apps mund të jetë bërë që ka të ngjarë të jetë diçka që një individ me qëllim të keq e ka vënë në mënyrë specifike në aplikim, por kjo është pak fuzzy. Kjo mund të jetë diçka që një zhvillues mendon është e mirë, por ai përfundon duke u menduar si qëllim të keq nga ana e përdoruesit. Dhe pastaj pjesa e dytë është ajo që ne e quajmë kodim dobësitë, dhe këto janë gjëra ku zhvilluesi në thelb është bërë gabime ose thjesht nuk e kupton se si të shkruaj app sigurt,  dhe kjo është vënë përdoruesit app në rrezik. Unë jam duke shkuar për të shkuar nëpër këto në mënyrë të detajuar dhe të jap disa shembuj. Për referencë, kam kërkuar për të vënë në OWASP celular top 10 lista. Këto janë 10 çështje të cilat një grup në OWASP, Projekti Open Web Application Sigurimit, ata kanë një grup pune duke punuar në një celular top 10 lista. Ata kanë një shumë të famshme web top 10 lista, të cilat janë 10 top gjërat më të rrezikuara që ju mund të keni në një aplikim web. Ata po bëjnë të njëjtën gjë për celular, dhe lista e tyre është pak më ndryshe sesa e jona. 6 Nga 10 janë njëjtë. Ata kanë 4 që janë të ndryshme. Unë mendoj se ata kanë pak e një vështrim të kundërt mbi Rreziku në Apps celular, ku shumë çështje të tyre janë me të vërtetë se si aplikimi është komunikuar me një server prapa-fund ose atë që po ndodh në server prapa-fund, Apps jo aq shumë që kanë sjellje të rrezikshme që janë Apps vetëm të drejtpërdrejtë të klientit. Ato në të kuqe këtu janë dallimet në mes të 2 listave. Dhe disa prej ekipin tim hulumtues ka kontribuar në të vërtetë për këtë projekt, kështu që ne do të shohim se çfarë ndodh me kalimin e kohës, por unë mendoj se takeaway këtu është ne vërtetë nuk e di se çfarë top 10 lista është në Apps celular për shkak ata me të vërtetë kanë qenë vetëm rreth për 2 ose 3 vjet tani, dhe nuk ka pasur kohë të mjaftueshme për të vërtetë të hulumtimit të sistemeve operative dhe atë që ata janë të aftë për të, dhe nuk ka pasur kohë të mjaftueshme për komunitetin me qëllim të keq, në qoftë se ju do, se ka kaluar kohë të mjaftueshme duke u përpjekur për të sulmuar përdoruesit përmes Apps celular, kështu që unë pres këto lista për të ndryshuar pak. Por tani për tani, këto janë top 10 gjëra për t'u shqetësuar rreth. Ju mund të pyes veten në anën celular ku bën me qëllim të keq kodin-mobile si e bën atë të marrë në për pajisjen? North Carolina State ka një projekt të quajtur Projekti Genome Mobile Malware ku ata janë të mbledhur sa më shumë malware celular si ata mund dhe analizuar atë, dhe ata kanë thyer vektorët injeksion që përdor malware celular, dhe 86% përdorin një teknikë të quajtur ripaketimi, dhe ky vetëm mbi platformën Android mund të ju bëjnë të vërtetë këtë ripaketimin. Arsyeja është kodi Android është ndërtuar me një kod bajt Java quajtur Dalvik e cila është e lehtë të decompilable. Cili djalë i keq mund të bëni është të të marrë një kërkesë Android, decompile atë, futni kodin e tyre me qëllim të keq, përpiluar atë, dhe pastaj atë në dyqan app pretendon të jetë një version të ri të kësaj aplikimit, ose thjesht ndoshta ndryshimin e emrit të aplikimit. Në qoftë se kjo ishte një lloj të lojës, të ndryshojë emrin pak, dhe kështu kjo ripaketimi është se si 86% e malware celular merr shpërndarë. Ka një teknikë të quajtur freskimin e cila është shumë e ngjashme me ripaketimin, por në të vërtetë ju nuk e vënë të dëmshme in Çfarë ju bëni është të vendosni në një mekanizëm të vogël update. Ju decompile, ju vënë në një mekanizëm update, dhe ju përpiluar atë, dhe pastaj kur app është i rrjedhshëm ajo tërheq poshtë malware mbi pajisjen. Deri tani shumica janë ato 2 teknika. Nuk është me të vërtetë shumë Shkarko makinë-bys ose drive-by shkarkime në celularët, të cilat do të mund të jetë si një sulm phishing. Hej, shikoni këtë faqe interneti të vërtetë të ftohtë, ose ju duhet të shkoni në këtë website dhe të plotësoni këtë formular për të mbajtur vazhduar duke bërë diçka. Ata janë phishing sulmeve. E njëjta gjë mund të ndodhë në platformën celular ku ata tregojnë për një app celular për të shkarkuar, thonë "Hi, ky është Banka e Amerikës." "Ne e shohim që ju jeni duke përdorur këtë kërkesë." "Ju duhet të shkarkoni këtë kërkesë tjetër." Teorikisht, kjo mund të punojnë. Ndoshta ai thjesht nuk është duke u përdorur të mjaftueshme për të përcaktuar nëse është e suksesshme apo jo, por ata zbuluan se më pak se 1% të kohës që teknikë është përdorur. Pjesa më e madhe e kohës është me të vërtetë një kod ripaketuar. Ka një tjetër kategori të quajtur standalone ku dikush vetëm ndërton një kërkesë krejt të ri. Ata ndërtojnë një kërkesë që purports të jetë diçka. Kjo nuk është një ripaketimi i diçka tjetër, dhe që ka të dëmshme. Kjo është përdorur 14% të kohës. Tani unë dua të flas për atë që është e dëmshme duke bërë? Një nga malware parë atje ju mund të konsideroni një spyware. Ajo në thelb spiunë në përdorues. Ajo mbledh email, SMS porosi. Ajo kthehet në mikrofon. Ajo i vjelin librin e kontaktit, dhe kjo dërgon atë dikujt tjetër. Ky lloj spyware ekziston në PC, kështu që ka kuptim të përsosur për njerëzit që të përpiqen për të bërë këtë në pajisje të lëvizshme. Një nga shembujt e parë të ky ishte një program i quajtur Sekret SMS Replicator. Ajo ishte në Android Marketplace nja dy vjet më parë, dhe ideja ishte nëse keni pasur qasje në telefonin Android dikujt që ju të kërkuar për të spiunuar, kështu që ndoshta është bashkëshorti juaj ose tjera tuaj të rëndësishme dhe ju doni të spiunuar mesazheve tekst të tyre, ju mund të shkarkoni këtë app dhe instaloni atë dhe konfiguroni atë për të dërguar një mesazh me tekst SMS për ju me një kopje e çdo mesazh me tekst SMS ata patën. Kjo padyshim është në shkelje të dyqan app kushtet e shërbimit, dhe kjo u hoq nga Android Marketplace brenda 18 orëve nga ajo të qenë atje, kështu që një numër shumë i vogël i njerëzve janë në rrezik për shkak të kësaj. Tani, unë mendoj se në qoftë se programi u quajt diçka ndoshta pak më pak provokuese si Sekret SMS replicator ajo ndoshta do të kishte punuar shumë më mirë. Por ishte lloj i qartë. Një nga gjërat që mund të bëjmë për të përcaktuar nëse Apps kanë këtë sjellje që ne nuk e duam është për të inspektuar kodin. Kjo është në të vërtetë të vërtetë e lehtë për të bërë në Android sepse ne mund të decompile Apps. Në iOS ju mund të përdorni një disassembler si IDA Pro të shikojmë se çfarë TV app është duke bërë thirrje dhe çfarë është bërë. Ne shkroi vet Analyzer tonë binar statike për kodin tonë dhe ne e bëjmë këtë, dhe kështu atë që ju mund të bëni është që ju mund të thoni ka pajisje të bëjë çdo gjë që është në thelb spiunuar mua apo ndjekja mua? Dhe unë kam disa shembuj këtu në iPhone. Ky shembull i parë është se si për të hyrë në UUID në telefon. Kjo është në fakt diçka që Apple e ka ndaluar vetëm për aplikimet e reja, por aplikacionet e vjetra që ju mund të keni kandidon për telefonin tuaj ende mund ta bëjë këtë, dhe kështu që identifikues unik mund të përdoret për të ndjekur ju nëpër shumë aplikacione të ndryshme. Në Android, unë kam një shembull këtu për të marrë vend të pajisjes së. Ju mund të shihni se në qoftë se thirrje API është atje se app është ndjekja, dhe ju mund të shihni se a është marrë vendndodhjen gjobë ose vendndodhjen trashë. Dhe pastaj në fund këtu, unë kam një shembull se si në BlackBerry një kërkesë mund të hyni në mesazhe email në kutinë tuaj. Këto janë llojet e gjërave që ju mund të inspektojë për të parë nëse app është duke bërë ato gjëra. Kategoria e dytë e madhe e sjelljes me qëllim të keq, dhe kjo është ndoshta kategori më e madhe tani, është formimi i numrit të paautorizuar, premium paautorizuar mesazhet me tekst SMS ose pagesa të paautorizuara. Një tjetër gjë që është unik në lidhje me telefon është pajisja është i tëri në një llogari të faturimit, dhe kur aktivitetet të ndodhë në telefon ajo mund të krijojë akuza. Ju mund të blejnë gjërat në telefon, dhe kur ju të dërgoni një mesazh me tekst SMS premium ju jeni në të vërtetë duke i dhënë paratë mbajtësit e llogarisë e numrin e telefonit në anën tjetër. Këto ishin ngritur për të merrni kuotat e aksioneve ose të marrë horoskop tuaj të përditshme apo gjëra të tjera, por ato mund të jetë ngritur për të porositur një produkt të kihet duke dërguar një tekst SMS. Njerëzit japin para për Kryqin e Kuq të kihet duke dërguar një mesazh me tekst. Ju mund të jepni $ 10 në këtë mënyrë. Sulmuesit, atë që kam bërë është se ata të ngritur llogaritë në vendet e huaja, dhe ata embed në malware se telefoni do të dërgojë një mesazh me tekst SMS premium, thonë, disa herë në ditë, dhe në fund të muajit ti e kupton që ju keni shpenzuar dhjetra apo ndoshta edhe qindra dollarë, dhe ata ecin tutje me të holla. Kjo mori aq keq që kjo ishte gjëja e parë që Android Marketplace ose Google vendi-it ishte Android Marketplace në atë kohë, dhe kjo është tani Google Play-gjëja e parë që Google ka filluar duke kontrolluar për. Kur Google filloi shpërndarjen Apps Android në dyqan e tyre app ata thanë se nuk ishin duke shkuar për të kontrolluar për ndonjë gjë. Ne do të tërheqë Apps pasi ne kemi qenë të njoftuar se ata kanë thyer kushtet tona të shërbimit, por ne nuk jemi duke shkuar për të kontrolluar për ndonjë gjë. E pra, rreth një vit më parë ajo mori aq keq me këtë SMS premium mesazh tekst malware se kjo është gjëja e parë që ata filluan duke kontrolluar për. Nëse një app mund të dërgoni mesazhe me tekst SMS ata më tej me dorë të shqyrtuar këtë kërkesë. Ata të shikoni për TV që e quajnë këtë, dhe tani që atëherë Google ka zgjeruar, por kjo ishte gjëja e parë që ata filluan në kërkim të. Disa Apps të tjera që i bëri disa mesazhe me tekst SMS, kjo Android Qicsomos, unë mendoj se është quajtur. Nuk ishte kjo ngjarje aktuale në celular ku kjo CarrierIQ kishte ardhur si spyware vënë në pajisjen me transportuesit, në mënyrë që njerëzit të kërkuar për të dini nëse telefoni i tyre ishte të prekshme për këtë, dhe kjo ishte një app lirë që testuar atë. Well, natyrisht, ajo që ky app bëri ishte të dërguar mesazhe me tekst SMS premium, kështu duke testuar për të parë nëse ju jeni të infektuar me spyware ju ngarkuar malware mbi pajisjen tuaj. Ne pamë e njëjta gjë të ndodhë në të kaluar Super Bowl. Nuk ishte një version fals i lojës Madden futbollit që më ka dërguar mesazhe me tekst SMS premium. Ajo në fakt u përpoq për të krijuar një rrjet bot shumë në pajisjen. Këtu unë kam disa shembuj. Mjaft interesante, Apple ishte mjaft i zgjuar, dhe ata nuk e lejojnë aplikimet për të dërguar mesazhe me tekst SMS në të gjitha. Asnjë app mund ta bëjë këtë. Kjo është një mënyrë e madhe e duke u shpëtoj të gjithë klasën e cenueshmërisë, por në Android ju mund ta bëjë këtë, dhe natyrisht, në BlackBerry ju mund të bëni edhe ajo. Është interesante se në BlackBerry të gjitha që ju duhet është lejet e internetit për të dërguar një mesazh tekst SMS. Gjëja tjetër me të vërtetë që ne shikojmë për kur ne jemi duke kërkuar për të parë nëse diçka është me qëllim të keq është vetëm ndonjë lloj aktivitetin e rrjetit të paautorizuar, si shikoni në aktivitetin e rrjetit app është menduar të duhet të ketë funksionet e saj, dhe të kërkoni në këtë veprimtari të tjera të rrjetit. Ndoshta një app, për të punuar, ka për të marrë të dhëna mbi HTTP, por në qoftë se është duke bërë gjëra me kalimin e email ose SMS ose Bluetooth ose diçka të tillë tani që app potencialisht mund të jetë me qëllim të keq, kështu që kjo është një tjetër gjë që ju mund të inspektojë për. Dhe në këtë rrëshqitje këtu unë kam disa shembuj të kësaj. Një tjetër gjë interesante që kemi parë me malware ndodhur mbrapa në vitin 2009, dhe kjo ndodhi në një mënyrë të mëdha. Unë nuk e di nëse kjo ka ndodhur aq shumë që atëherë, por ajo ishte një app se impersonated një tjetër aplikim. Ka pasur një sërë Apps, dhe u mbiquajt sulmi 09Droid, dhe dikush vendosi se ka qenë një shumë të vogla, të mesme, bankat rajonale se nuk kishte aplikacione bankare online, kështu që ajo që bënë ata ishte se ata ndërtuar rreth 50 aplikime bankare online që të gjithë ata nuk ishte marrë emrin e përdoruesit dhe fjalë-kalimin dhe të ju përcjellim në faqen e internetit. Dhe kështu ata vënë të gjitha këto deri në Google Marketplace, në Android Marketplace, dhe kur dikush kontrolluar për të parë nëse banka e tyre kishte një kërkesë ata do të gjejnë aplikimin fals, të cilat mblidhen kredencialet e tyre dhe pastaj të ridrejtuar ata në faqen e tyre. Mënyra se ky fakt u bë-Apps ishin atje për disa javë, dhe ka pasur mijëra e mijëra downloads. Mënyrë kjo doli në dritë ishte dikush kishte një problem me një nga aplikimet, dhe ata e quajtën bankën e tyre, dhe ata e quajtën mbështetjen e klientëve linjë të bankës të tyre dhe tha: "Unë jam ka një problem me kërkesën tuaj celular bankare." "A mund të më ndihmoni?" Dhe ata thanë: "Ne nuk kemi një aplikim bankare celular." Kjo ka filluar hetimet. Kjo bankë e quajtur Google, dhe pastaj Google shikoi dhe tha: "Wow, i njëjti autor ka shkruar 50 aplikacione bankare", dhe mori ato të gjitha poshtë. Por sigurisht kjo mund të ndodhë përsëri. Nuk ka listë të të gjitha bankave të ndryshme këtu që ishin pjesë e këtij scam. Gjë tjetër një app mund të bëjmë është i pranishëm UI e një tjetër aplikim. Ndërsa është e drejtimin ajo mund të hapet në Facebook UI. Ajo thotë se ju keni për të vënë në emrin tuaj të përdoruesit dhe fjalëkalimin për të vazhduar ose të vënë ndonjë emër përdoruesi dhe fjalëkalimi UI për një faqe interneti se ndoshta përdoruesi përdor vetëm për të përpiqen ta gënjejnë përdoruesin në vënien e kredencialet e tyre in Kjo është me të vërtetë një paralele drejtë i sulmeve phishing email kur dikush ju dërgon një mesazh PE dhe ju jep në thelb një UI të rreme për një faqe interneti që ju keni qasje në. Gjë tjetër që ne të kërkuar në dëmshme është modifikim të sistemit. Ju mund të shikoni për të gjitha thirrjet API që kërkojnë privilegjin rrënjë për të ekzekutuar saktë. Ndryshimi web prokurë të pajisjes së do të ishte diçka që një aplikim nuk duhet të jetë në gjendje të bëjë. Por nëse kërkesa ka kodin në atje për të bërë këtë ju e dini se kjo është ndoshta një aplikim me qëllim të keq ose shumë shumë të ngjarë të jetë një aplikim me qëllim të keq, dhe kështu që çfarë do të ndodhë është se app do të kanë rrugë të përshkallëzuar privilegj. Ajo do të ketë një përshkallëzim privilegj të shfrytëzuar në aplikim, dhe pastaj një herë ajo u përshkallëzua privilegje ajo do të bëjë këto ndryshime të sistemit. Ju mund të gjeni malware që ka përshkallëzim privilegj në të edhe pa e ditur se si eskalimin privilegj shfrytëzuar do të ndodhë, dhe kjo është një mënyrë e mirë, e lehtë për të kërkuar malware. DroidDream ishte ndoshta pjesa më e famshme e Android malware. Unë mendoj se është prekur rreth 250.000 përdorues të gjatë disa ditë para se ajo u gjet. Ata ripaketuar 50 aplikacione fals, vënë ato në dyqan Android app, dhe në thelb ajo përdoret kodin Android jailbreak për të eskalojnë privilegjet dhe pastaj instaluar një komandë dhe kontroll dhe të kthehet të gjitha viktimat në një rrjetë bot, por ju mund të ketë zbuluar këtë qoftë se keni qenë skanim aplikimin dhe vetëm në kërkim të API thirrjet që kërkohet leje rrënjë për të ekzekutuar saktë. Dhe nuk ka një shembull këtu unë kam që po ndryshon proxy, dhe ky fakt është në dispozicion vetëm në Android. Ju mund të shihni unë jam duke ju dhënë shumë shembuj në Android sepse ky është vendi ku ekosistemit më aktive malware është sepse është e vërtetë e lehtë për një sulmues për të marrë të dëmshme në Android Marketplace. Kjo nuk është aq e lehtë për të bërë këtë në Apple App Store sepse Apple kërkon zhvilluesve për të identifikuar veten e tyre dhe të nënshkruajnë kodin. Ata në të vërtetë kontrolloni se kush jeni, dhe Apple është në të vërtetë shqyrtimit aplikimet. Ne nuk e shohim një shumë e malware vërtetë kur pajisja është duke u komprometuar. Unë do të flas për disa shembuj ku është e vërtetë e intimitetit që është duke u komprometuar, dhe kjo është ajo që është me të vërtetë ndodh në pajisjen Apple. Një tjetër gjë për të kërkuar dëmshme, kodi rrezikshme në pajisjet është logjike ose kohë bomba, dhe bomba kohë janë ndoshta shumë më e lehtë për të kërkuar se bomba logjike. Por me bomba kohë, çfarë mund të bëni është që ju mund të shikoni për vende në kodin ku koha është testuar apo një kohë absolute është kërkuar para funksionalitetin e sigurt në app ndodh. Dhe kjo mund të bëhet për të fshehur atë aktivitet nga përdoruesit, kështu që po ndodh natën vonë. DroidDream bëri të gjithë aktivitetin e saj 11:00-08:00 sipas kohës lokale të përpiqet të bëjë atë, ndërsa përdoruesi nuk mund të jetë duke përdorur pajisjen e tyre. Një tjetër arsye për të bërë këtë është nëse njerëzit janë duke përdorur analizën e sjelljes së një kërkese, drejtimin app në një sandbox për të parë se çfarë sjellja e aplikimit është, ata mund të përdorin në kohë të bazuar në logjikën për të bërë aktivitetin kur app nuk është në sandbox. Për shembull, një dyqan app si Apple shkon aplikimin, por ata ndoshta nuk do të kandidojë çdo kërkesë për, të themi, 30 ditë para e miratuar atë, kështu që ju mund të vënë Logjika në aplikimin tuaj që tha, në rregull, vetëm të bëjë gjë e keqe pas 30 ditë ka shkuar nga apo pas 30 ditëve nga data e aplikimit të publikuar, dhe që mund të ndihmojë të fshehur me qëllim të keq kodin nga njerëz të inspektimit për të. Nëse kompanitë e anti-virus do të vrapojnë gjërat në sandboxes ose dyqane app vetë janë kjo mund të ndihmojë fshehur që nga ajo inspektimit. Tani, në anën rrokullisje e që është e lehtë për të gjetur me analiza statike, kështu që në fakt inspektuar kodin që ju mund të shikoni për të gjitha vendet ku aplikimi teste kohën dhe të inspektojë në këtë mënyrë. Dhe këtu unë kam disa shembuj në këto 3 platforma të ndryshme sa kohë mund të kontrollohen për nga krijues app kështu që ju e dini se çfarë për të kërkuar në qoftë se ju jeni duke inspektuar app statically. Unë vetëm shkova me një bandë e tërë e aktiviteteve të ndryshme me qëllim të keq që ne kemi parë në të egra, por që ato janë më të përhapura? Në të njëjtin studim nga North Carolina State Mobile Projekti Genome publikuar disa të dhëna, dhe kishte në thelb 4 zonat se ata e panë ku nuk ishte një shumë e aktivitetit. 37% e Apps bëri përshkallëzim privilegj, kështu ata kishin disa lloj të kodit jailbreak në atje ku ata u përpoqën të eskalojnë privilegjet në mënyrë që ata të mund të e komandat API kandidon si sistem operativ. 45% e Apps atje bëri SMS premium, kështu që është një përqindje e madhe që është duke u përpjekur të monedhë direkt. 93% e bëri telekomandë, kështu që ata u përpoqën për të ngritur një rrjetë bot, një rrjet bot lëvizshme. Dhe 45% korrur identifikuese informacion si numrat e telefonit, UUIDs, GPS lokacioni, llogaritë e përdoruesve, dhe kjo shton deri në më shumë se 100 sepse më malware përpiqet të bëjë disa nga këto gjëra. Unë jam duke shkuar për të kaluar në pjesën e dytë dhe të flasim për dobësitë kod. Kjo është gjysma e dytë e aktivitetit të rrezikshme. Kjo është ajo ku në thelb zhvilluesi është duke bërë gabime. Një zhvilluesi i ligjshëm shkruar një app legjitim po bën gabime ose është i paditur për rreziqet e platformës së lëvizshme. Ata thjesht nuk e di se si të bëjnë një app celular të sigurtë, ose ndonjëherë zhvilluesi nuk ka kujdes për vënien e përdoruesit në rrezik. Ndonjëherë pjesë e modelit të tyre të biznesit mund të jetë korrje të dhënat personale të përdoruesit. Kjo është lloj i kategorisë tjetër, dhe kjo është arsyeja pse disa nga kjo me qëllim të keq kundrejt fillon legjitime për të marr gjak mbi të, sepse nuk ka dallim të mendimeve midis çfarë përdoruesi dëshiron dhe çfarë përdoruesit e konsideron të rrezikshme dhe çfarë zhvilluesi i aplikacionit e konsideron të rrezikshme. Sigurisht, kjo nuk është e të dhënave zhvilluesi i aplikacionit-së në shumicën e rasteve. Dhe pastaj në fund, një tjetër mënyrë kjo ndodh është një zhvillues mund të lidhur në një bibliotekë të përbashkët që e ka dobësitë apo këtë sjellje të rrezikshme në të unbeknownst atyre. Kategoria e parë është e ndjeshme rrjedhje të të dhënave, dhe kjo është kur app mbledh informacion si e lokacionit, informacion libër adresa, informacione pronari dhe që dërgon off pajisjes. Dhe një herë se është jashtë pajisjes, ne nuk e dimë se çfarë po ndodh me këtë informacion. Kjo do të mund të ruhen në mënyrë të pasigurt nga zhvilluesi i aplikimit. Ne kemi parë zhvilluesit e aplikimit të marrë të komprometuar, dhe të dhënat që ata janë ruajtjen merr marrë. Kjo ka ndodhur pak muaj më parë për një zhvillues poshtë në Florida ku një numër i madh i-saj ishte UUIDs iPad dhe emrat pajisje , të përhapur për shkak se dikush, unë mendoj se ishte anonim, pretenduar për të bërë këtë, hynë në serverat e këtij zhvilluesi-së dhe vodhi miliona iPad UUIDs dhe emrat kompjuter. Jo informatat më të rrezikshme, por ajo në qoftë se ishte ruajtja e emrat e përdoruesit dhe fjalëkalimet dhe adresa në shtëpi? Ka shumë aplikacione që dyqan atë lloj të informacionit. Rreziku është atje. Gjë tjetër që mund të ndodhë është në qoftë se zhvilluesi nuk kujdeset për të siguruar të dhënave kanal, dhe kjo është një tjetër dobësi e madhe që unë jam do të flasim për, që të dhënat është dërguar në të qartë. Në qoftë se përdoruesi është në një rrjet Wi-Fi publik ose dikush është nuhatës në internet diku përgjatë rrugës që të dhënat është duke u ekspozuar. Një rast shumë i njohur i këtij rrjedhjes së informacionit ka ndodhur me Pandora, dhe kjo është diçka që ne kemi hulumtuar në Veracode. Kemi dëgjuar se ka pasur një-Unë mendoj se kjo ishte një Komisioni Federal i Tregtisë Hetimi ndodh me Pandorës. Ne tha, "Çfarë po ndodh atje? Le të fillojë gërmimi në aplikimin Pandora." Dhe ajo që ne kemi vendosur ka qenë aplikimi Pandora mbledhur gjinore tuaj dhe moshën tuaj, dhe ajo gjithashtu arrihen vendndodhjen tuaj GPS, dhe aplikimin Pandora e bëri këtë për atë që thanë ata ishin arsye legjitime. Muzikës që ata ishin duke luajtur-Pandora është një app-muzikë streaming muzika ata ishin duke luajtur është licencuar vetëm në Shtetet e Bashkuara, kështu që ata kishin për të kontrolluar në përputhje me marrëveshjet e tyre të licencës që ata kishin për muzikën që përdoruesi ishte në Shtetet e Bashkuara. Ata gjithashtu donin të jenë në përputhje me këshillimor prindërore rreth gjuhës rritur në muzikë, dhe kështu që është një program vullnetar, por ata dëshironin të jenë në përputhje me atë dhe nuk luajnë tekst kënge të qarta për fëmijët 13 dhe nën. Ata kishin arsye legjitime për mbledhjen e këtyre të dhënave. App i tyre kishte lejet për të bërë atë. Përdoruesit menduar kjo ishte legjitime. Por çfarë ndodhi? Ato lidhen në 3 ose 4 biblioteka të ndryshme ad. Tani të gjithë një e papritur të gjitha këtyre bibliotekave ad janë duke marrë qasje në këtë informacion të njëjtë. Bibliotekat ad, nëse shikoni në kodin në bibliotekat ad ajo që ata bëjnë është çdo bibliotekë ad thotë "A app im të drejtat e duhura për të marrë vendndodhjen GPS?" "Oh, kjo nuk? Mirë, më tregoni vendndodhjen GPS." Çdo bibliotekë të vetme ad bën këtë, dhe në qoftë se app nuk ka të drejtat GPS ajo nuk do të jetë në gjendje për të marrë atë, por nëse bën atë, ai do të merrni atë. Kjo është ajo ku modeli i biznesit të bibliotekave ad është kundër intimitetin e përdoruesit. Dhe ka pasur studime atje që do të thotë në qoftë se ju e dini moshën e një personi dhe ju e dini vendndodhjen e tyre ku fle natën, sepse ju keni tyre GPS koordinon ndërsa ata ndoshta janë duke fjetur, ju e dini saktësisht se kush ai person është i sepse ju mund të përcaktojë se cili anëtar i asaj shtëpie është ai person. Me të vërtetë ky është identifikimi për të reklamuesit saktësisht se kush jeni, dhe kjo duket si ajo ishte e ligjshme. Unë vetëm dua streaming muzikë time, dhe kjo është e vetmja mënyrë për të marrë atë. E pra, ne e ekspozuar këtë. Kemi shkruar këtë deri në disa blog posts, dhe doli se dikush nga revista Rolling Stone lexuar një nga postet e tona blog dhe shkroi ditarin e tyre në Rolling Stone në lidhje me të, dhe ditë tjetër Pandora menduan se ishte një ide e mirë për të hequr bibliotekat ad nga zbatimi i tyre. Me aq sa unë e di se ata janë vetëm, ata duhet të lavdërohen. Unë mendoj se ata janë i vetmi lloj Freemium të app që e ka bërë këtë. Të gjitha Apps tjera Freemium kanë këtë sjellje të njëjtë, kështu që ju keni marrë për të menduar për atë lloj të të dhënave që ju jeni duke i dhënë këto zbatime Freemium sepse është e gjitha do të reklamuesit. Pretoriane gjithashtu bëri një studim në lidhje me bibliotekat e përbashkëta dhe tha: "Le të shohim se çfarë përbashkët bibliotekat janë biblioteka të lartë të përbashkëta," dhe kjo ishte të dhënat. Ata analizuar 53.000 Apps, dhe biblioteka numri 1 i përbashkët ishte AdMob. Ajo ishte në të vërtetë në 38% të aplikacioneve atje, kështu që 38% e aplikacioneve që ju jeni duke përdorur janë të ngjarë korrje të dhënat tuaja personale dhe duke e dërguar atë në rrjete ad. Apache dhe Android kanë qenë 8% dhe 6%, dhe më pas këta të tjera poshtë në pjesën e poshtme, Google Ads, stuhi, Mob Qyteti dhe njëmijtë Media, këto janë të gjitha kompanitë ad, dhe pastaj, mjaft interesant, 4% e lidhur në bibliotekë Facebook ndoshta për të bërë authentication nëpërmjet Facebook kështu app mund të vërtetoj në Facebook. Por kjo gjithashtu do të thotë korporatë Facebook kontrollon kodin që është drejtimin në 4% të Apps celular Android atje, dhe ata të kenë qasje në të gjitha të dhënat që kjo app ka leje për të marrë në. Facebook në thelb përpiqet për të shitur hapësirë ​​reklamuese. Kjo është modeli i biznesit të tyre. Nëse ju shikoni në këtë ekosistem të tërë me këto leje dhe bibliotekat e ndara ju filloni për të parë se ju keni një shumë të rrezikut në një aplikim gjoja legjitime. Të njëjtën gjë e ngjashme që ka ndodhur me Pandora ka ndodhur me një aplikim të quajtur Rruga, dhe Path menduar se ata ishin të qenë të dobishme, zhvilluesit miqësore. Ata janë vetëm duke u përpjekur për të ju jap një eksperiencë të madhe përdorues, dhe doli se, pa i ndihmuar përdoruesit ose thënë përdorues asgjë- dhe kjo ndodhi në iPhone dhe në Android, app Pandora ishte në iPhone dhe Android- se aplikimi Path u grabbing gjithë librin tuaj adresën dhe ngarkimi atë në rrugën vetëm kur keni instaluar dhe vrapoi aplikimin, dhe ata nuk ju them në lidhje me këtë. Ata menduan se ishte me të vërtetë e dobishme për ju të jetë në gjendje për të ndarë me të gjithë njerëzit në librin tuaj adresën që ju jeni duke përdorur aplikacionin Path. E pra, padyshim Path se kjo ishte e madhe për kompaninë e tyre. Jo aq e madhe për përdoruesit. Ju duhet të mendoni se kjo është një gjë në qoftë se ndoshta një i ri është duke përdorur këtë kërkesë dhe dhjetra e tyre të miqve janë në atje, por çka nëse kjo është CEO i një kompanie që instalon Path dhe pastaj të gjithë një e papritur librin e tyre të gjithë të adresave është deri atje? Ju jeni do të merrni një shumë informacion të vlefshëm potencialisht kontaktit për shumë njerëz. Një gazetar nga New York Times, ju mund të jetë në gjendje për të marrë numrin e telefonit për kryetarët ish nga librin e tyre e adresave, kështu padyshim një shumë e informacionit të ndjeshëm merr transferuar me diçka si kjo. Nuk ishte një përplasje e madhe në lidhje me këtë se rruga kërkoi falje. Ata ndryshuan app e tyre, dhe atë edhe ndikuar Apple. Apple tha, "Ne jemi duke shkuar për të detyruar shitësit app për të nxitur përdoruesit në qoftë se ata do të mbledhin tërë librin e tyre e adresave. " Ajo duket si ajo që po ndodh këtu është kur ka një shkelje e madhe jetën private dhe kjo e bën shtypin ne shohim një ndryshim atje. Por sigurisht, nuk ka gjëra të tjera atje. Aplikimi LinkedIn i vjelin shënimet tuaja kalendarike, por Apple nuk e bën përdoruesin të nxitet për këtë. Shënimet kalendarike mund të ketë informata të ndjeshme në to shumë. Ku po ju do të tërheqë vijën? Kjo është me të vërtetë lloj i një vendi në zhvillim ku nuk ka të vërtetë nuk ka standarde të mirë atje për përdoruesit për të kuptuar kur informacioni i tyre do të jetë në rrezik dhe kur ata do të dini se është duke u marrë. Ne shkroi një app në Veracode quajtur Adios, dhe në thelb ajo lejuar ju për pikë app në directory tuaj iTunes dhe të shikojmë në të gjitha aplikimet që janë korrje librin tuaj të plotë të adresave. Dhe si ju mund të shihni në këtë listë këtu, Angry Birds, AIM, AroundMe. Pse Angry Birds nevojë librin tuaj adresën? Unë nuk e di, por ajo ka disi. Kjo është diçka që shumë, shumë aplikacione të bëjë. Ju mund të inspektojë kodin për këtë. Ka APIs e përcaktuara mirë për iPhone, Android dhe BlackBerry për të marrë në librin e adresave. Ju mund të vërtetë e lehtë të inspektojë për këtë, dhe kjo është ajo që ne e bëmë në aplikimin tonë Adios. Kategoria e ardhshëm, të dhënave pasigurt ndjeshëm Storage, është diçka ku zhvilluesve të marrë diçka si një gjilpërë apo një numër llogarie ose një fjalëkalim dhe ruajtur atë në të qartë në pajisjen. Edhe më keq, ata mund të ruajtur atë në një zonë në telefon e cila është e arritshme në nivel global, si kartën SD. Ju shikoni këtë më shpesh në Android Android sepse lejon për një kartë SD. Pajisjet Iphone nuk e bëjnë. Por ne edhe pa këtë të ndodhë në një aplikim Citigroup. Aplikimi i tyre bankare online ruajtur numrat e llogarive të pasigurt, vetëm në të qartë, kështu që nëse ju ka humbur pajisjen tuaj, thelb ju humbur llogarinë tuaj bankare. Kjo është arsyeja pse unë personalisht nuk e bëjmë bankare në iPhone tim. Unë mendoj se është shumë e rrezikshme të drejtë tani për të bërë këto lloje të aktiviteteve. Skype bëri të njëjtën gjë. Skype, natyrisht, ka një bilanc të llogarisë, një emër përdoruesi dhe fjalëkalim se të hyrë në këtë balancë. Ata ishin ruajtjen e të gjithë këtë informacion në të qartë në pajisje të lëvizshme. Unë kam disa shembuj këtu për të krijuar fotografi se nuk keni të drejtat e duhura apo shkrim në disk dhe nuk ka asnjë encryption të ndodhë për këtë. Kjo zonë tjetër, jo i sigurt të dhënave Transmisionit ndjeshëm, Unë e kam përmendur tërthorazi këtë disa herë, dhe për shkak të publik Wi-Fi kjo është diçka që Apps absolutisht duhet të bëni, dhe kjo është ndoshta ajo që ne shohim të shkojnë keq më. Unë do të thoja, në fakt, unë mendoj se kam të dhënat aktuale, por është afër gjysma e aplikacioneve mobile vidhos deri duke bërë SSL. Ata thjesht nuk e përdorin të saktë të TV. Unë do të thotë, të gjithë ju keni marrë për të bëni është të ndiqni udhëzimet dhe të përdorin TV, por ata e bëjnë gjëra të tilla si nuk kontrolloni nëse ka një çertifikatë e pavlefshme në fund të tjera, nuk kontrolloni nëse në fund të tjera është duke u përpjekur për të bërë një sulm protokoll downgrade. Zhvilluesit e, ata duan për të marrë kutinë e tyre, e drejtë? Kërkesa e tyre është që të përdorin këtë për të shitur. Ata kanë përdorur këtë për të shitur. Kërkesa nuk është që të përdorin këtë për të shitur të sigurt, dhe kështu që kjo është arsyeja pse të gjitha aplikacionet që përdorin SSL për të siguruar të dhëna të si është duke u transmetuar nga pajisja me të vërtetë duhet të inspektohen për të siguruar se është zbatuar në mënyrë korrekte. Dhe këtu unë kam disa shembuj ku ju mund të shihni një kërkesë mund të jetë duke përdorur HTTP në vend të HTTPS. Në disa raste Apps do të bjerë përsëri në HTTP nëse HTTPS nuk është duke punuar. Unë kam një tjetër thirrje këtu në Android, ku ata kanë aftësi të kufizuara kontrolloni çertifikatën, kështu që një sulm njeri-in-the-mesme mund të ndodhë. Një certifikatë e pavlefshme do të pranohen. Këto janë të gjitha raste kur sulmuesit do të jetë në gjendje për të marrë në të njëjtën lidhje Wi-Fi si përdorues dhe qasje të gjithë të dhënat e që është duke u dërguar në lidhje me internet. Dhe së fundi, Kategoria e fundit unë kam këtu është fjalëkalimin hardcoded dhe çelësat. Ne fakt shohim një shumë e zhvilluesve të përdorur të njëjtin stil e kodimit se ata bënë kur ata ishin ndërtimin e aplikimeve web server, kështu që ata janë duke ndërtuar një aplikacion Java server, dhe ata janë hardcoding çelësin. E pra, kur ju jeni ndërtimin e një aplikim server, vërtet, hardcoding kyç nuk është një ide e mirë. Kjo e bën të vështirë për të ndryshuar. Por kjo nuk është aq e keqe në anën e serverit, sepse kush ka qasje në anën e serverit? Vetëm administratorët. Por në qoftë se ju merrni kodin e njëjtë dhe ju derdhi mbi të një aplikim celular tani të gjithë që ka që aplikimi celular ka qasje në atë çelës hardcoded, dhe ne fakt e shohim këtë shumë herë, dhe unë kam disa statistika se si shpesh ne e shohim këtë të ndodhë. Ajo në fakt ishte në kodin shembull se MasterCard botuar se si të përdorin shërbimin e tyre. Kodi shembull tregoi se si ju do të merrni vetëm një fjalëkalim dhe e vënë atë në një varg hardcoded drejtë atje, dhe ne e dimë se si zhvilluesve dua të kopjoni dhe ngjisni copra kodin kur ata janë duke u përpjekur për të bërë diçka, kështu që ju të kopjoni dhe ngjisni kodin copë që ata i dhanë si shembull kodin, dhe ju keni një kërkesë të pasigurt. Dhe këtu ne kemi disa shembuj. Kjo e para është një ne shohim një shumë ku ata hardcode e drejta e të dhënave në një URL që merr dërguar. Ndonjëherë ne e shohim varg fjalekalimin = fjalëkalimin. Kjo është goxha e lehtë për të zbuluar, ose regjistrohu string në BlackBerry dhe Android. Është në fakt shumë e lehtë për të kontrolluar për shkak se pothuajse gjithmonë developer emrat e ndryshueshme që e mban fjalëkalimin disa variant i password. Kam përmendur se ne bëjmë analiza statike në Veracode, kështu që ne kemi analizuar disa qindra Android dhe iOS aplikacione. Ne kemi ndërtuar modele të plota të tyre, dhe ne jemi në gjendje për të skanoni ato për dobësi të ndryshme, veçanërisht dobësitë Unë kam qenë duke folur për, dhe unë kam disa të dhëna këtu. 68.5% e Apps Android kemi shikuar në kishte thyer kodin kriptografike, e cila për ne, ne nuk mund të zbulojë nëse keni bërë vet rutinë tuaj kripto, jo se kjo është një ide e mirë, por kjo është në të vërtetë duke përdorur TV publikuara që janë në platformën, por duke bërë ata në një mënyrë të tillë se kripto do të jenë të prekshme, 68.5. Dhe kjo është për njerëzit që janë duke na dërguar aplikacionet e tyre të vërtetë, sepse ata mendojnë se është një ide e mirë për të bërë testimin e sigurisë. Këto janë tashmë njerëz që ndoshta janë duke menduar të sigurt, kështu që është ndoshta edhe më keq. Unë nuk flas për kontrollin e linjës ushqim injeksion. Kjo është diçka që ne të kontrolluar për të, por kjo nuk është e rrezikshme që një çështje. Rrjedhje e informacionit, ky është vendi ku të dhënat e ndjeshme është duke u dërguar jashtë pajisjen. Ne kemi gjetur se në 40% të aplikacioneve. Koha dhe shteti, ato janë çështje garë kusht lloji, zakonisht shumë e vështirë për të shfrytëzuar, kështu që unë nuk flas për këtë, por ne shikuar në të. 23% kishin probleme SQL injeksion. Shumë njerëz nuk e dinë se një shumë e aplikacioneve përdorin një të vogël pak bazë të dhënash SQL në fund të tyre prapa për të ruajtur të dhënat. E pra, në qoftë se të dhënat që ju jeni grabbing mbi rrjetin ka strings sulmet SQL injeksion në të dikush mund të bëjë kompromis pajisjen me anë të kësaj, dhe kështu që unë mendoj se ne gjejmë rreth 40% e aplikacioneve web kanë këtë problem, e cila është një problem i madh epidemi. Ne e gjejmë atë 23% të kohës në Apps celular dhe kjo është ndoshta për shkak se shumë më shumë aplikacione web përdorni SQL sesa lëvizshme. Dhe pastaj ne ende shohim disa scripting ndër-faqe, çështjet e autorizimit, dhe pastaj menaxhimin kredenciale, kjo është ajo ku ju keni harruar fjalëkalimin hardcoded. Në 5% të aplikacioneve të shohim se. Dhe pastaj ne kemi disa të dhëna mbi IOS. 81% kishin probleme trajtimin gabim. Kjo është më shumë një problem të cilësisë Kodi, por 67% e kishte çështje kriptografike, në mënyrë jo aq e keqe sa Android. Ndoshta APIs janë pak më e lehtë, shembulli kodet pak më të mirë në IOS. Por ende një përqindje shumë të lartë. Ne kishim 54% me rrjedhje të informacionit, rreth 30% me gabime të menaxhimit tampon. Kjo është vende ku ka potencialisht mund të jetë një çështje korrupsioni kujtesës. Ajo rezulton se kjo nuk është aq shumë e një problemi për shfrytëzim në IOS sepse të gjitha kod duhet të nënshkruhet, kështu që është e vështirë për një sulmues për të ekzekutuar kodin arbitrare në IOS. Cilësi Kodi, directory traversal, por pastaj menaxhimi kredencialet këtu në 14.6%, kështu më keq se në Android. Ne kemi njerëz nuk trajtimin fjalëkalime të saktë. Dhe pastaj gabimet numerike dhe tampon del nga shtrati, ato janë më të do të jenë çështje të cilësisë Kodi për IOS. Kjo ishte ajo për prezantimin tim. Unë nuk e di nëse ne jemi jashtë kohe apo jo. Unë nuk e di nëse ka ndonjë pyetje. [Mashkull] Një pyetje të shpejtë rreth fragmentimit dhe tregut Android. Apple të paktën zotëron patching. Ata bëjnë një punë të mirë për të marrë atë nga atje, ndërsa më pak në hapësirën Android. Ju pothuajse duhet të jailbreak telefonin tuaj për të qëndruar aktual me lirimin e tanishëm të Android. Po, kjo është një problem i madh dhe kështu që nëse ju mendoni për- [Mashkull] Pse nuk mund ti përsëris atë? Oh, e drejtë, kështu që pyetja ishte ajo që për fragmentim i sistemit operativ në platformën Android? Si bën që ndikojnë në rrezikshmërinë e këtyre pajisjeve? Dhe kjo në fakt është një problem i madh, sepse ajo që ndodh është pajisjet më të vjetër, kur dikush vjen me një jailbreak për këtë pajisje, në thelb kjo është eskalimin privilegj, dhe deri në atë të sistemit operativ është përditësuar çdo malware atëherë mund të përdorni atë vulnerabilitetin për kompromis krejtësisht pajisjen, dhe ajo që ne jemi duke parë në Android është në mënyrë që të merrni një sistem të ri operativ Google ka për të vënë jashtë të sistemit operativ, dhe pastaj prodhues hardware ka për të rregulloje atë, dhe pastaj transportuesi ka për të rregulloje atë dhe të dorëzojë atë. Ju keni në thelb 3 pjesët e lëvizshme këtu, dhe është e kthyer nga se transportuesit nuk e kujdesit, dhe prodhuesit e hardware nuk e kujdesit, dhe Google nuk është prodding ata të mjaftueshme për të bërë asgjë, kështu që në thelb shumë se gjysma e pajisjeve atje kanë sisteme operative që kanë këto dobësi shkallëzimin e privilegjeve në to, dhe kështu që nëse ju merrni malware në pajisjen tuaj Android është shumë më shumë një problem. Mirë >>, shumë faleminderit. [Duartrokitje] [CS50.TV]