[ندوة] [الدفاع عن خلف الجهاز: تطبيق الأمن جوالة]
 [كريس Wysopal] [جامعة هارفارد]
 [هذا CS50.] [CS50.TV]
 مساء الخير >>. اسمي كريس Wysopal.
 أنا CTO والمؤسس المشارك لVeracode.
 Veracode هي شركة الأمن التطبيق.
 نحن اختبار جميع أنواع التطبيقات المختلفة،
 وما أنا بصدد الحديث عنه اليوم هو الأمن تطبيقات الهاتف المتحرك.
 خلفيتي ولقد تم القيام أبحاث الأمن
 لفترة طويلة جدا، وربما حول ما دام أحدا.
 لقد بدأت في منتصف 90s،
 وكان الوقت الذي كان مثيرا للاهتمام جدا ل
 كان لدينا نموذج التغيير في منتصف 90s.
 كان مدمن مخدرات كل من الكمبيوتر الجميع فجأة لتصل إلى الإنترنت،
 ومن ثم كان لدينا بدايات تطبيقات الويب،
 وهذا ما ركزت على الكثير الحين.
 انها مثيرة للاهتمام.
 الآن لدينا نموذج آخر تغير يحدث مع الحوسبة،
 وهو التحول إلى تطبيقات الهاتف المحمول.
 

أشعر انها نوع من وقت مماثل ثم كان في أواخر 90s
 عندما كنا التحقيق تطبيقات الويب والبحث عن العيوب مثل
 أخطاء إدارة الدورة وحقن SQL
 الذي حقا لم تكن موجودة من قبل، وفجأة أنهم كانوا في كل مكان
 في تطبيقات الويب، والآن الكثير من الوقت أقضي
 تبحث في التطبيقات النقالة والنظر في ما يجري هناك في البرية.
 التطبيقات النقالة تسير حقا أن تكون منصة الحوسبة المهيمنة،
 لذلك نحن حقا بحاجة الى انفاق الكثير من الوقت إذا كنت في صناعة الأمن
 مع التركيز على تطبيقات الويب.
 كان هناك 29 مليار تطبيقات الجوال تحميلها في عام 2011.
 الذي من المتوقع أن يكون 76 مليار تطبيقات بحلول عام 2014.
 هناك 686000000 الأجهزة التي سوف يتم شراؤها من هذا العام،
 لذلك هذا هو المكان الذي يذهب الناس أن تفعل
  غالبية الحوسبة موكلهم للمضي قدما.
 

كنت أتحدث إلى نائب الرئيس في الاخلاص للاستثمارات
 قبل بضعة أشهر، وقال أنهم رأوا فقط المزيد من الحركة
 القيام بالمعاملات المالية من قاعدة زبائنها
 على تطبيقات الهاتف المتحرك الخاصة بهم من على موقعه على الانترنت،
 لذلك فقد كان الاستخدام الشائع للويب في الماضي
 التحقق من أسعار الأسهم الخاصة بك، وإدارة محفظتك،
 ونراه في الواقع أن التحول في عام 2012 أكثر من
 ليكون أكثر المهيمنة على منصة متنقلة.
 بالتأكيد إذا كان هناك ستكون أي نشاط إجرامي،
 أي نشاط ضار، انها سوف تبدأ في أن تركز على منصة متنقلة
 بمرور الوقت مع الناس التحول إلى ذلك.
 إذا نظرتم الى منصة متنقلة،
 للنظر في المخاطر من منصة انها مفيدة لكسرها نزولا إلى طبقات مختلفة،
 مثلك أن تفعل ذلك على جهاز كمبيوتر سطح المكتب،
 وكنت تفكر في طبقات مختلفة، والبرمجيات، ونظام التشغيل،
 طبقة الشبكة وطبقة الأجهزة، وبطبيعة الحال، هناك نقاط ضعف في جميع تلك الطبقات.
 

ويحدث الشيء نفسه على الهاتف المحمول.
 ولكن النقالة، يبدو أن بعض من تلك الطبقات هي أسوأ حالا.
 لأحد، وطبقة الشبكة هو أكثر صعوبة على الهاتف المحمول
 لأن الكثير من الناس لديهم في مكاتبهم أو في المنزل
 اتصالات السلكية أو لديهم صلات واي فاي آمنة،
 مع وجود الكثير من الأجهزة النقالة من الواضح أنك خارج المنزل
 أو خارج المكتب كثيرا، وإذا كنت تستخدم واي فاي هناك
 كنت قد يكون باستخدام اتصال واي فاي غير آمنة،
 شيء أن يكون اتصال واي فاي العامة،
 لذلك عندما نفكر تطبيقات الجوال علينا أن نأخذ في الاعتبار
 أن البيئة الشبكة هو أكثر خطورة لتلك التطبيقات
 عندما يتم استخدام الواي فاي.
 وعندما نصل الى أكثر من المخاطر تطبيقات الهاتف المتحرك
 سترى لماذا هذا أكثر أهمية.
 هناك مخاطر على مستوى الأجهزة على الأجهزة النقالة.
 هذا هو مجال البحوث الجارية.
 دعوة الناس هذه الهجمات ذات النطاق العريض أو الهجمات القاعدي
 أين أنت تهاجم البرامج الثابتة التي يستمع على الراديو.
 هذه هي حقا 

الهجمات مخيف ل
 لا يكون لدى المستخدم للقيام بأي شيء.
 يمكنك ضرب الكثير من الأجهزة الموجودة في نطاق الترددات اللاسلكية
 في آن واحد، ويبدو مثل هذا البحث كلما فقاعات تصل
 فإنه سرعان ما يحصل على تصنيف حيث
 الناس في جميع أنحاء انقضاض ويقول: "هنا، تخبرنا عن ذلك، ويرجى التوقف عن الحديث حول هذا الموضوع."
 هناك بعض الأبحاث الجارية في مجال النطاق العريض،
 ولكن يبدو أن صه صه جدا.
 اعتقد انها اكثر من نوع الدولة القومية من البحوث التي يجري.
 مساحة الأبحاث النشطة، رغم ذلك، هي طبقة نظام التشغيل،
 ومرة أخرى، وهذا يختلف من في العالم الحوسبة سطح المكتب
 لأنه في الفضاء المحمول لديك هذه الفرق من الناس ودعا الهرب من سجن،
 والهرب من سجن مختلفة من الباحثين الضعف العادية.
 انهم يحاولون ايجاد نقاط الضعف في نظام التشغيل،
 ولكن السبب انهم يحاولون العثور على نقاط الضعف ليست ل
 اقتحام الجهاز لشخص آخر وسطا عليه.
 انها لاقتحام الكمبيوتر الخاصة بهم.
 

انهم يريدون اقتحام المحمول الخاصة بهم، وتعديل نظام تشغيل الهواتف المحمولة الخاصة بهم في
 بحيث يمكن تشغيل التطبيقات التي يختارونها
 وتتغير الأمور مع أذونات إدارية كاملة،
 وأنها لا تريد أن تقول للبائع حول هذا الموضوع. انهم لا يحبون الباحث الأمني ​​الذي هو باحث الأمن قبعة بيضاء
 الذي تنوي القيام به الكشف مسؤولة ونقول للبائع عن ذلك.
 انهم يريدون ان يفعلوا هذا البحث، وأنها تريد أن تنشر فعلا
 في استغلال أو الجذور الخفية أو رمز الهروب من السجن،
 وأنها تريد أن تفعل ذلك من الناحية الاستراتيجية، مثل الحق بعد
 السفن بائع نظام التشغيل الجديد.
 لديك هذه العلاقة العدائية
 مع نقاط الضعف على مستوى نظام التشغيل على الهاتف النقال،
 التي أعتقد أنها مثيرة للاهتمام للغاية، ومكان واحد نراها
 وذلك يجعل من ذلك أن هناك جيدة كود نشرت استغلال هناك
 لمواطن الضعف على مستوى النواة،
 ولقد رأيت تلك في الواقع أن تستخدم من قبل مؤلفي البرمجيات الخبيثة.
 انها مختلفة قليلا من العالم PC.
 ثم طبقة النهائي هو الطبقة العليا، وطبقة التطبيق.
 هذا ما أنا بصدد الحديث عنه اليوم.
 

طبقات أخرى موجودة، وتلعب الطبقات الأخرى في ذلك،
 ولكن أنا في الغالب بصدد الحديث عن ما يحدث في طبقة التطبيق
 حيث يتم تشغيل التعليمات البرمجية في رمل.
 أنه ليس لديه امتيازات إدارية.
 عليها أن تستخدم واجهات برمجة التطبيقات من الجهاز،
 ولكن لا يزال، الكثير من النشاط الخبيثة والكثير من المخاطر يمكن أن يحدث في تلك الطبقة
 لأن هذا هو طبقة فيها كل المعلومات.
 يمكن الوصول إلى كافة التطبيقات والمعلومات على الجهاز
 إذا كانت لديك الأذونات الصحيحة،
 ويمكن الوصول إلى أجهزة استشعار مختلفة على الجهاز،
 استشعار نظام تحديد المواقع، وميكروفون، وكاميرا، وما إلى ذلك.
 على الرغم من أننا نتحدث فقط عن عند طبقة التطبيق
 لدينا الكثير من المخاطر هناك.
 الشيء الآخر الذي هو مختلف عن البيئة المتنقلة
 وجميع اللاعبين نظام التشغيل، سواء كان بلاك بيري أو أندرويد
 أو دائرة الرقابة الداخلية أو ويندوز موبايل، أنهم جميعا لديهم نموذج إذن غرامة الحبيبات،
 وهذه هي واحدة من الطرق التي بنيت في نظام التشغيل
 فكرة أنه ليست خطرة كما تظن.
 على الرغم من أن لديك كل ما تبذلونه من الاتصالات هناك، جميع المعلومات الشخصية الخاصة بك،
 لديك الصور الخاصة بك، لديك موقعك على هناك،
 كنت تخزين دبوس البنك الذي تتعامل معه لدخول السيارات هناك، انها آمنة ل
 تطبيقات يكون لديك أذونات معينة للحصول على أجزاء معينة
 المعلومات على الجهاز، والمستخدم لديه لتقديمها مع
 هذه الأذونات ويقول بخير.
 

إن المشكلة مع ذلك هو المستخدم دائما يقول بخير.
 كشخص الأمن، وأنا أعلم أنك يمكن مطالبة المستخدم،
 أقول شيئا سيئا حقا ما سيحدث، هل تريد أن يحدث ذلك؟
 واذا كانا لا يزالان في الاندفاع أو هناك شيء تحريضية حقا على الجانب الآخر من ذلك،
 مثل لعبة سوف يتم تثبيت أنهم كنت تنتظر،
 انهم ذاهبون الى فوق بخير.
 لهذا السبب أقول على الشريحة بلدي هنا فقط اسمحوا لي قذف الطيور في الخنازير بالفعل،
 ويمكنك ان ترى على الشريحة هنا وهناك أمثلة من مربع إذن بلاك بيري.
 تقول "الرجاء تعيين الأذونات تطبيق بلاك بيري سفر
 بعد النقر فوق الزر أدناه "، وأساسا المستخدم هو مجرد الذهاب الى القول
 تعيين الأذونات وحفظها.
 وهنا موجه الروبوت حيث أنه يظهر الأشياء،
 وفعلا يضع شيء يبدو تقريبا مثل تحذير.
 انها حصلت على نوع من العائد علامة قائلا هناك شبكة الاتصالات، مكالمة هاتفية،
 ولكن المستخدم هو الذهاب الى فوق تثبيت، أليس كذلك؟
 ثم واحد أبل هو حميدة تماما.
 أنها لا تعطي أي نوع من التحذير.
 انها مجرد أن أبل تريد استخدام موقعك الحالي.
 بالطبع كنت تريد الذهاب لانقر بخير.
 وهناك 

هذا النموذج إذن غرامة الحبيبات،
 وتطبيقات يكون لديك ملف البيان حيث يعلنون
 الأذونات التي يحتاجون إليها، والتي سوف تحصل على عرضها للمستخدم،
 وسيقوم المستخدم يجب أن أقول أنني منح هذه الأذونات.
 ولكن دعونا نكون صادقين.
 المستخدمين فقط أريد أن أقول دائما بخير.
 دعونا نلقي نظرة سريعة على الأذونات التي هذه التطبيقات يطلبون
 وبعض الأذونات الموجودة هناك.
 هذه الشركة لم الإمبراطوري استطلاع العام الماضي
 من 53،000 التطبيقات التي تم تحليلها في الأسواق السوق و3rd الطرف الروبوت،
 لذلك هذا هو كل الروبوت.
 وطلبت إلى متوسط ​​التطبيق 3 الأذونات.
 طلب بعض التطبيقات 117 الأذونات،
 لذلك من الواضح هذه هي دقيقة جدا الحبيبات وطريقة معقدة للغاية لمستخدم لفهم
 لو انهم قدموا مع هذا التطبيق الذي يحتاج هذه الأذونات 117.
 انها مثل اتفاقية ترخيص المستخدم النهائي وهذا 45 صفحات طويلة.
 ربما قريبا سيكون لديهم خيار حيث انها مثل
 طباعة أذونات وأرسل لي رسالة عبر البريد الإلكتروني.
 

ولكن اذا نظرتم الى بعض الأذونات الأعلى للاهتمام
 24٪ من التطبيقات التي تم تنزيلها من 53،000
 طلبت معلومات GPS من الجهاز.
 8٪ قراءة الأسماء.
 أرسلت 4٪ SMS، وحصل على 3٪ SMS.
 سجلت 2٪ الصوت.
 1٪ معالجة المكالمات الصادرة.
 لا أعرف.
 لا أعتقد أن 4٪ من التطبيقات في المتجر حقا بحاجة لإرسال رسائل نصية SMS،
 لذلك أعتقد أن هذا إشارة إلى شيء غير مرغوب فيه يجري.
 8٪ من التطبيقات تحتاج إلى قراءة لائحة جهات الاتصال الخاصة بك. انها على الارجح ليست ضرورية.
 واحدة من الأشياء الأخرى المثيرة للاهتمام حول الأذونات هو
 إذا قمت بربط في المكتبات المشتركة في التطبيق الخاص بك
 تلك ترث الأذونات من التطبيق،
 إذا كان الأمر كذلك يحتاج التطبيق الخاص بك في قائمة الاتصال أو يحتاج الموقع GPS على العمل
 وقمت بربط في مكتبة الإعلانات، على سبيل المثال،
 وسوف تكون هذه المكتبة الإعلان أيضا قادرة على الوصول إلى جهات الاتصال
 وأيضا أن يكون قادرا على الوصول إلى موقع GPS،
 ومطور التطبيق لا يعرف شيئا عن التعليمات البرمجية التي يدير في المكتبة الإعلانية.
 انهم مجرد ربط أنه في لأنهم يريدون لنقد تطبيقاتهم.
 هذا هو المكان 

وسأتحدث عن بعض الأمثلة على هذا الأمر مع
 تطبيق يسمى باندورا حيث مطور تطبيق
 قد تكون عن غير قصد تسريب معلومات
 من مستخدميها لأن المكتبات انهم ترتبط فيها.
 مسح المشهد هناك، وتبحث في جميع تطبيقات مختلفة
 التي تم الإبلاغ عنها في الأخبار كما لم المستخدمين شيء ضار أو لا تريد القيام
 ثم تفقد الكثير من التطبيقات، ونحن نفعل الكثير من التحليل ثنائي ثابت على تطبيقات المحمول،
 لذلك قمنا بتفتيش لهم ونظرت إلى القانون نفسه،
 توصلنا مع ما نسميه لدينا أعلى 10 قائمة من السلوكيات المحفوفة بالمخاطر في التطبيقات.
 وانها تقسيمها إلى 2 أقسام، والشيفرات الخبيثة،
 لذلك فان هذه هي الأشياء السيئة التي يمكن أن تطبيقات يفعل ذلك
 من المحتمل أن يكون شيئا هناك شخص خبيث
 وقد وضعت خصيصا في التطبيق، لكنه غامض بعض الشيء.
 يمكن أن يكون شيء أن المطور يعتقد على ما يرام،
 ولكن تبين في النهاية أنها فكرت في الخبيثة كما من قبل المستخدم.
 وبعد ذلك 

القسم الثاني هو ما نسميه الترميز نقاط الضعف،
 وهذه هي الأشياء التي المطور في الأساس هو الوقوع في الخطأ
 أو مجرد لا يفهم كيفية كتابة التطبيق بشكل آمن،
  وهذا ما يضع المستخدم التطبيق للخطر.
 انا ذاهب للذهاب من خلال هذه بالتفصيل وإعطاء بعض الأمثلة.
 للإشارة، أردت أن طرح OWASP قائمة أفضل 10 المحمول.
 هذه هي القضايا التي 10 مجموعة في OWASP،
 مشروع توسيع تطبيق ويب الأمن، لديهم مجموعة العمل
 العمل على المحمول قائمة أعلى 10.
 لديهم مشهورة جدا قائمة على شبكة الإنترنت أكبر 10، والتي هي أعلى 10
 أخطر الأشياء التي يمكن أن يكون في تطبيق ويب.
 انهم يفعلون الشيء نفسه للجوال،
 وقائمتهم هي مختلفة قليلا من بلدنا.
 6 من أصل 10 هي نفسها.
 لديهم 4 التي هي مختلفة.
 أعتقد أن لديهم قليلا من لقطة مختلفة على
 خطر في تطبيقات المحمول فيها الكثير من قضاياهم
 وحقا كيف التطبيق هو التواصل إلى خادم خلفية
 أو ما يحدث على ملقم الجهة الخلفية،
 تطبيقات وليس ذلك بكثير أن يكون السلوك المحفوف بالمخاطر التي هي تطبيقات العميل فقط مباشرة.
 

هم باللون الأحمر هنا هي الاختلافات بين القوائم 2.
 وبعض فريق بحثي ساهم فعلا في هذا المشروع،
 ولذا فإننا سوف نرى ما سيحدث مع مرور الوقت، ولكن أعتقد أن ذهابه هنا
 نحن لا نعرف حقا ما هو أعلى قائمة 10 في تطبيقات المحمول ل
 انهم حقا كان فقط حول ل2 أو 3 سنوات حتى الآن،
 ولم يكن هناك ما يكفي من الوقت للبحث حقا أنظمة التشغيل
 وما كنت قادر، وأنه لم يكن هناك ما يكفي من الوقت
 للمجتمع الخبيثة، اذا صح التعبير، قد قضى وقتا كافيا
 محاولة لمهاجمة المستخدمين من خلال تطبيقات المحمول، لذلك أتوقع هذه القوائم لتغيير قليلا.
 لكنه الآن، وهذه هي أفضل 10 أشياء ما يدعو للقلق.
 قد نتساءل على الجانب المتحرك حيث لا رمز موبايل الخبيثة
 كيف لا تحصل على إلى الجهاز؟
 ولاية نورث كارولينا لديها مشروع يسمى مشروع الجينوم المحمول الخبيثة
 حيث يتم جمع أكبر قدر من البرمجيات الخبيثة النقالة، حيث أنها تستطيع، وتحليلها،
 ولقد موزعة ناقلات الحقن التي تستخدم البرمجيات الخبيثة النقالة،
 وتستخدم 86٪ تقنية تسمى إعادة التغليف،
 وهذه ليست سوى على منصة أندرويد
 يمكنك حقا القيام بذلك إعادة التغليف.
 وبنيت 

رمز الروبوت والسبب مع
 رمز بايت جافا دعا DALVIK وهو decompilable بسهولة.
 ما الرجل السيئ يمكن القيام به هو
 تتخذ تطبيق الروبوت، فك ذلك،
 إدراج التعليمات البرمجية الخاصة بهم الخبيثة، وإعادة ترجمة عليه،
 ومن ثم طرحها في المتجر يزعم أن يكون نسخة جديدة من هذا التطبيق،
 أو ربما فقط تغيير اسم التطبيق.
 لو كان نوعا من اللعبة، تغيير اسم قليلا،
 وحتى هذا تحزيم هو كيف يحصل على توزيع 86٪ من البرمجيات الخبيثة النقالة.
 هناك تقنية تسمى تحديث آخر وهو
 مشابهة جدا لإعادة التعبئة، لكنك في الواقع لا تضع الشيفرات الخبيثة فيه.
 ما عليك فعله هو أن تضع في آلية التحديث الصغيرة.
 كنت فك، كنت وضعت في آلية التحديث، وإعادة ترجمة ذلك،
 وبعد ذلك عندما يتم تشغيل التطبيق فإنه يسحب إلى أسفل برامج ضارة على الجهاز.
 

حتى الآن الأغلبية هي تلك التقنيات 2.
 ليس هناك الكثير حقا تحميل محرك سطحها أو من سيارة التنزيلات على الهواتف النقالة،
 التي يمكن أن تكون مثل هجوم التصيد.
 مهلا، تحقق من هذا الموقع رائع حقا،
 أو كنت في حاجة للذهاب إلى هذا الموقع وملء هذا النموذج
 للحفاظ على استمرار تفعل شيئا. تلك هي هجمات تصيد المعلومات.
 نفس الشيء يمكن أن يحدث على منصة متنقلة حيث
 إشارة إلى التطبيق المحمول لتحميل، ويقول "مرحبا، وهذا هو بنك أوف أميركا".
 "نحن نرى كنت تستخدم هذا التطبيق."
 "يجب تنزيل هذا التطبيق الآخر."
 من الناحية النظرية، التي يمكن أن تعمل.
 ربما فقط لا تستخدم بما فيه الكفاية لتحديد ما اذا كان ناجحا أم لا،
 لكنهم وجدوا أن يستخدم أقل من 1٪ من الوقت الذي تقنية.
 في معظم الوقت انها حقا رمز إعادة تجميعها.
 

هناك فئة تسمى مستقل آخر
 حيث شخص يبني مجرد تطبيق العلامة التجارية الجديدة.
 يبنون أحد التطبيقات التي يزعم أن يكون شيء.
 انها ليست تحزيم من شيء آخر، والذي يحتوي على تعليمات برمجية ضارة.
 الذي يتم استخدامه 14٪ من الوقت.
 الآن أريد أن أتحدث عن ما تقوم به الشيفرات الخبيثة؟
 واحدة من البرمجيات الخبيثة لأول مرة هناك
 هل يمكن النظر في برامج التجسس.
 انها جواسيس في الأساس على المستخدم.
 التي تجمعها رسائل البريد الإلكتروني، والرسائل القصيرة.
 فإنه يتحول على الميكروفون.
 فإنه يحصد كتاب للإتصال به، ويرسل تشغيله لشخص آخر.
 هذا النوع من برامج التجسس موجودة على جهاز الكمبيوتر،
 لذلك فمن المنطقي مثالية للأشخاص لمحاولة القيام بذلك على الأجهزة النقالة.
 

كان واحدا من الأمثلة الأولى من هذا برنامج يسمى سر SMS المكرر.
 كان عليه في سوق الروبوت بضع سنوات مضت،
 وكانت الفكرة لو كان لديك الوصول إلى الروبوت الهاتف لشخص ما
 ان كنت تريد للتجسس على، لذلك ربما انها زوجتك
 أو غيرها من الخاص كبيرة وتريد للتجسس على الرسائل النصية، و
 هل يمكن تحميل هذا التطبيق وتثبيته وتكوينه
 لإرسال رسالة نصية قصيرة SMS لك بنسخة
 كل رسالة نصية SMS لأنهم وصلوا.
 هذا هو واضح في انتهاكات شروط الخدمة المتجر،
 وهذا تم إزالتها من سوق الروبوت في غضون 18 ساعة من كونها هناك،
 لذلك كان عدد قليل جدا من الناس في خطر بسبب هذا.
 الآن، اعتقد انه اذا كان برنامج يسمى شيئا ربما أقل قليلا الاستفزازية
 مثل سر SMS المكرر وربما قد عملت الكثير أفضل.
 ولكنه كان نوع من واضحة.
 

واحدة من الأشياء التي يمكننا القيام به لتحديد ما إذا كان لديهم هذا السلوك التطبيقات أننا لا نريد
 هو لتفقد التعليمات البرمجية.
 هذا هو في الواقع من السهل حقا أن تفعل على الروبوت لأننا لا نستطيع فك تطبيقات.
 على دائرة الرقابة الداخلية يمكنك استخدام المجمع مثل المؤسسة الدولية للتنمية برو
 لننظر إلى ما أبيس التطبيق تدعو وما تقوم به.
 كتبنا منطقتنا محلل ثابت ثنائي لرمز لدينا
 ونحن نفعل ذلك، وذلك ما يمكن أن تفعله هو أنك يمكن أن نقول
 لا الجهاز تفعل أي شيء أساسا على التجسس أو تتبع لي لي؟
 ولدي بعض الأمثلة هنا على اي فون.
 هذا المثال الأول هو كيفية الوصول إلى UUID على الهاتف.
 هذا هو في الواقع شيء أن أبل قد حظرت فقط لتطبيقات جديدة،
 ولكن التطبيقات القديمة التي كنت قد تعمل على الهاتف الخاص بك يمكن أن لا تزال تفعل ذلك،
 وبحيث معرف فريد يمكن استخدامها لتتبع لك
 عبر العديد من التطبيقات المختلفة.
 

على الروبوت، ولدي مثال هنا للحصول على موقع الجهاز.
 يمكنك أن ترى أنه إذا تلك الدعوة API هناك أن التطبيق هو تتبع،
 ويمكنك معرفة ما إذا كان هو الحصول على موقع جيد أو موقع الخشنة.
 ثم في الجزء السفلي هنا، ولدي مثال عن كيفية على بلاك بيري
 قد الوصول إلى التطبيق رسائل البريد الإلكتروني في صندوق البريد الوارد.
 هذه هي نوع من الأشياء التي يمكن أن تفقد لرؤية
 إذا كان التطبيق يفعل تلك الأشياء.
 الفئة الثانية الكبيرة من سلوك ضار، وهذا هو على الارجح اكبر فئة الآن،
 هو الاتصال غير المصرح به، والرسائل النصية SMS قسط غير المصرح به
 أو مدفوعات غير المصرح به.
 شيء آخر هذا فريدة من نوعها حول الهاتف
 ويتم توصيل الجهاز إلى حساب الفواتير،
 وعندما يحدث أنشطة على الهاتف
 أنها يمكن أن تخلق الاتهامات.
 يمكنك شراء الأشياء عبر الهاتف،
 وعند إرسال رسالة نصية قصيرة SMS قسط كنت إعطاء المال في الواقع
 لصاحب الحساب من رقم الهاتف على الجانب الآخر.
 تم إعداد هذه للحصول على أسعار الأسهم أو الحصول على برجك اليومي أو أشياء أخرى،
 ولكنها يمكن أن تقام لأجل منتج عن طريق إرسال نصية قصيرة SMS.
 الناس تعطي المال إلى الصليب الأحمر عن طريق إرسال رسالة نصية.
 يمكنك ان تعطي 10 $ بهذه الطريقة.
 

المهاجمون، ما فعلوه هو أنهم اقامة
 حسابات في دول أجنبية، وأنها تغرس في البرمجيات الخبيثة
 أن الهاتف سوف ترسل رسالة نصية SMS قسط،
 ويقول، بضع مرات في اليوم، وفي نهاية الشهر كنت أدرك كنت قد أنفقت
 عشرات أو ربما حتى مئات من الدولارات، ويمشون بعيدا مع المال.
 حصلت على هذا السوء أن هذا كان أول شيء جدا أن الروبوت
 السوق أو مكان، فإنه كان جوجل سوق الروبوت في ذلك الوقت،
 وانها الآن جوجل المباريات أول شيء أن جوجل بدأت التحقق من وجود.
 عندما بدأت جوجل توزيع تطبيقات الروبوت في متجر تطبيقاتهم
 قالوا انهم لن تحقق من وجود أي شيء.
 سنقوم سحب التطبيقات مرة واحدة لقد تم إخطار لقد كسر شروط الخدمة،
 لكننا لن تحقق من وجود أي شيء. حسنا، قبل نحو عام أنها حصلت سيئة للغاية مع هذه العلاوة رسالة نصية SMS الخبيثة
 أن هذا هو أول شيء بدأوا التدقيق ل.
 إذا كان التطبيق يمكن إرسال رسائل نصية SMS
 أنها تدقق أن تطبيق مزيد يدويا.
 انهم يبحثون عن واجهات برمجة التطبيقات التي تستدعي ذلك،
 والآن منذ ذلك الحين توسعت جوجل،
 ولكن هذا كان أول ما بدأوا يبحثون عنه.
 

بعض التطبيقات الأخرى التي فعلت بعض الرسائل النصية SMS،
 هذا الروبوت Qicsomos، أعتقد يطلق عليه.
 كان هناك هذا الحدث الحالي على المحمول حيث جاء هذا CarrierIQ خارج
 كما وضعت برامج التجسس على الجهاز من قبل شركات الطيران،
 من الناس تريد أن تعرف إذا كانت هواتفهم عرضة لهذا،
 وكان هذا التطبيق الحرة التي اختبرت ذلك.
 حسنا، بالطبع، ما فعله هذا التطبيق كان إرسال الرسائل النصية القصيرة المتميزة،
 ذلك عن طريق اختبار لمعرفة ما إذا كنت مصابة التجسس
 الذي قمت بتحميله البرامج الضارة على جهازك.
 رأينا الشيء نفسه يحدث في الماضي سوبر السلطانية.
 كان هناك نسخة وهمية للعبة كرة القدم مادن
 التي أرسلت رسائل نصية SMS متميزة.
 حاولت فعلا لإنشاء شبكة بوت جدا على الجهاز.
 هنا لدي بعض الأمثلة.
 ومن المثير للاهتمام، وكان أبل ذكية جدا،
 وأنها لا تسمح للتطبيقات لإرسال رسائل نصية SMS على الإطلاق.
 لا تستطيع ان تفعل ذلك التطبيق.
 هذا هو وسيلة رائعة للتخلص من فئة كاملة من الضعف،
 ولكن على الروبوت يمكنك أن تفعل ذلك، وبطبيعة الحال، على بلاك بيري يمكنك أن تفعل ذلك أيضا.
 انها مثيرة للاهتمام أن على بلاك بيري كل ما تحتاجه هو أذونات الإنترنت
 لإرسال رسالة نصية قصيرة SMS.
 

والشيء الآخر حقا أن ننظر ل
 عندما نحن نبحث لمعرفة ما إذا كان هناك شيء غير الخبيثة هو مجرد أي نوع من
 نشاط الشبكة غير مصرح بها، مثل إلقاء نظرة على نشاط الشبكة
 من المفترض أن يكون لديك وظائفه التطبيق،
 وإلقاء نظرة على هذا النشاط الشبكة الأخرى.
 ربما أحد التطبيقات، للعمل، لديها للحصول على البيانات عبر HTTP،
 ولكن إذا كان يفعل الأشياء عبر البريد الإلكتروني أو الرسائل القصيرة أو بلوتوث أو شيء من هذا القبيل
 الآن أن التطبيق المحتمل أن تكون ضارة، لذلك هذا هو آخر شيء كنت يمكن أن تفقد ل.
 وعلى هذه الشريحة هنا لدي بعض الأمثلة على ذلك.
 آخر الشيء المثير للاهتمام رأينا مع البرمجيات الخبيثة حدث مرة أخرى في عام 2009،
 وحدث ذلك بطريقة كبيرة.
 أنا لا أعرف إذا حدث ذلك كثيرا منذ ذلك الحين، ولكن كان التطبيق
 أن انتحاله تطبيق آخر.
 كان هناك مجموعة من التطبيقات، وسماها الهجوم 09Droid،
 وقرر شخص ما أن هناك الكثير من البنوك الصغيرة والإقليمية ومتوسطة الحجم
 التي لم يكن لديك تطبيقات الخدمات المصرفية عبر الإنترنت،
 وذلك ما فعلوه كان بنوا حوالي 50 تطبيقات الخدمات المصرفية عبر الإنترنت
 أن كل ما فعلوه هو اتخاذ اسم المستخدم وكلمة المرور
 وتحولك إلى الموقع.
 وهكذا وضعوا هذه كل شيء في سوق جوجل،
 في سوق الروبوت، وعندما يقوم شخص ما بحثت لمعرفة ما إذا حساباتهم المصرفية
 كان تطبيق أنهم سيجدون تطبيق وهمية،
 التي جمعت وثائق تفويضهم ثم توجيه لهم لموقعه على الانترنت.
 الطريق أن هذا الواقع أصبح ل-كانت هناك تطبيقات تصل لبضعة أسابيع،
 وكان هناك الآلاف والآلاف من التنزيلات.
 

وكان السبيل جاء هذا للضوء شخص كان وجود مشكلة
 مع واحدة من التطبيقات، ودعوا البنك، و
 ودعوا خط دعم العملاء المصرفية الخاصة بهم، وقال:
 "أواجه مشكلة مع تطبيق المصرفية عبر الهاتف المحمول الخاص بك."
 "هل يمكنك مساعدتي؟"
 وقالوا: "ليس لدينا تطبيق المصرفية عبر الهاتف المحمول."
 التي بدأت التحقيق.
 أن البنك دعا جوجل، ثم بدا جوجل، وقال:
 "نجاح باهر، والمؤلف نفسه قد كتب 50 التطبيقات المصرفية"، واقتادتهم جميعا إلى أسفل.
 ولكن بالتأكيد هذا يمكن أن يحدث مرة أخرى.
 هناك قائمة من جميع البنوك المختلفة هنا
 التي كانت جزءا من هذه الفضيحة.
 الشيء الآخر التطبيق يمكن القيام به هو الحاضر واجهة المستخدم من تطبيق آخر.
 في حين انها تعمل يمكن أن يطفو على السطح في الفيسبوك واجهة المستخدم.
 تقول عليك ان تضع في اسم المستخدم وكلمة المرور لمتابعة
 أو طرح أي اسم المستخدم وكلمة المرور واجهة المستخدم لموقع على شبكة الانترنت
 أنه ربما كان المستخدم يستخدم فقط في محاولة لخداع المستخدم
 في وضع وثائق تفويضهم فيها.
 هذا هو حقا موازية على التوالي من هجمات التصيد البريد الإلكتروني
 حيث شخص يرسل لك رسالة بريد إلكتروني
 ويعطيك أساسا واجهة وهمية لموقع على شبكة الانترنت
 أن يكون لديك الوصول إليها.
 والشيء الآخر 

نبحث عنه في الشيفرات الخبيثة هو تعديل النظام.
 يمكنك البحث عن جميع المكالمات API التي تتطلب امتياز الجذر
 لتنفيذ بشكل صحيح.
 أن تغيير وكيل ويب للجهاز يكون شيئا أن تطبيق
 لا ينبغي أن تكون قادرة على القيام به.
 ولكن إذا كان التطبيق يحتوي على رمز في هناك للقيام بذلك
 كنت أعرف أنه من المحتمل أن يكون التطبيق الخبيثة
 أو من المحتمل أن يكون تطبيق الخبيثة عالية جدا،
 وذلك ما يمكن أن يحدث هو أن التطبيق سيكون له بعض الطريق تصاعد الامتياز.
 كان يمكن أن يكون بعض التصعيد امتياز استغلال
 في التطبيق، ومن ثم بمجرد أن صعدت امتيازات
 أنها ستفعل هذه التعديلات النظام. يمكنك العثور البرامج الضارة التي لديها امتياز التصعيد
 في ذلك حتى من دون معرفة كيفية التصعيد امتياز
 استغلال ما سيحدث، وهذا لطيف، طريقة سهلة
 للبحث عن البرامج الضارة.
 كان DroidDream ربما قطعة من البرمجيات الخبيثة الأكثر شهرة الروبوت.
 أعتقد أنه يتأثر حوالي 250،000 مستخدمين على مدى بضعة أيام
 قبل العثور عليها.
 انهم إعادة تجميعها 50 طلبا وهمية،
 وضعها في مخزن التطبيق الروبوت،
 وأنها تستخدم أساسا الروبوت الهروب من السجن رمز لتصعيد الامتيازات
 ثم تثبيت أمر والسيطرة وتحويل جميع الضحايا
 في صافي بوت، ولكن هل يمكن أن يكون الكشف عن هذه
 إذا كنت مسح التطبيق وتبحث فقط عن
 يدعو API التي إذن الجذرية اللازمة لتنفيذ بشكل صحيح.
 

وهناك مثال هنا لدي الذي هو تغيير وكيل،
 وهذا لا يتوفر إلا في الواقع على الروبوت.
 يمكنك ان ترى أنا أقدم لك الكثير من الأمثلة على الروبوت
 لأن هذا هو المكان النظام الإيكولوجي البرمجيات الخبيثة الأكثر نشاطا هو
 لأنه من السهل حقا للمهاجمين للحصول على الشيفرات الخبيثة
 في سوق الروبوت.
 انها ليست من السهل جدا أن تفعل ذلك في المتجر أبل
 لأن أبل يتطلب المطورين لتعريف أنفسهم
 وتوقيع التعليمات البرمجية.
 أنها تحقق فعلا من أنت، وأبل هو فعلا التدقيق في التطبيقات.
 نحن لا نرى الكثير من البرمجيات الخبيثة الحقيقية حيث يتم الحصول على الجهاز للخطر.
 سأتحدث عن بعض الأمثلة حيث انها حقا الخصوصية التي يزداد خطر،
 وهذا ما يحدث حقا على جهاز أبل.
 شيء آخر للبحث عن الشيفرات الخبيثة، كود الخطرة في الأجهزة
 هو منطق أو الوقت القنابل، وقنابل موقوتة وربما
 أسهل بكثير للبحث عن قنابل من المنطق.
 ولكن مع قنابل موقوتة، ما يمكنك القيام به هو يمكنك أن تبحث عن
 وبدا الأماكن في التعليمات البرمجية حيث يتم اختبار الوقت أو مطلقة الوقت ل
 قبل وظيفة معينة في التطبيق يحدث.
 وهذا يمكن القيام به لإخفاء هذا النشاط من المستخدم،
 لذلك يحدث في وقت متأخر من الليل.
 لم DroidDream كل نشاطها 11:00 حتي 08:00 بالتوقيت المحلي
 في محاولة للقيام بذلك في حين أن المستخدم قد لا يكون باستخدام أجهزتهم.
 وهناك سبب آخر 

للقيام بذلك هي إذا كان الناس باستخدام التحليل السلوكي للتطبيق،
 تشغيل التطبيق في رمل لمعرفة ما هو السلوك للتطبيق،
 يمكنهم استخدام المنطق القائم على الوقت للقيام النشاط
 عند التطبيق ليس في رمل.
 على سبيل المثال، مخزن التطبيق مثل أبل
 تشغيل التطبيق، لكنهم ربما لا تشغيل كل تطبيق ل، مثلا، 30 يوما
 قبل الموافقة عليه، لذلك يمكنك وضع
 المنطق في التطبيق الذي قال، حسنا، تفعل سوى شيئا سيئا
 بعد 30 يوما قد ذهب من قبل، أو بعد 30 يوما من تاريخ نشر الطلب،
 والتي يمكن أن تساعد على إخفاء الشيفرات الخبيثة من الناس يتفقد لذلك.
 إذا كانت الشركات المضادة للفيروسات تقوم بتشغيل الأمور في ملاعب من الرمل
 أو التطبيق مخازن أنفسهم وهذا يمكن أن يساعد
 إخفاء ذلك من أن التفتيش.
 الآن، وعلى الجانب الآخر من ذلك هو أنه من السهل أن تجد مع تحليل ساكنة،
 حتى تفقده في الواقع رمز يمكنك أن تبحث عن جميع الأماكن
 حيث تطبيق اختبارات الزمن وتفقد بهذه الطريقة.
 وهنا لدي بعض الأمثلة على هذه المنصات المختلفة 3
 كيف يمكن التحقق من الوقت لمن قبل صانع التطبيق
 حتى تعرف ما الذي تبحث عنه إذا كنت يتفقد التطبيق بشكل ثابت.
 

أنا فقط ذهبت من خلال مجموعة كاملة من الأنشطة الخبيثة مختلفة
 التي شهدناها في البرية، ولكن تلك التي هي الأكثر انتشارا؟
 أن نفس الدراسة من ولاية كارولينا الشمالية مشروع الجينوم الدولة المحمول
 نشرت بعض البيانات، وكانت هناك أساسا 4 مناطق
 أنهم رأوا حيث كان هناك الكثير من النشاط.
 37٪ من التطبيقات فعل التصعيد امتياز،
 لذلك كان لديهم نوع من التعليمات البرمجية في الهروب من السجن هناك
 حيث حاولوا تصعيد الامتيازات بحيث يمكن
 لا أوامر API تشغيل ونظام التشغيل.
 45٪ من التطبيقات هناك فعل قسط SMS،
 ذلك أن نسبة كبيرة أن تحاول نقد مباشرة.
 93٪ لم تحكم عن بعد، لذلك حاولوا انشاء شبكة بوت، بوت شبكة المحمول.
 وتحصد 45٪ تحديد المعلومات
 مثل أرقام الهاتف، UUIDs، موقع GPS، وحسابات المستخدمين،
 وهذا يضيف ما يصل إلى أكثر من 100 لأن معظم البرمجيات الخبيثة يحاول القيام به عدد قليل من هذه الأشياء.
 

انا ذاهب للتبديل إلى الشوط الثاني والحديث عن نقاط الضعف التعليمات البرمجية.
 هذا هو النصف الثاني من النشاط محفوفة بالمخاطر.
 هذا هو المكان أساسا المطور ارتكاب أخطاء.
 مطور المشروعة كتابة التطبيق المشروعة
 يتم ارتكاب أخطاء أو يجهل مخاطر منصة متنقلة.
 هم فقط لا يعرفون كيفية جعل التطبيق المحمول آمنة،
 أو في بعض الأحيان المطور لا يهمه وضع المستخدم للخطر.
 في بعض الأحيان جزءا من نموذج أعمالها قد تكون
 حصاد المعلومات الشخصية للمستخدم.
 وهذا النوع من فئة أخرى، وهذا هو السبب في أن بعض من هذه الخبيثة
 يبدأ المشروع في مقابل تنزف على أنه لا يوجد اختلاف في الآراء
 بين ما يريد المستخدم وما تعتبره المستخدم محفوفة بالمخاطر
 وما تعتبره مطور التطبيق محفوفة بالمخاطر. بالطبع، انها ليست البيانات مطور التطبيق في معظم الحالات.
 

ثم أخيرا، هناك طريقة أخرى يحدث هذا هو مطور قد ربط في
 مكتبة المشتركة التي لديها نقاط الضعف أو هذا السلوك محفوف بالمخاطر في ذلك
 دون علم منهم.
 الفئة الأولى هي تسرب البيانات الحساسة،
 وهذا هو عندما يجمع التطبيق المعلومات
 مثل الموقع، معلومات دفتر العناوين، معلومات المالك
 ويرسل أن أغلق الجهاز.
 وبمجرد أن أغلق الجهاز، نحن لا نعرف ما يحدث مع تلك المعلومات.
 يمكن تخزينها غير مأمون من قبل مطور التطبيق.
 رأيناه الحصول على الشبهة مطوري التطبيقات،
 والبيانات التي يحصل انهم تخزين اتخاذها.
 حدث هذا قبل بضعة أشهر إلى أسفل المطور في ولاية فلوريدا
 حيث كان عدد كبير من بين ذلك UUIDs باد وأسماء الأجهزة
 سربت لشخص ما، وأعتقد أنه كان مجهول،
 ادعى القيام بذلك، اقتحم خوادم هذا المطور
 وسرقوا الملايين من باد UUIDs
 وأسماء أجهزة الكمبيوتر.
 لا المعلومات الأكثر خطورة،
 ولكن ماذا لو كان ذلك تخزين أسماء المستخدمين وكلمات المرور
 وعناوين المنازل؟
 هناك الكثير من التطبيقات التي تقوم بتخزين هذا النوع من المعلومات.
 والخطر هو هناك.
 

والشيء الآخر الذي يمكن أن يحدث هو إذا كان المطور لا تأخذ الرعاية
 لتأمين قناة البيانات، وهذا الضعف كبيرة أخرى أنا بصدد الحديث عنه،
 يتم إرسال تلك البيانات في واضحة.
 إذا كان المستخدم على شبكة واي فاي العامة
 أو شخص ما في مكان ما شم الإنترنت
 على طول الطريق يتعرض تلك البيانات.
 حالة واحدة مشهورة جدا من تسرب المعلومات هذا حدث مع باندورا،
 وهذا شيء نحن بحث في Veracode.
 سمعنا أن هناك، وأعتقد أنه كان على لجنة التجارة الاتحادية
 التحقيق يجري مع باندورا.
 قلنا، "ما الذي يحدث هناك؟ دعونا نبدأ الحفر في التطبيق باندورا".
 وما توصلنا كان تطبيق باندورا جمعها
 جنسك وعمرك،
 وأيضا الوصول إلى موقع GPS الخاص بك، وتطبيق باندورا
 فعلت هذا من أجل ما قالوا إنهم كانوا لأسباب مشروعة.
 الموسيقى التي كانوا يلعبون-باندورا هو التطبيق الموسيقى يتدفقون
 الموسيقى كانوا يلعبون تم الترخيص فقط في الولايات المتحدة،
 لذلك كان عليهم أن تحقق الامتثال لاتفاقيات الترخيص الخاصة بهم أن لديهم
 للموسيقى أن المستخدم كان في الولايات المتحدة.
 انهم يريدون أيضا ليتوافق مع الاستشارية الوالدين
 حول لغة الكبار في الموسيقى،
 وذلك هو برنامج طوعي، ولكن أرادوا أن تمتثل
 وعدم اللعب كلمات صريحة للأطفال 13 وتحت.
 

كان لديهم أسباب مشروعة لجمع هذه البيانات.
 كان تطبيقاتهم أذونات للقيام بذلك.
 يعتقد المستخدمين كان هذا المشروع. ولكن ماذا حدث؟
 أنها مرتبطة في 3 أو 4 مكتبات إعلانية مختلفة.
 الآن كل من المفاجئ على جميع المكتبات إعلان هذه
 يتم الحصول على الوصول إلى هذه المعلومات نفسها.
 المكتبات الإعلان، إذا نظرتم الى التعليمات البرمجية في مكتبات إعلان
 ما يفعلونه هو يقول كل مكتبة الإعلانية
 "هل لديك بلدي التطبيق إذن للحصول على موقع GPS؟"
 "أوه، أنها لا؟ حسنا، قل لي الموقع GPS".
 كل مكتبة إعلان واحد يفعل ذلك،
 وإذا لم يكن لديك إذن التطبيق GPS
 انها لن تكون قادرة على الحصول عليه، ولكن إذا كان كذلك، فإنه سوف تحصل عليه.
 هذا هو المكان الذي نموذج الأعمال المكتبات الإعلان
 تعارض خصوصية المستخدم.
 وكان هناك دراسات الى ان هناك سيقول إذا كنت تعرف سن
 شخص وأنت تعرف مواقعها
 حيث ينامون في الليل، لأن لديك إحداثيات GPS الخاصة
 في حين أنها ربما ينامون، وانت تعرف بالضبط من هو هذا الشخص
 لأنه يمكنك تحديد أي عضو في هذه الأسرة هو ذلك الشخص.
 حقا هذا هو تحديد للمعلنين
 بالضبط من أنت، ويبدو أنها كانت مشروعة.
 أريد فقط بلدي تدفق الموسيقى، وهذا هو السبيل الوحيد للحصول عليه.
 

حسنا، نحن يتعرض هذا.
 كتبنا هذا الأمر في العديد من المناصب بلوق،
 واتضح ان احدهم من مجلة رولينج ستون
 قراءة واحدة من بلوق وظائف لدينا وكتب بلوق الخاصة بها في رولينج ستون حول هذا الموضوع،
 وفي اليوم التالي للغاية يعتقد باندورا كان فكرة جيدة
 لإزالة المكتبات الإعلان من تطبيقها.
 بقدر ما أعرف انهم فقط، فهم ينبغي الثناء.
 اعتقد انهم نوع freemium فقط من التطبيق الذي قام به هذا.
 جميع تطبيقات freemium الأخرى لديها هذا السلوك نفسه،
 لذلك كنت قد حصلت على التفكير في أي نوع من البيانات التي منحنا
 هذه التطبيقات freemium لأنها جميعا سوف المعلنين.
 كما فعلت امبراطوري دراسة حول المكتبات المشتركة، وقال:
 "دعونا ننظر إلى ما المشتركة المكتبات هي المكتبات المشتركة العليا"، وكان هذا هو البيانات.
 

قاموا بتحليل 53،000 تطبيقات،
 وكانت المكتبة المشتركة رقم 1 Admob.
 كان عليه فعلا في 38٪ من التطبيقات هناك،
 حتى 38٪ من التطبيقات التي تستخدمه
 ومن المرجح حصاد معلوماتك الشخصية
 وإرساله إلى الشبكات الإعلانية. كانت اباتشي والروبوت 8٪ و 6٪،
 ثم هذه بعضها الآخر في أسفل، إعلانات جوجل، الموجة،
 الغوغاء مدينة الألفي وسائل الإعلام،
 هذه هي جميع الشركات الإعلانية، وبعد ذلك، من المثير للاهتمام بما فيه الكفاية،
 4٪ مرتبطة في المكتبة الفيسبوك
 ربما للقيام المصادقة من خلال الفيسبوك
 وبالتالي فإن التطبيق يمكن مصادقة الفيسبوك.
 ولكن هذا يعني أيضا شركة الفيسبوك يتحكم كود
 وهذا ما يعمل في 4٪ من تطبيقات الروبوت المتحرك هناك،
 وحصولهم على كافة البيانات التي أن التطبيق لديه الإذن للحصول على.
 الفيسبوك يحاول أساسا لبيع مساحات إعلانية.
 هذا هو نموذج أعمالها.
 

اذا نظرتم الى هذا النظام البيئي كله مع هذه الأذونات
 والمكتبات المشتركة التي تبدأ في رؤية أن
 لديك الكثير من المخاطر في تطبيق الشرعية المفترض.
 الشيء نفسه حدث مع المماثلة التي باندورا
 حدث مع تطبيق يسمى المسار،
 ويعتقد أنها كانت مسار كونها مفيدة والمطورين ودية.
 انها مجرد محاولة لتعطيك تجربة ممتازة للمستخدم،
 واتضح أنه من دون مطالبة المستخدم أو تشرح للمستخدم أي شيء،
 وحدث هذا على اي فون وعلى الروبوت،
 كان باندورا التطبيق على اي فون والروبوت
 أن تطبيق مسار تم الاستيلاء كتابك العنوان بالكامل
 وتحميلها على مسار فقط عند تثبيت وركض التطبيق،
 وأنهم لم اقول لكم حول هذا الموضوع.
 كانوا يعتقدون أنه كان مفيدا جدا بالنسبة لك
 لتكون قادرة على المشاركة مع جميع الناس في دفتر العناوين الخاص بك
 أن كنت تستخدم تطبيق مسار.
 

حسنا، من الواضح يعتقد مسار هذا كان كبيرا للشركة.
 ليست كبيرة للمستخدم.
 عليك أن تفكر أنه شيء واحد إذا ربما في سن المراهقة
 يستخدم هذا التطبيق وعشرات من الأصدقاء في هناك،
 ولكن ماذا لو كان الرئيس التنفيذي لشركة مسار الذي يثبت
 ثم فجأة على دفتر العناوين كلها تصل إلى هناك؟
 وأنت تسير في الحصول على الكثير من المعلومات الاتصال يحتمل أن تكون قيمة
 لكثير من الناس.
 وذكر مراسل من صحيفة نيويورك تايمز، قد تكون قادرة على الحصول على رقم الهاتف
 بالنسبة للرؤساء السابقين من دفتر العناوين الخاصة بهم،
 لذلك من الواضح أن الكثير من المعلومات الحساسة يحصل على نقل بشيء من هذا القبيل.
 كان هناك مثل هذا رفرف كبيرة حول هذا اعتذر أن مسار.
 غيروا التطبيق، وحتى أنها أثرت أبل.
 وقال تفاحة "، ونحن في طريقنا لإجبار البائعين التطبيق للمطالبة المستخدمين
 إذا أنهم ذاهبون لجمع بدفتر العناوين ".
 يبدو 

مثل ما يحدث هنا هو
 عندما يكون هناك واحد انتهاك خصوصية كبيرة ويجعل الصحافة
 ونحن نرى تغييرا هناك.
 ولكن بالطبع، هناك أمور أخرى هناك.
 يحصد تطبيق ينكدين إدخالات التقويم الخاص بك،
 ولكن أبل لا يجعل تتم مطالبة المستخدم عن ذلك.
 يمكن إدخالات التقويم لديهم معلومات حساسة في لهم أيضا.
 إلى أين أنت ذاهب لرسم الخط؟
 هذا هو حقا نوع من مكان المتطور
 حيث هناك حقا أي مستوى جيد هناك
 للمستخدمين لفهم عندما معلوماتهم ستكون في خطر
 وعندما أنهم ذاهبون لمعرفة يجري التقاطها.
 كتبنا التطبيق في Veracode دعا داع،
 وأساسا فإنه يسمح لك أن نشير التطبيق في الدليل الخاص بك اي تيونز
 والنظر في جميع التطبيقات التي تم حصاد الكتاب العنوان الكامل.
 وكما ترون في هذه القائمة هنا، غاضبون الطيور،
 AIM، AroundMe.
 لماذا تحتاج الطيور الغاضبة دفتر العناوين الخاص بك؟
 أنا لا أعرف، ولكنه بطريقة أو بأخرى.
 

وهذا شيء تفعل الكثير والكثير من التطبيقات.
 يمكنك فحص رمز لهذا الغرض.
 هناك واجهات برمجة التطبيقات واضحة المعالم لفون، أندرويد وبلاك بيري
 للحصول على دفتر العناوين.
 يمكنك بسهولة تفقد حقا لهذا، وهذا ما فعلناه في تطبيق وداع لدينا.
 فئة المقبل، غير آمنة تخزين البيانات الحساسة،
 هو شيء حيث تأخذ مطوري شيء مثل دبوس أو رقم الحساب
 أو كلمة مرور وتخزينه في واضحة على الجهاز.
 أسوأ من ذلك، لأنها قد تخزينه في منطقة على الهاتف
 التي يمكن الوصول إليها عالميا، مثل بطاقة SD.
 ترى هذا في كثير من الأحيان على الروبوت الروبوت ليسمح للحصول على بطاقة SD.
 أجهزة آيفون لا.
 ولكن حتى رأينا هذا يحدث في تطبيق سيتي جروب.
 تطبيق المصرفية على الانترنت تخزين أرقام الحسابات غير مأمون،
 فقط في واضحة، لذلك إذا كنت فقدت جهازك،
 أساسا كنت فقدت حسابك المصرفي.
 هذا هو السبب في أنني شخصيا لا تفعل المصرفية على اي فون بلدي.
 اعتقد انها خطرة جدا في الوقت الراهن للقيام بهذه الأنواع من الأنشطة.
 فعل 

سكايب نفس الشيء.
 سكايب، وبطبيعة الحال، لديه رصيد الحساب، واسم المستخدم وكلمة المرور
 التي يمكنها الوصول إلى هذا التوازن.
 كانوا تخزين كل هذه المعلومات في واضحة على الجهاز المحمول.
 لدي بعض الأمثلة هنا من إنشاء ملفات
 أن لا يكون لديك الأذونات الحق أو الكتابة إلى القرص
 وعدم وجود أي تشفير يحدث لذلك.
 هذه المنطقة القادمة، غير آمنة لنقل المعلومات الحساسة،
 لقد ألمح إلى ذلك عدة مرات، وبسبب واي فاي العامة
 هذا هو الشيء الذي تطبيقات تماما الحاجة إلى القيام به،
 وربما هذا هو ما نراه تسوء أكثر. وأود أن أقول، في الواقع، أعتقد أن لدينا البيانات الفعلية،
 لكنها قريبة إلى نصف التطبيقات النقالة
 المسمار القيام SSL.
 انهم فقط لا تستخدم واجهات برمجة التطبيقات بشكل صحيح.
 أعني، كل ما قد حصلت على القيام به هو اتباع التعليمات واستخدام واجهات برمجة التطبيقات،
 لكنهم أشياء مثل لا تحقق ما إذا كان هناك شهادة غير صالحة في الطرف الآخر،
 لا معرفة ما اذا كان الطرف الآخر يحاول القيام بهجوم بروتوكول تقليله.
 

المطورين، وأنها ترغب في الحصول على مربع الاختيار، أليس كذلك؟
 بحدها هو استخدام هذا للبيع. لقد استعملت هذا أنها للبيع.
 والشرط هو عدم استخدام هذا لبيع بشكل آمن،
 وحتى هذا هو السبب في كل التطبيقات التي تستخدم SSL لتأمين البيانات
 كما انه يتم نقلها من الجهاز حقا بحاجة الى أن يتم فحص
 للتأكد من أن تم تنفيذ بشكل صحيح.
 وهنا لدي بعض الأمثلة حيث يمكنك رؤية تطبيق
 قد تستخدم بدلا من HTTP HTTPS.
 في بعض الحالات تطبيقات ستعود إلى HTTP
 إذا كان HTTPS لا يعمل.
 لدي مكالمة أخرى هنا على الروبوت حيث انهم تعطيل الاختيار الشهادة،
 حتى هجوم رجل في الوسط إلى يمكن أن يحدث.
 لن يتم قبول شهادة غير صالحة.
 هذه هي جميع الحالات التي المهاجمين ستكون قادرة على الحصول على
 نفس اتصال واي فاي باسم المستخدم والوصول إلى كافة البيانات
 التي يجري إرسالها عبر الإنترنت.
 

وأخيرا، فإن الفئة الأخيرة لدي هنا هي كلمة السر ومفاتيح ضمنية.
 ونحن نرى في الواقع الكثير من المطورين استخدام نفس أسلوب الترميز
 أن فعلوا عندما كانوا يبنون تطبيقات خادم الويب،
 حتى انهم بناء تطبيق ملقم جافا، وانهم hardcoding المفتاح.
 حسنا، عندما كنت بناء تطبيق ملقم، نعم،
 hardcoding المفتاح ليست فكرة جيدة.
 فإنه يجعل من الصعب تغييرها.
 ولكنها ليست سيئة للغاية على جانب الملقم لأن الذي لديه حق الوصول إلى الجانب الخادم؟
 فقط للمسؤولين.
 ولكن إذا كنت تأخذ نفس الرمز وكنت سكب عليه أكثر لتطبيقات الهاتف المتحرك
 الآن كل شخص لديه أن تطبيقات الهاتف المتحرك لديه حق الوصول إلى هذا المفتاح ضمنية،
 ونحن نرى في الواقع هذا في الكثير من الأحيان، ولدي بعض الإحصاءات
 على كيفية غالبا ما نرى هذا يحدث.
 كان في الواقع في التعليمات البرمجية المثال أن نشرت ماستركارد
 حول كيفية استخدام خدمتهم.
 أظهرت رمز المثال كيف سيكون مجرد إلقاء كلمة المرور
 ووضعها في سلسلة ضمنية هناك حق،
 ونحن نعرف كيف نحب المطورين لنسخ ولصق قصاصات المتون
 عندما نحاول أن نفعل شيئا، لذلك يمكنك نسخ ولصق مقتطف الشفرة
 التي قدموها كما رمز المثال، وكان لديك تطبيق غير آمنة.
 

وهنا لدينا بعض الأمثلة.
 هذا واحد الأول هو واحد ونحن نرى الكثير حيث هاردكودي
 الحق البيانات إلى URL الذي يحصل إرسالها.
 أحيانا نرى سلسلة كلمة المرور = كلمة المرور.
 أن من السهل جدا للكشف، أو كلمة المرور على سلسلة بلاك بيري وأندرويد.
 انها في الواقع من السهل جدا للتحقق من أنه دائما تقريبا
 أسماء المطور المتغير الذي هو عقد كلمة المرور
 بعض الاختلاف من كلمة المرور.
 ذكرت أننا القيام بتحليل ثابتة في Veracode،
 لذلك قمنا بتحليل عدة مئات من تطبيقات الروبوت ودائرة الرقابة الداخلية.
 قمنا ببناء نماذج كاملة منها، ونحن قادرون على مسح لهم
 لثغرات أمنية مختلفة، وخاصة نقاط الضعف كنت أتحدث عنه،
 ولدي بعض البيانات هنا.
 68.5٪ من تطبيقات الروبوت ونحن ننظر في
 قد كسر كود التشفير،
 الذي بالنسبة لنا، ونحن لا يمكن الكشف عن إذا أجريت روتينك التشفير الخاصة،
 لا أن هذا هو فكرة جيدة، ولكن هذا هو الواقع باستخدام واجهات برمجة التطبيقات المنشورة
 التي هي على منصة ولكن القيام بها في مثل هذه الطريقة
 أن التشفير سيكون الضعيفة، 68.5.
 وهذا هو للناس أن ترسل لنا تطبيقاتها في الواقع ل
 انهم يعتقدون انها فكرة جيدة للقيام اختبار الأمن.
 هذه هي بالفعل أن الناس ربما تفكر بشكل آمن،
 لذلك فمن الأرجح أسوأ.
 

أنا لم أتحدث عن السيطرة حقن سطر تغذية.
 انها شيء ونحن تحقق من وجود، ولكن الأمر ليس بهذه محفوفة بالمخاطر قضية.
 تسرب المعلومات، وهذا هو المكان الذي يتم إرسالها البيانات الحساسة من الجهاز.
 وجدنا أن في 40٪ من التطبيقات.
 الوقت والدولة، وتلك هي القضايا سباق نوع الشرط، وعادة من الصعب جدا أن تستغل،
 لذلك أنا لم يتحدث عن ذلك، ولكن نحن ننظر في ذلك.
 وكان 23٪ قضايا حقن SQL.
 وهناك الكثير من الناس لا يعرفون أن الكثير من التطبيقات
 استخدام قاعدة بيانات SQL قليلا صغيرة على نهاية ظهورهم لتخزين البيانات.
 كذلك، إذا كانت البيانات التي كنت الاستيلاء عبر الشبكة
 لديها سلاسل هجوم حقن SQL في ذلك
 شخص ما يمكن أن ينال من الجهاز من خلال ذلك،
 وهكذا أعتقد أننا نجد حوالي 40٪ من تطبيقات الويب لديك هذه المشكلة،
 وهذه مشكلة ضخمة الوباء.
 نجد أنه 23٪ من الوقت في تطبيقات المحمول
 وهذا هو الأرجح لأن العديد من تطبيقات الويب استخدام SQL من المحمول.
 

وبعد ذلك لا نزال نرى بعض البرامج النصية عبر المواقع، وقضايا إذن،
 ثم إدارة الاعتماد، حيث ان لديك كلمة السر ضمنية.
 في 5٪ من تطبيقات نرى ذلك.
 ومن ثم لدينا بعض البيانات عن دائرة الرقابة الداخلية.
 وكان 81٪ قضايا معالجة الخطأ. هذا هو أكثر من مشكلة جودة رمز،
 ولكن 67٪ زيارتها قضايا التشفير، لذلك ليس تماما سيئا كما الروبوت.
 ربما واجهات برمجة التطبيقات هي أسهل قليلا، رموز سبيل المثال أفضل قليلا على دائرة الرقابة الداخلية.
 ولكن لا تزال نسبة عالية جدا.
 كان لدينا 54٪ مع تسرب المعلومات،
 حوالي 30٪ مع وجود أخطاء إدارة العازلة.
 هذا الأماكن التي من المحتمل أن تكون هناك مشكلة تلف الذاكرة.
 اتضح أن هذا ليس مثل كثير من المشكلة لأغراض الاستغلال
 على دائرة الرقابة الداخلية لأن كل رمز لابد من وقعت،
 لذلك فمن الصعب بالنسبة للمهاجمين لتنفيذ قانون تعسفي على دائرة الرقابة الداخلية.
 رمز الجودة، اجتياز الدليل، ولكن إدارة بيانات الاعتماد ثم هنا في 14.6 في المائة،
 أسوأ من ذلك على الروبوت.
 لدينا أشخاص لا يعالج كلمات السر بشكل صحيح.
 ثم الأخطاء الرقمية وتجاوز سعة المخزن المؤقت،
 تلك هي أكثر ستكون متاحة قضايا الجودة في دائرة الرقابة الداخلية.
 

هذا ما كان لعرضي. أنا لا أعرف إذا كنا من الوقت أم لا.
 أنا لا أعرف ما إذا كان هناك أي سؤال.
 [ذكر] سؤال سريع حول تجزئة وسوق الروبوت.
 التفاح على الأقل تمتلك الترقيع.
 انهم يقومون بعمل جيد من الحصول عليه في حين أن هناك أقل من ذلك في الفضاء الروبوت.
 تحتاج تقريبا إلى الهروب من السجن الهاتف الخاص بك إلى البقاء الحالية
 مع الإصدار الحالي من الروبوت.
 نعم، وهذا مشكلة كبيرة وحتى إذا كنت تفكر-
 [ذكر] لماذا لا يمكن لك تكرار ذلك؟
 

أوه، الحق، لذلك كان السؤال ماذا عن تجزئة
 من نظام التشغيل على منصة أندرويد؟
 كيف يمكن أن تؤثر على المخاطرة في تلك الأجهزة؟
 وأنه هو في الواقع مشكلة كبيرة، لأن ما يحدث هو
 في الأجهزة القديمة، عندما يأتي شخص ما مع الهروب من السجن لهذا الجهاز،
 أساسا هذا التصعيد امتياز، وحتى يتم تحديث نظام التشغيل
 يمكن لأي من البرامج الضارة ثم استخدم هذا الضعف تماما لتقديم تنازلات الجهاز،
 وما نراه على الروبوت هو من أجل الحصول على نظام التشغيل الجديد
 جوجل لديها لاخماد نظام التشغيل، ومن ثم الشركة المصنعة للجهاز
 لديه لتخصيصه، ومن ثم الناقل له لتخصيصه وتسليمه.
 أساسا لديك 3 أجزاء متحركة هنا،
 وانها انقلبت أن شركات الطيران لا يهمني،
 والشركات المصنعة للأجهزة لا يهمني، وجوجل لا الحث لهم ما يكفي
 لفعل أي شيء، لذلك أساسا أكثر من نصف الأجهزة هناك
 لديها أنظمة التشغيل التي لديها نقاط الضعف هذه التصعيد امتياز في نفوسهم،
 وحتى إذا كنت تحصل على البرامج الضارة على جهاز الروبوت الخاص بك هو أكثر بكثير من مشكلة.
 حسنا >>، وشكرا جزيلا لكم.
 [تصفيق]
 [CS50.TV]