[Seminar] [Qurğu arxasında Müdafiə: Mobile Application Security] [Chris Wysopal] [Harvard Universiteti] [Bu CS50 edir.] [CS50.TV] Yaxşı günortadan sonra. My name Chris Wysopal edir. Mən CTO və Veracode həmtəsisçisi edirəm. Veracode bir proqram təhlükəsizlik şirkətidir. Biz müxtəlif applications bütün növ test, və nə mən bu gün haqqında danışmaq üçün gedirəm mobil proqram təhlükəsizlik. Mənim fon təhlükəsizlik tədqiqat bunu olduğunuz çox uzun müddət üçün, yəqin ki, kimi uzun heç kimi haqqında. Mən ortalarında 90-cı illərin başladı, və bu, olduqca maraqlı idi ki, bir vaxt idi, çünki biz ortalarında 90-cı illərdə bir paradiqma dəyişiklik idi. Ani hər kəsin kompüter bütün internet qədər əyri edilmişdir, sonra biz web applications başlanğıcları idi, və mən sonra bir çox diqqət nə var. Bu maraqlı deyil. İndi biz, kompüter ilə baş bir paradiqma dəyişikliyi var olan mobil applications üçün shift edir. Mən o mərhum 90-cı idi bənzər bir vaxt növ hiss biz web applications istintaq və kimi qüsurları tapmaq zaman sessiya idarə səhvlər və SQL injection həqiqətən əvvəl mövcud olmayan, və qəfil bütün onlar hər yerdə idi web applications, və indi sərf çox vaxt mobil applications baxaraq və vəhşi orada neler axtarır. Mobile applications həqiqətən dominant computing platforma olacaq, belə ki, biz, həqiqətən, sizin təhlükəsizlik sənayesinin əgər çox vaxt sərf etmək lazımdır web applications diqqət. 2011-ci ildə nazil 29 milyard mobil apps var idi. 2014-ci ilə 76 milyard apps olmaq proqnozlaşdırılan edir. Bu il əldə etmək üçün edir ki, 686 milyon cihazlar var, insanlar bunu etmək niyyətində olduğu belə bu  müştəri kompüter əksəriyyəti irəli gedir. I Fidelity Investments bir vitse-prezidenti ilə söhbət bir neçə ay əvvəl, və o, onlar yalnız daha çox trafik gördüyünü söylədi müştəri bazası maliyyə əməliyyatları bunu öz saytında daha mobil proqram, belə keçmişdə Web üçün ümumi istifadə olmuşdur , sizin fond quotes yoxlanılması sizin portfelinin idarə və biz, həqiqətən, 2012-ci keçid ki gördükdə mobil platforma daha dominant olmalıdır. Hər hansı cinayət fəaliyyəti var olacaq Əlbəttə əgər, hər hansı bir zərərli fəaliyyəti, mobil platforma diqqət etmək başlamaq olacaq insanlar üzərində keçid zamanla kimi. Mobil platforma baxsaq, Bu müxtəlif təbəqələrinin onu qırmaq üçün faydalı platforma risklərin baxmaq üçün, Bir masa üstü kompüter bunu kimi, siz müxtəlif təbəqələrinin, proqram təminatı, əməliyyat sistemi, haqqında düşünmək şəbəkə qat, hardware qat, və əlbəttə, bütün bu qat zəifliklərin var. Eyni şey mobil olur. Lakin mobil, o qat bir off pisdir ki, görünür. Bir üçün, şəbəkə qat mobil daha problemlidir bir çox insanlar öz ofisində və ya evdə, çünki əlaqələri simli və ya onlar təhlükəsiz Wi-Fi əlaqələri var, və mobil cihazlar bir çox siz evdən kənarda açıq-aydın deyilik və ya bir çox ofis kənarda və Wi-Fi istifadə edirsinizsə var Siz bir etibarsız Wi-Fi bağlantısı istifadə edilə bilər, ictimai Wi-Fi bağlantısı var ki, bir şey, Biz mobil apps haqqında düşünmək zaman biz nəzərə almaq lazımdır Şəbəkə mühiti həmin applications üçün riskli olduğunu Wi-Fi istifadə edildikdə. Mən mobil proqram riskləri daha daxil olduqda daha vacibdir nə görürsünüz. Mobil cihazlar hardware səviyyədə risklər var. Bu davam edən araşdırma bir sahədir. İnsanlar bu genişzolaqlı hücumlar və ya baseband hücumlar zəng Siz radio dinləmək ki, firmware hücum olduğunuz. Bu həqiqətən qorxudan hücumlar, çünki istifadəçi bir şey yoxdur. Siz RF daxilində cihazlar çox hit bilər bir dəfə, və bu tədqiqat bubbles zaman kimi görünür Bu tez olduğu təsnif olur insanların ətrafında swoop və demək, "Burada, bu barədə bizə və bu barədə söhbət dayandırmaq edin." Genişzolaqlı sahəsində gedən bəzi tədqiqat var, lakin çox hush hush görünür. Mən gedir ki, tədqiqat bir millət dövlət növü daha çox hesab edirəm. Fəal tədqiqat sahəsi, baxmayaraq ki, əməliyyat sistemi qatı, və yenidən, bu, masa üstü kompüter dünyada daha fərqli mobil məkanında siz Jailbreakers adlı insanların bu komandalar var, çünki və Jailbreakers müntəzəm açığı tədqiqatçılar çox fərqlidir. Onlar əməliyyat sistemi zəifliklərin tapa çalışdığınız lakin onlar zəifliklərin tapmaq üçün çalışdığınız səbəbi deyil başqasının maşın qırmaq və güzəştə. Bu, onların öz kompüter girməyə var. Onlar öz mobil başlamaq istəyirəm >>, öz mobil əməliyyat sistemi dəyişdirmək onların seçimi ərizə çalıştırabilirsiniz ki və tam inzibati izinleri olan şeyi dəyişdirmək, və onlar bu barədə satıcı demək istəmirəm. Onlar ağ hat təhlükəsizlik araşdırmaçısı olan bir təhlükəsizlik tədqiqatçı kimi deyilik məsul açıqlanması və bu barədə satıcı demək gedir. Onlar bu araşdırma etmək istəyirəm, və onlar həqiqətən dərc etmək istəyirsinizsə bir istismar və ya bir TT_Rootkit və ya bir jailbreak kodu, və onlar sağ sonra kimi, strateji bunu istəyirəm satıcı gəmiləri yeni əməliyyat sistemi. Bu çəkişmə əlaqələr var mobil OS səviyyəli zəifliklərin ilə, Mən olduqca maraqlı hesab edirəm ki, və bir yerdə biz bunu görürük olan yaxşı istismar nəşr kodu orada var ki, belə ki, o edir kernel səviyyədə zəifliklərin üçün, və biz, həqiqətən, malware yazıçılar tərəfindən istifadə edilə həmin gördüm. Bu PC dünyada daha az fərqli. Və sonra final qat üst qat, proqram qatıdır. Mən bu gün haqqında danışmaq gedirəm budur. Digər təbəqələrinin mövcud, və digər təbəqələrinin onu oynamaq amma mən daha çox tətbiq qatı ilə neler haqqında danışmaq üçün gedirəm kodu Sandbox çalışan yerləşir. Bu inzibati güzəştlər yoxdur. Bu cihaz API istifadə edir, lakin hələ də, zərərli fəaliyyəti bir çox və risk bir çox təbəqə baş verə bilər bütün informasiya olduğu qat çünki. Apps cihaz bütün məlumat əldə edə bilərsiniz onlar doğru izinleri varsa, və onlar cihaz haqqında müxtəlif sensorlar əldə edə bilərsiniz, GPS sensor, mikrofon, kamera, sizə nə. Biz yalnız tətbiq qatı ilə söhbət edirik, baxmayaraq ki, Biz orada risk var. Mobil mühit haqqında fərqli ki, başqa şey bütün əməliyyat sistemi oyunçular, bu edilir BlackBerry və ya Android və ya iOS və ya Windows mobil, onlar bütün, bir gözəl dənəvər icazə model var və bu onlar əməliyyat sistemi daxil ki, yollarından biridir hesab edirəm ki, kimi riskli deyil ki, fikir. Siz orada bütün əlaqələri var baxmayaraq, bütün şəxsi məlumat, Sizin photos var, orada yere var Siz orada avtomatik giriş üçün bank pin saxlanılması edirik, təhlükəsiz, çünki apps müəyyən hissələri almaq üçün müəyyən icazələrin var cihaz haqqında məlumat və istifadəçi ilə təqdim edilməlidir Bu icazələrin və tamam demək. Onunla daim problem istifadəçi tamam deyir. Təhlükəsizlik şəxs kimi, mən istifadəçi təklif edə bilirik, həqiqətən, pis bir şey baş verəcək deyə, belə istəyirsiniz? Və onlar bir çıxış etdiyiniz və ya digər tərəfdən həqiqətən tamahlandırıcı bir şey varsa, kimi bir oyun, onlar üçün gözləmə olduğunuz yüklü olacaq onlar tamam basın olacaq. Mən yalnız mənə artıq donuz da quş tullamaq edək burada mənim slayd demək görə ki, və bir BlackBerry icazə qutusu nümunələri var slide burada görə bilərsiniz. Bu, "BlackBerry Travel ərizə icazələri qurmaq edin deyir aşağıdakı 'düyməsinə tıklayarak "və əsasən istifadəçi yalnız demək gedir sonra icazələri və saxlamaq. Burada hər şeyi göstərir bir Android tez var, və bu, həqiqətən demək olar ki, bir xəbərdarlıq kimi görünür ki, bir şey qoyur. Orada gəlir əlaməti deyərək şəbəkə rabitə, telefon bir növ var ancaq istifadəçi sağ yüklemek basın gedir? Və sonra Apple bir tamamilə zərərsiz deyil. Bu xəbərdarlıq hər cür vermir. Bu Apple cari yeri istifadə etmək istəyirəm, yalnız var. Əlbəttə tamam basın olacaq. Bu xırdadənəli icazə model var və apps onlar bəyan yerləşir açıq-aşkar bir fayl var , izinleri onlar lazımdır ki, istifadəçi göstərilir olacaq və istifadəçi bu izinleri demək olacaq. Amma vicdanlı olsun. İstifadəçilər yalnız həmişə tamam demək gedir. Nin bu apps üçün xahiş olunur ki izinleri bir sürətli nəzər salaq və var ki, icazələrin bəzi. Bu şirkət İmperator keçən il bir sorğu etdi Android bazar və 3-cü tərəf bazarlarında təhlil 53,000 ərizə, bu bütün Android edir. Və orta app 3 icazələrin tələb. Bəzi apps 117 icazələrin tələb, belə açıq-aydın bu anlamaq üçün bir istifadəçi üçün dənəvər və yol çox mürəkkəb çox gözəl bu 117 icazələrin lazımdır ki, bu app təqdim edirik əgər. Bu 45 pages uzun ki, son istifadəçi lisenziya müqaviləsi kimi. Bəlkə onlar bu kimi bir seçimi olacaq icazələrin çap və mənə bir email göndər. Amma top maraqlı icazələrin bəzi baxmaq əgər Onlar 53,000 həyata nazil olan apps 24% cihaz tələb GPS məlumat. 8% əlaqə oxuyun. 4% SMS göndərdi və 3% SMS qəbul etmişdir. 2% audio qeyd. 1% zənglər emal. Bilmirəm. Mən app mağaza apps 4% həqiqətən SMS mətn mesajları göndərmək üçün lazımdır düşünmürəm Mən ki, arzu edilməyən bir şey gedir ki, bir işarə var düşünürəm. Apps 8% əlaqə siyahısını oxumaq lazımdır. Bu yəqin ki, lazım deyil. Izinleri haqqında digər maraqlı şeyi biridir Siz ərizə daxil paylaşılan kitabxanalar keçid əgər həmin proqramın icazələrini varis, belə ki, sizin app əlaqə siyahısını lazımdır və ya fəaliyyət üçün GPS yer lazımdır əgər və məsələn, bir reklam kitabxana keçid reklam kitabxana da kontaktlar daxil olacaq həmçinin GPS yeri daxil ola, və app geliştirici reklam kitabxana çalışan olan indeksi haqqında heç bir şey bilir. Onların app paraya istəyirəm, çünki onlar yalnız birləşdirən edirik. Bu harada və mən bu bəzi nümunələri haqqında danışmaq lazımdır Pandora adlı bir proqram bir proqram geliştirici unwittingly məlumat sızan bilər onların istifadəçilər çünki onlar da bağlı etdik kitabxanaların Bütün müxtəlif apps baxaraq, orada landşaft Surveying zərərli və ya bunu bir şey users istəmirdi xəbərlərdə ki və sonra bir çox yoxlamaqla apps-biz, mobil apps statik ikili təhlili bir çox belə ki, biz onları təftiş və kodu baxdı özü- biz applications riskli davranışlar bizim top 10 siyahısı zəng nə ilə gəldi. Və bu, 2 bölmə, zərərli kodu bölünə bilər bunlar apps bunu bilər ki, pis şeylər var ki, bir zərərli fərdi bir şey ola bilər xüsusi tətbiqi qoymaq, lakin bir az qeyri-səlis var etmişdir. Bu, bir geliştirici gözəl hesab edir ki, bir şey ola bilər ancaq istifadəçi tərəfindən kimi zərərli fikir olan qədər başa. Və sonra ikinci hissəsində biz zəifliklərin kodlaşdırma zəng nə, və bu geliştirici əsasən səhvlər edilməsi yerləşir şeylər var və ya yalnız təhlükəsiz app yazmaq necə dərk etmir,  ki, risk app istifadəçi qoyulması edir. Mən ətraflı bu yolu getmək və bəzi nümunələr vermək gedirəm. Sened üçün, mən Owasp mobil top 10 siyahısı qoymaq istədi. Bu 10 məsələlərdir ki Owasp bir qrup, Açıq Web Application Security Project, onlar bir iş qrupu var mobil top 10 siyahısı üzərində işləyir. Onlar top 10 olan bir çox məşhur web top 10 siyahısı var riskiest şeyi bir web proqram ola bilər. Onlar Mobil üçün eyni şey edirik, və onların siyahısı bizim bir az fərqlidir. 10 həyata 6 eynidir. Onlar müxtəlif olan 4 var. Mən fərqli bir almaq bir az var mobil apps risk onların məsələləri bir çox həqiqətən proqram geri sonuna server üçün ünsiyyət necə və ya nə geri sonuna server gedən, yalnız sadə müştəri apps ki, riskli davranış var ki, çox deyil apps. Burada qırmızı olanlar 2 siyahıları arasında fərqlər var. Və mənim tədqiqat komandanin bəzi həqiqətən bu layihəyə əməyi, belə ki, biz zamanla nə görürsünüz, amma burada paket hesab Biz, həqiqətən, top 10 siyahısı mobil apps nə bilmirəm, çünki Onlar, həqiqətən, yalnız indi 2 və ya 3 il ətrafında olduğunuz və həqiqətən əməliyyat sistemləri tədqiqat üçün kifayət qədər vaxt olmamışdır və nə onlar qadir olduğunuzu, və kifayət qədər vaxt olmamışdır Siz zərərli cəmiyyət üçün, kifayət qədər vaxt sərf mobil apps vasitəsilə hücum etmək üçün çalışırıq, belə ki, mən bu siyahıları bir az dəyişdirmək gözləyirik. Amma indi bu barədə narahat üçün 10 şey. Siz mobil tərəfində təəccüb bilər harada yoxdur zərərli mobil kodu- necə bu cihaz almaq deyil? North Carolina Dövlət Mobil Zərərli proqram Genom Project adlı bir layihə var onlar, onlar qədər bilərsiniz kimi mobil malware toplanması və təhlil olunur və onlar, mobil malware istifadə edir ki, injection istiqamətini aşağı sınıq etdik və 86%, yenidən qablaşdırılmasını adlandırılan bir texniki istifadə və bu Android platformasında yalnız Əgər həqiqətən bu formasının edə bilərsiniz. Səbəbi Android kodu ilə inşa edilir asanlıqla decompilable olan Dalvik adlı Java byte kodu. Nə pis oğlan bilər bir Android proqram almaq, hissələrə ayırmamalı, onların zərərli kodu daxil derleyeceğiz, və sonra proqramın yeni versiyası ola purporting app mağaza onu qoymaq, və ya bəlkə tətbiqi adının dəyişdirilməsi. Bu oyun bir növ idi, yüngül adını dəyişdirmək və bu təkrarı mobil malware 86% paylanan olur necə. Olan digər texnika adlı yeniləmə var formasının çox oxşar, lakin həqiqətən, daxil zərərli kodu qoymaq deyil Nə bir kiçik yeniləmə mexanizmi qoymaq. Siz hissələrə ayırmamalı, bir yeniləmə mexanizmi qoymaq, siz compile, və sonra app bu cihaz üzərində malware aşağı çıxarmaz çalışan zaman. Uzaq əksəriyyəti o 2 üsulları var. Mobil həqiqətən çox download drive-bys və ya sürücü-by downloads yoxdur bir phishing hücum kimi ola bilər. Hey, bu, həqiqətən cool web kontrol, və ya bu web getmək və bu formu doldurun lazımdır bir şey bunu davam saxlamaq. Həmin phishing saldırıları olunur. Eyni şey mobil platforma ola bilər onlar , download demək üçün bir mobil app qeyd "Hi, bu Bank of America edir." "Biz bu proqram istifadə edirsinizsə görürük." "Siz bu digər proqram download lazımdır." Nəzəri cəhətdən işləməyə bilər. Bəlkə yalnız bu uğurlu və ya olub-olmadığını müəyyən etmək üçün kifayət qədər istifadə edilmir lakin onlar zaman ki, texnika az 1%-dən istifadə olunur ki, tapılmadı. Vaxt əksəriyyəti həqiqətən bir repackaged kodu var. Bir kateqoriya adlı bağımsız var kimsə yalnız bir yeni proqram qurur yerləşir. Onlar bir şey olduğu iddiasında ki, bir proqram qurmaq. Bu başqa bir şey təkrarı deyil ki, zərərli kodu var. Bu zaman 14% istifadə olunur. İndi zərərli kodu nə haqqında danışmaq istəyirsiniz? Orada ilk malware bir bir spyware hesab edə bilər. Bu əsasən istifadəçi casusları. Bu e-poçt, SMS toplayır. Bu mikrofon çevrilir. Bu əlaqə kitab məhsulları, və başqasına off göndərir. Spyware növü PC mövcuddur, insanlar mobil cihazlar bu etmək üçün cəhd etmək üçün belə mükəmməl mənada edir. Bu ilk nümunələrindən biri Secret SMS Replicator adlı proqram idi. Bu, bir neçə il əvvəl Android Marketplace idi Əgər kiminsə Android telefon çıxışı var, əgər və fikir idi Siz casus istəyirdi, belə ki, bəlkə sizin həyat yoldaşı ki, və ya digər əhəmiyyətli və onların mətn mesajlaşma casus istəyirəm, Bu app download və yüklemek və onu konfiqurasiya edə bilər surəti sizə bir SMS mətn mesajı göndərmək üçün hər SMS mətn mesajı onlar var. Bu açıq-aydın, xidmət app mağaza baxımından pozulması deyil və bu, orada olan 18 saat ərzində Android Marketplace çıxarıldı belə insanların çox kiçik bir sayı, çünki bu risk idi. İndi düşünürəm proqram bir şey bəlkə bir az az təxribat adlanırdı əgər Secret SMS Replicator kimi yəqin ki, bir çox yaxşı işləyib olardı. Amma bu cür aydın idi. Biz apps biz istəmirik ki, bu davranış varsa müəyyən etmək üçün nə edə bilər şeyi biri kodu yoxlamaq üçün edir. Bu əslində biz apps hissələrə ayırmamalı bilər, çünki Android etmək həqiqətən asandır. IOS siz IDA Pro kimi bir disassembler istifadə edə bilərsiniz Bu app zəng və bunu nə Apis nə baxmaq. Biz kodu öz ikili statik analizator yazdı və biz bunu, və nə bilər siz demək bilər cihaz əsasən mənə casusluq və ya mənə izleme ki, bir şey yoxdur? Və mən burada iPhone bəzi nümunələr var. Bu ilk nümunə telefon UUID daxil olmaq üçün necə. Bu, həqiqətən, Apple yalnız yeni applications üçün qadağan etmişdir ki, bir şey deyil, lakin siz telefonunuzda çalışan ola bilər ki, köhnə applications hələ bunu edə bilərsiniz, və belə ki, unikal identifikator izlemek üçün istifadə edilə bilər çox müxtəlif applications arasında. Bu Android, mən burada cihaz yeri əldə nümunə var. Siz ki, API zəng var ki, əgər app izleme olduğunu görə bilərsiniz və siz gözəl yer və ya qaba yeri əldə olsun bilərsiniz. Və sonra burada alt, mən BlackBerry necə bir nümunə var bir proqram gelen e-poçt mesajları daxil ola bilər. Bu görmek üçün yoxlamaq bilər şeyi cür Bu app bu şeyler əgər. İkinci böyük zərərli davranış kateqoriya, və bu indi yəqin ki, ən böyük kateqoriya, edir icazəsiz yığım, icazəsiz premium SMS mətn mesajları və ya icazəsiz ödənişlər. Telefon haqqında unikal ki, başqa şey Cihaz göndərmə hesabına əyri olunur, və fəaliyyəti telefon nə zaman ittihamlar yarada bilərsiniz. Siz telefon şeyi əldə edə bilərsiniz, bir mükafat SMS mətn mesajı göndərmək zaman və həqiqətən pul ötürür digər tərəfdən telefon nömrəsi hesab sahibi. Bu fond quotes almaq və ya gündəlik ulduz falı və ya başqa şeylər almaq üçün tərtib edilmiş, lakin onlar bir SMS mətn göndərməklə bir məhsul sifariş etmək müəyyən edilə bilər. İnsanlar bir mətn mesajı göndererek Qırmızı Xaç pul verir. Siz $ 10 yol verə bilər. Onlar etdik nə Təcavüzkarlar, onlar qurmaq deyil xarici ölkələrdə hesabları, və onlar malware embed telefon bir mükafat SMS mətn mesajı göndərmək ki, bir neçə dəfə bir gün, və sərf etdiyiniz siz dərk ayın sonunda, demək onlarla və ya bəlkə dollar hətta yüzlərlə və onlar pul ilə üz gəzmək. Bu ilk şey idi ki, pis var ki, Android Marketplace və ya Google yer-it, zaman Android Marketplace idi və Google Play-Google yoxlanılması açılmış ilk şey artıq var. Google öz app mağaza Android apps paylanması başlayanda onlar bir şey yoxlamaq niyyətində deyil bildirib. Biz onlar xidmət və şərtləri sınıq etdik uyarıldım dəfə biz apps çəkmək lazımdır, lakin biz bir şey yoxlamaq üçün fikrində deyilik. Yaxşı, təxminən bir il əvvəl bu mükafat SMS mətn mesajı malware ilə belə pis var Bu onlar üçün yoxlanılması açılmış ilk şey ki,. Bir app SMS mətn mesajları göndərə bilərsiniz əgər onlar daha özünüz proqram gözdən. Onlar bu zəng API axtarmaq, və indi sonra Google genişlənmişdir, lakin bu onlar üçün axtarır açılmış ilk şey idi. Bəzi SMS mətn mesajları etdi ki, bəzi digər apps, Bu Android Qicsomos, mən adlanır danışarlar. Bu CarrierIQ çıxdı olduğu mobil bu cari hadisə yaşandı kimi spyware, daşıyıcıları tərəfindən cihaz qoymaq belə insanlar, telefon bu həssas idi əgər bilmək istəyirdi və bu test bir pulsuz app idi. Bəli, əlbəttə, nə bu app etdi ki, mükafat SMS mətn mesajları göndərdi belə ki, spyware ilə yoluxmuş əgər görmek üçün test Sizin cihaz üzərində malware yükləndi. Biz eyni şey son Super Bowl baş gördüm. Madden futbol oyun bir saxta versiyası var idi ki, mükafat SMS mətn mesajları göndərdi. Bu, faktiki olaraq cihaz çox bot şəbəkə yaratmağa çalışmışıq. Burada bəzi nümunələr var. Maraqlıdır ki kifayət qədər, Apple, olduqca ağıllı idi və onlar applications bütün SMS mətn mesajları göndərmək üçün imkan vermir. No app bunu edə bilərsiniz. Yəni həssas bir bütün sinif kurtulmanın böyük bir yoldur, lakin Android siz bunu edə bilər, və əlbəttə, BlackBerry siz də bunu edə bilərsiniz. Bu BlackBerry sizə lazım olan bütün internet icazələrin Maraqlıdır ki bir SMS mətn mesajı göndərmək üçün. Biz axtarmaq, həqiqətən ki, başqa şey biz bir şey zərərli olub olmadığını görmek üçün aradığınız zaman yalnız hər hansı bir növ edir icazəsiz şəbəkə fəaliyyəti, kimi şəbəkə fəaliyyəti baxmaq Bu app onun funksionallığı var ehtimal olunur, və bu digər şəbəkə fəaliyyəti oldu. Yəqin ki, işləmək üçün bir app, HTTP veri almaq üçün var, lakin bu e-poçt və ya SMS və ya Bluetooth və ya kimi bir şey üzərində şeyler əgər İndi ki, app potensial zərərli ola bilər, belə ki, bu sizin üçün yoxlayacaq bilər başqa bir şeydir. Və burada bu slide Mən ki, bəzi nümunələr var. Biz malware gördüm başqa maraqlı bir şey, 2009-cu ildə geri baş və böyük bir şəkildə baş verib. O yana bu qədər baş, mən bilmirəm, lakin bir app idi ki, başqa bir proqram impersonated. Var apps bir set idi və bu 09Droid hücum dublyaj və kimsə kiçik, regional, orta banklar bir çox var idi ki, qərar online bank tətbiqləri yox idi ki, belə ki, onlar nə onlar təxminən 50 online bank applications inşa edilib etdikləri bütün istifadəçi adı və parol almaq idi ki, və web sizi yönlendirme. Və onlar Google Marketplace bu bütün qədər qoymaq, Android Marketplace, və kimsə axtarış zaman görmək əgər onların bank , onlar saxta proqram tapmaq olardı proqram idi öz etimadnaməsini toplanmış və sonra onların veb onlara istiqamətləndirilmişdir olan. Bu, həqiqətən ki, yol oldu-apps, bir neçə həftə üçün var idi və yükləmələr minlərlə və minlərlə var idi. Bu işıq gəldi yolu kimsə bir problem olan oldu ərizə biri və onların bank adlanır ilə və onlar bankın müştəri dəstək xətti çağırdı və dedi, "Mən sizin mobil bankinq tətbiqi ilə bir problem yaşayıram." "Siz mənə kömək edə bilərəmmi?" Və onlar "Biz mobil bank proqram yoxdur" dedi. Bu araşdırma başlatdı. Ki, bank Google adlanır və sonra Google baxdı və dedi "Wow, eyni müəllif, 50 bank applications yazdırdı" və onlara bütün aşağı etdi. Amma əlbəttə ki, bu bir daha təkrarlana bilər. Bütün müxtəlif bankların siyahısı burada var Bu hilekarlık hissəsi idi. Bir app edə bilərsiniz digər şey başqa tətbiqi UI edir. Bu çalışan isə bu Facebook UI açılır bilər. Bu davam etmək üçün istifadəçi adı və parol qoymaq lazımdır deyir və ya bir haqqinda üçün bir istifadəçi adı və parol UI qablaşdırılmış ki, bəlkə istifadəçi istifadəçi bezemek üçün cəhd yalnız istifadə edir da öz etimadnaməsini qoyaraq Bu, həqiqətən, e-poçt phishing hücumları düz paralel kimsə bir e-poçt mesajı göndərir və bir haqqinda üçün əsasən saxta UI verir siz çıxış var ki,. Biz zərərli kodu axtarmaq başqa bir şey sistemi modifikasiya edir. Siz kök imtiyaz tələb edən bütün API zənglər üçün baxa bilərsiniz düzgün icra etmək. Cihaz web proxy dəyişən bir proqram bir şey olardı edə bilməz. Lakin proqram bunu orada kodu var Siz yəqin ki, bir zərərli proqram var bilirik ki, və ya çox yüksək bir zərərli proqram ola bilər, və nə olardı app imtiyaz dırmaşan bəzi yol var ki, edir. Bəzi imtiyaz artması istismar olardı Bu güzəştlər çatdırdım tətbiqi, və sonra bir dəfə bu sistem dəyişiklik olardı. Siz imtiyaz genişlənməsini var ki, malware tapa bilərsiniz bu hətta necə imtiyaz kəskinləşməsinin bilmədən istismar baş verəcək ki, bir gözəl, asan yolu malware üçün baxmaq. DroidDream yəqin ki, Android malware ən məşhur parça idi. Mən bir neçə gün ərzində təxminən 250,000 istifadəçilər təsir hesab edirəm Bu tapıldı. Onlar 50 saxta ərizə repackaged, Android app mağaza onları qoymaq, və mahiyyətcə bu güzəştlər şiddətləndirməyə Android jailbreak kodu istifadə və sonra bir komanda qurmaq və bütün qurbanlarının nəzarət və öz növbəsində bir bot xalis daxil, lakin bu aşkar ola bilər Siz ərizə tarama və yalnız axtarır, əgər API tələb kök icazə düzgün icra etmək ki, çağırır. Mən proxy dəyişən olan var burada bir misal var, və bu əslində Android yalnız mövcuddur. Mən sizə Android nümunələri bir çox verirəm bilərsiniz ən aktiv malware ekosistem olduğu bu Bu zərərli kodu almaq üçün bir təcavüzkarın üçün həqiqətən asandır, çünki Android Marketplace daxil. Bu Apple App Store bunu asan deyil Apple özlərini müəyyən developers tələb edir, çünki və kodu imzalamaq. Onlar, həqiqətən, kim yoxlamaq və Apple həqiqətən ərizə diqqətlə olunur. Biz cihaz güzəşt olur həqiqi malware bir çox görmürəm. Mən, həqiqətən güzəşt əldə edir ki, şəxsi olduğu bəzi nümunələri haqqında danışmaq olacaq və həqiqətən Apple cihaz neler var. Zərərli kodu baxmaq üçün başqa bir şey cihazlar riskli kodu məntiq və ya vaxt bomba və zaman nizamlı bomba yəqin ki, daha asan məntiq bomba daha axtarmaq üçün. Amma vaxt bomba ilə, siz nə edə bilərsiniz sizin üçün baxmaq bilər vaxt test yerləşir kodu və ya mütləq vaxt yerləri üçün baxdı app müəyyən funksionallıq olur əvvəl. Və bu, istifadəçi ki, fəaliyyəti gizlətmək edilə bilər belə ki, gecə gec baş verir. DroidDream 11 PM 8 PM Çasovoẏ poy arasında bütün fəaliyyətini etdi istifadəçi öz cihaz istifadə edilə bilər isə bunu etmək üçün cəhd. Nəfər ərizə davranış təhlili istifadə edilir, bunu digər bir səbəb isə, , tətbiqi davranış nə görmek üçün bir Sandbox app çalışan Onlar fəaliyyəti nə vaxt-based məntiq istifadə edə bilərsiniz app Sandbox deyil zaman. Apple kimi misal üçün, bir app mağaza proqram çalışır, lakin yəqin ki, demək, 30 gün üçün hər bir proqram run etməyin onu təsdiq əvvəl, belə ki, siz bilər tamam, yalnız pis şey olduğunu söylədi tətbiqi məntiq 30 gün, proqram dərc tarixindən sonra 30 gün və ya sonra getdi sonra və bunun üçün yoxladıqdan insanların zərərli kodu şəklində kömək edə bilər. Anti-virus şirkətlər sandboxes şeyi çalışan və ya app mağazalar özləri bu kömək edə bilər ki, yoxlama ki saxla. İndi ki, flip yan, bu, statik təhlili ilə tapmaq asan deyil belə ki, həqiqətən bütün yerlərdə axtarmaq edə kodu yoxladıqdan proqram vaxt test və yol yoxlamaq yerləşir. Və burada mən bu 3 müxtəlif platformalarda bəzi nümunələr var dəfə app ustası tərəfindən yoxlanılır bilər necə belə ki, siz statik app yoxlanılması edirsinizsə üçün baxmaq üçün nə. Mən yalnız müxtəlif zərərli fəaliyyətinin bütün dəstə ilə getdi biz vəhşi gördüm, lakin olanları ən geniş yayılmış ki? North Carolina State Mobile Genom Layihəsi həmin təhsil bəzi məlumatları dərc, və 4 sahələr əsasən var idi fəaliyyəti bir çox var idi, onlar gördüm ki. Apps 37%, imtiyaz genişlənməsini etdi onlar orada jailbreak kodu bir növü idi onlar güzəştlər kəskinləşdirmək üçün cəhd harada onlar bilər ki API əmrləri əməliyyat sistemi kimi çalışan yoxdur. Apps 45% orada, premium SMS etdi belə ki, birbaşa paraya üçün çalışır ki, böyük bir faiz var. 93% uzaqdan idarə etdi, belə ki, onlar bir bot xalis, mobil bot xalis qurmaq çalışmışıq. 45% müəyyən məlumat yığılmış telefon nömrələri, UUIDs, GPS yeri, istifadəçi hesabı kimi ən malware bu şeyi bir neçə etmək üçün çalışır, çünki bu 100-dən çox qədər edər. Mən ikinci yarısında keçid və kodu zəifliklərin haqqında danışmaq üçün gedirəm. Bu riskli fəaliyyətinin ikinci yarısı. Geliştirici səhvlər edilməsi yerləşir mahiyyətcə bu. Qanuni app yazılı A qanuni geliştirici səhvlər edilməsi və ya mobil platforma risklərin cahil deyil. Onlar yalnız bir təhlükəsiz mobil app etmək üçün necə bilmirəm, və ya bəzən geliştirici risk istifadəçi qoyulması haqqında qayğı deyil. Bəzən onların biznes modelinin hissəsi ola bilər istifadəçi şəxsi məlumat yığım. Digər kateqoriya sort var ki, niyə bu pis niyyətli bəzi fikir fərq var, çünki qanuni başlayır qarşı üzərində qan nə istifadəçi istəyir və nə istifadəçi riskli hesab arasında və nə proqram geliştirici riskli hesab edir. Əlbəttə ki, bu əksər hallarda tətbiq geliştirici data deyil. Və sonra nəhayət, bu baş başqa yolu bir geliştirici link bilər edir bu zəifliklərin və ya bu riskli davranış var ki, paylaşılan kitabxana onlara unbeknownst. Birinci kateqoriya həssas data sızma edir, Bu app məlumat toplayır zaman və bu yeri, ünvanı kitab informasiya sahibi informasiya kimi və cihaz off göndərir. Və bu cihaz off bir dəfə, biz ki, informasiya ilə neler bilmirəm. Bu proqram geliştirici tərəfindən insecurely saxlanıla bilər. Biz proqram developers güzəşt almaq gördüm, və onlar saxlanılması etdiyiniz data qəbul olur. Bu Florida aşağı bir geliştirici bir neçə ay əvvəl baş verib of-onun bir çox iPad UUIDs və cihaz adları olduğu kimsə, mən bu anonim idi, çünki, sızan edildi Bunu iddia, bu geliştirici server boğuldu və iPad UUIDs milyonlarla stole və kompüter adları. Not ən riskli məlumat lakin nə ki, əgər istifadəçi adları və parol storage idi və ev ünvanları? Məlumat ki cür saxlaya apps çox var. Bu risk var. Geliştirici qayğı olmadıqda baş verə bilər ki, başqa şey deyil məlumat kanal təmin, və mən haqqında danışmaq üçün gedirəm başqa böyük açığı var ki, ki, data aydın göndərilir. Istifadəçi ictimai Wi-Fi şəbəkə əgər və ya kimsə haradasa internet koklama edir yolu boyunca data ifşa olunur. Bu məlumat sızma bir çox məşhur halda Pandora ilə oldu, və bu biz Veracode tədqiq şeydir. Biz-Mən Federal Ticarət Komissiyası idi var idi ki, eşitdim Pandora ilə gedir tədqiqi. Biz "orada gedən nə? Nin Pandora ərizə daxil qazma başlamaq edək." Dedi Və biz müəyyən toplanan Pandora tətbiqi Sizin axtarırsız və sizin yaş, və bu da GPS yeri və Pandora proqram əldə onlar qanuni səbəbləri üçün nə dedi bu idi. Onlar oynayan-Pandora ki, musiqi bir musiqi streaming app-dir onlar oynayan musiqi yalnız Amerika Birləşmiş Ştatlarının lisenziya edilib onlar idi ki, onların lisenziya müqavilələri uyğun yoxlamaq idi istifadəçi Amerika Birləşmiş Ştatlarının idi ki, musiqi. Onlar həmçinin valideyn məsləhət riayət etmək istədi musiqi ətrafında böyüklər dili, və belə bir könüllü proqram, lakin onlar riayət etmək istədi və uşaqlar 13 və altında açıq lyrics oynamaq deyil. Bu məlumatların toplanması üçün qanuni səbəbləri var idi. Onların app bunu icazələrin idi. İstifadəçilər bu qanuni idi düşündüm. Amma nə oldu? Onlar 3 və ya 4 müxtəlif reklam kitabxanalarda bağlıdır. İndi birdən bütün bu reklam kitabxanaların bütün Bu eyni informasiya əldə olunur. Reklam kitabxana, reklam kitabxanalarında kodu baxsaq nə onlar bunu hər elan kitabxana deyir "Mənim app GPS yer almaq üçün icazəniz varmı?" "Oh, bu? Okay, mənə GPS yeri demək deyil." Hər bir elan kitabxana edir, və app GPS icazə olmadıqda onu almaq üçün edə bilməyəcək, lakin əgər, onu alacaq. Bu reklam kitabxanaların olduğu iş modeli istifadəçi gizlilik qarşı çıxır. Və siz yaş bilirik əgər demək ki, orada işlər olub şəxsin və siz onların yeri bilirik onların GPS koordinatları var, çünki onlar, gecə yatmaq onlar bəlkə yuxu isə, o şəxs olan dəqiq bilmək ki, ailə üzvü həmin şəxs olan müəyyən edə bilər, çünki. Həqiqətən bu advertisers üçün müəyyən edilir dəqiq və qanuni idi kimi görünür. Mən yalnız mənim musiqi axın istəyirsinizsə, bu almaq üçün yeganə yoldur. Bəli, biz bu məruz. Biz bir neçə blog ismarışları bu qədər yazdı, və bu çıxdı ki, Rolling Stone jurnalının kimsə bizim blog ismarıc bir oxumaq və bu barədə Rolling Stone öz blog yazırdı, və çox növbəti gün Pandora yaxşı bir fikir olduğunu düşündü onların tətbiqi reklam kitabxana aradan qaldırılması üçün. Qədər mən bildiyiniz kimi, onlar yalnız onlar təqdir olunmalıdır istəyirik. Mən bu həyata ki, app yalnız freemium növü olduğunuzu düşünürəm. Bütün digər freemium apps bu eyni davranışı var, belə ki, siz ötürür data hansı haqqında düşünmək var bütün advertisers olacaq bu freemium applications çünki. İmperator da paylaşılan kitabxanalar haqqında bir iş etdi və dedi, "-Nin kitabxanalar üst bölüşdü kitabxana paylaşılan nə baxaq" və bu data idi. Onlar 53,000 apps təhlil, və sayı 1 paylaşılan kitabxana Admob idi. Bu, orada applications 38% faktiki idi istifadə etdiyiniz proqramları belə 38% güman ki, şəxsi məlumat yığım olunur və reklam şəbəkələri üçün göndərilməsi. Apache və Android 8% və 6% idi, və sonra aşağı, Google reklamları, Flurry bu digər olanları aşağı, Mob City və minillik Media, Bu, sonra, maraqlı kifayət qədər bütün reklam şirkətləri, və 4% Facebook kitabxana bağlıdır yəqin ki, Facebook vasitəsilə identifikasiyası etmək belə app Facebook kimlik bilər. Amma bu da Facebook kodu nəzarət korporasiya deməkdir ki, orada Android mobil apps 4% çalışan və onlar app almaq üçün icazə var ki, bütün data girmə imkanı vardır. Facebook mahiyyətcə reklam satmaq üçün çalışır. Bu onların iş model var. Bu icazələrin ilə bu bütün ekosistemi baxsaq və siz görmək başlamaq paylaşılan kitabxana Bir guya qanuni tətbiqi risk var. Pandora ilə baş verən eyni Oxşar şey , Path adlı tətbiqi ilə baş və Path onlar faydalı, dostluq developers olan idi düşündüm. Onlar yalnız böyük bir user experience vermək üçün çalışır, və bu çıxdı ki, istifadəçi isteyen və ya istifadəçi izah olmadan bir şey- və bu, iPhone və Android baş Pandora app iPhone və idi Android- yolundan proqram bütün ünvanı kitab qənimətçilik ki, və quraşdırılmış və proqram qaçdı yalnız zaman yolundan üçün uploading, və onlar bu barədə sizə vermədi. Onlar sizin üçün həqiqətən faydalı idi düşündüm Sizin ünvanı kitab bütün insanlar ilə bölüşmək etmək Siz Path proqram istifadə etdiyiniz. Bəli, açıq-aydın Path bu onların şirkət üçün böyük idi düşündüm. Istifadəçi belə böyük deyil. Siz əgər bəlkə bir yeniyetmə bir şey var ki, düşünmək lazımdır , bu proqram istifadə və dostları onların onlarla orada edilir lakin yolundan quraşdırır ki, şirkətin CEO nə varsa sonra ani bütün ünvanı kitab bütün var? Siz potensial dəyərli əlaqə bir çox informasiya almaq olacaq bir çox insanlar üçün. New York Times A müxbiri, sizə telefon nömrəsini əldə edə bilər onların ünvanı kitab ex prezidentlər, belə açıq-aydın həssas informasiya bir çox bu kimi bir şey ilə transfer olur. Ki Path üzr bu barədə belə böyük bir flap var idi. Onlar app dəyişib və hətta Apple təsir. Apple Biz istifadəçilər təklif app satıcılar məcbur olacaq ", deyib onlar bütün ünvanı kitab toplamaq olacaq əgər. " Bu burada neler kimi görünür orada böyük bir gizlilik pozulması və bu mətbuatı edir zaman biz orada bir dəyişiklik oldu. Amma əlbəttə, başqa şeylər orada var. The LinkedIn proqram sizin təqvim entries məhsulları, lakin Apple istifadəçi haqqında istenir etmir. Təqvim entries çox onlara həssas məlumat ola bilər. Harada xətt çəkmək üçün gedir? Bu, həqiqətən bir növ inkişaf yerdir heç bir yaxşı standart orada həqiqətən var olduğu onların informasiya risk olacaq zaman istifadəçilər anlamaq üçün onlar bilmək olacaq zaman və aparılır edir. Biz Adios adlı Veracode bir app yazmışdır və mahiyyətcə sizin iTunes qovluğuna app qeyd etmək icazə və tam ünvanı kitab yığım ki, bütün proqramları baxmaq. Və burada bu siyahıda göründüyü kimi, Angry Birds, AIM, AroundMe. Niyə Angry Birds ünvanı kitab lazımdır? Mən bilmirəm, lakin bu, elə deyil. Bu çox, bir çox applications bir şeydir. Siz bu kodu yoxlayacaq bilər. IPhone, Android və BlackBerry üçün yaxşı müəyyən edilmiş API var ünvanı kitab almaq üçün. Siz, həqiqətən, asanlıqla bu yoxlamaq bilər, və bu bizim Adios proqram nə edir. Növbəti kateqoriya, Təhlükəli Həssas Data Storage, developers bir pin kimi bir şey almaq harada bir şey və ya bir hesab nömrəsi və ya parol və cihaz aydın saxlamayın. Hətta pis, onlar bu telefon bir sahədə saxlaya bilər olan SD kartı kimi, qlobal əlçatan edir. Android SD kart üçün imkan verir, çünki siz Android daha tez-tez görürük. IPhone cihazlar deyil. Amma biz hətta bu Citigroup proqram baş gördüm. Onların online bank proqram, insecurely hesab nömrələri saxlanılır yalnız aydın, belə ki, sizin cihaz itirilmiş əgər, mahiyyətcə sizin bank hesabı itirdi. Mən şəxsən mənim iPhone bank yoxdur niyə bu. Mən bu cür fəaliyyətlərə nə üçün indi çox riskli hesab edirəm. Skype eyni şey idi. Skype, əlbəttə, bir haqq-hesab balansı, bir istifadəçi adı və parol var balans daxil olan. Onlar mobil cihaz aydın bütün məlumat saxlanılması edilmişdir. Mən faylları yaratmaq burada bəzi nümunələr var ki, sağ izinleri və ya disk yazılı yoxdur və hər hansı bir şifreleme üçün baş olmayan. Bu, növbəti sahəsi, Təhlükəli Həssas Data Transmission Mən bu bir neçə dəfə istinad, çünki ictimai Wi-Fi etdik Bu tamamilə nə etmək lazımdır apps bir şeydir, və bu, biz ən yanlış getmək nə yəqin ki. Deyirəm, həqiqətən ki, Mən faktiki məlumatlar var ki, lakin yarım mobil applications yaxın SSL bunu qıymaq. Onlar yalnız API düzgün istifadə etməyin. Mən demək, siz var, bütün təlimatlara əməl edin və API istifadə edir lakin onlar kimi şeylər, digər sonunda yalnış sertifikat olub olmadığını kontrol yoxdur digər sonuna bir protokol Downgrade hücum etməyə çalışır əgər yoxlamaq deyil. Bu developers, onların onay almaq istəyirsiniz? Onların tələb satmaq üçün bu istifadə etməkdir. Onlar satmaq üçün bu istifadə etdik. Tələbi, təhlükəsiz satmaq üçün bu istifadə etmək deyil SSL istifadə bütün applications məlumatları təmin etmək üçün niyə belə bu bu off ötürülən olan kimi cihaz həqiqətən tanış etmək lazımdır ki, düzgün həyata keçirilən əmin olun. Və burada mən bir proqram bilərsiniz bəzi nümunələr var HTTP əvəzinə HTTPS istifadə edilə bilər. Bəzi hallarda apps HTTP geri düşəcək HTTPS iş deyil, əgər. Mən onlar sertifikat çek aradan olduğunuz Android burada başqa zəng var belə bir man-in-the-orta hücum ola bilər. Yalnış sertifikat qəbul ediləcək. Bu hücum əldə edə olacaq bütün halları istifadəçi və giriş bütün məlumatlar eyni Wi-Fi bağlantısı ki, internet üzərindən göndərilir edir. Və nəhayət, mən burada son kateqoriya hardcoded parol və açarları edir. Biz, həqiqətən, inkişaf bir çox eyni stil kodlaşdırma istifadə bax onlar web server applications tikinti zaman idi ki, belə ki, onlar Java server proqram tikinti edirik və onlar əsas hardcoding edirik. Yaxşı, bir server proqram bina etdiyiniz zaman, yeah, düyməsini hardcoding yaxşı bir fikir deyil. Bu çətin dəyişdirmək üçün edir. Olan server tərəfində çıxışı var, çünki bu server tərəfində belə pis deyil? Yalnız idarəçilər. Amma eyni kodu almaq və bir mobil proqram üçün artıq tökülür, indi mobil proqram ki hardcoded əsas çıxışı var ki, olan hər kəs, və biz, həqiqətən, bu dəfə bir çox görmək, və mən bir statistika var biz bu baş necə tez-tez. Bu, həqiqətən, MasterCard nəşr nümunə kodu idi onların xidmətindən istifadə etmək necə. Məsələn kodu yalnız parol almaq necə göstərdi və, orada bir hardcoded simli qoydu və biz developers kod parçalarını surəti və yapışdırıb sevgi necə onlar bir şey çalışdığınız, belə ki, kod parçasını seçin və yapışdırıb zaman Buna misal kod kimi verdi və bir etibarsız proqram var ki,. Və burada biz bəzi nümunələr var. Bu ilk bir biz onlar hardcode bir çox görmək biridir göndərilən olur ki, bir URL daxil data hüququ. Bəzən biz string Şifrəni = parol görmək. Ki, BlackBerry və Android olduqca aşkar etmək asan, və ya simli parol var. Bu, həqiqətən, çünki demək olar ki, həmişə yoxlamaq üçün olduqca asan geliştirici adları Şifrəni keçirilməsi ki, dəyişən parol bir varyasyonu. Mən, biz Veracode da statik analiz etmək ki, belə ki, biz bir neçə yüz Android və iOS applications təhlil etdik. Biz onlara tam modelləri inşa etdik və biz onları scan edə istəyirik müxtəlif zəifliklərin, mən söhbət xüsusilə zəifliklərin üçün və mən burada bəzi məlumatlar var. Biz baxdı Android apps 68,5% kriptoqrafik kod sınıq idi, Öz gizli gündəlik əgər bizim üçün, biz aşkar edə bilməz ki, ki, yaxşı bir fikirdir, lakin bu, həqiqətən nəşr API istifadə edir ki, platforma, lakin ki, belə bir şəkildə bunu gizli, 68.5 həssas olardı. Və bu həqiqətən bizə ərizə göndərir ki, insanlar üçün, çünki onlar təhlükəsizlik test etmək üçün yaxşı bir fikirdir düşünürəm. Bu, artıq yəqin ki, təhlükəsiz düşünür ki, insanlar belə ki, yəqin ki, hətta pis deyil. Mən nəzarət line feed injection danışmaq etməyib. Bu, bizim üçün yoxlamaq bir şey var, lakin bir məsələ ki, riskli deyil. Informasiya sızması, bu həssas data cihaz off göndərilir yerdir. Biz applications 40% ki, tapılmadı. Vaxt və dövlət, o, istifadə üçün adətən olduqca çətin irqi vəziyyəti type məsələlər, mən bu barədə danışmaq deyil, lakin biz baxdı. 23% SQL injection məsələlər var idi. Bir çox bilmirəm ki, proqram bir çox veri onların geri sonunda bir kiçik kiçik SQL verilənlər bazası istifadə edin. Yaxşı, əgər siz şəbəkə üzərində qənimətçilik edirik ki, data bu SQL injection hücum strings kimsə vasitəsilə cihaz güzəşt edə bilər, və mən, biz web applications təxminən 40%-i bu problem var tapa edirəm olan böyük bir epidemiya problem deyil. Biz mobil apps bu zaman 23% tapmaq daha çox web applications mobil çox SQL istifadə çünki və yəqin ki, var. Və sonra biz hələ də bəzi cross-site scripting, icazə məsələləri bax Siz hardcoded parol var və sonra etimadnamə idarə ki, var. Tətbiqlərin 5% olduğunu görürük. Və sonra biz iOS bəzi məlumatlar var. 81% səhv rəftar məsələlər var idi. Bu kodu keyfiyyət problemi daha çox, lakin 67% kriptoqrafik məsələlər var idi, belə ki, Android kimi olduqca kimi pis deyil. Bəlkə API bir az asandır, iOS bir az daha yaxşı nümunəsidir kodları. Lakin hələ də bir çox yüksək faiz. Biz informasiya sızma ilə 54% idi, buffer idarə səhvlər ilə təxminən 30%. Potensial yaddaş korrupsiya məsələ ola bilər yerlərdə var. Bu istismar üçün bir problem kimi çox deyil ki, həyata çevirir bütün kodu imzalanmalıdır iOS çünki, belə ki, iOS əsassız kodu icra təcavüzkar üçün çətindir. Kodu keyfiyyət, kataloq traversal, lakin burada 14,6%, sonra etimadnaməsini idarə, Android daha belə pis. Biz insanların düzgün parol user yoxdur. Və sonra rəqəmli səhvlər və bufer daşqın, o daha iOS kodu keyfiyyət məsələləri olacaq. Bu mənim təqdimat idi. Biz vaxt həyata və ya əgər bilmirəm. Hər hansı bir sualınız varsa, mən bilmirəm. [Kişi] parçalanma və Android bazarında ətrafında tez sual. Apple ən azı patching malikdir. Onlar Android məkanında isə az belə orada əldə yaxşı bir iş. Siz demək olar ki, cari qalmaq üçün telefon jailbreak etmək lazımdır Android cari azad. Haqqında düşünmək əgər Bəli, ki, böyük bir problem və belə var [Kişi] Niyə təkrar edə bilər? Oh, sağ, belə sual nə haqqında parçalanma oldu Android platformasında əməliyyat sistemi? Necə ki, bu cihazların riskliliyini təsir edir? Nə olur, çünki bu, həqiqətən böyük bir problem deyil Bu older qurğular, kimsə bu cihaz üçün bir jailbreak ilə qədər gəldiyi zaman, mahiyyətcə ki, əməliyyat sistemi yenilənir qədər imtiyaz genişlənməsini, və bir malware, sonra tamamilə cihaz güzəştə ki, açığı istifadə edə bilərsiniz və nə biz Android gördükdə yeni bir əməliyyat sistemi almaq üçün deyil Google sonra hardware istehsalçı firma əməliyyat sistemi söndürmək üçün var, və özelleştirmek üçün var, və sonra daşıyıcı onu dəyişdirin və onu çatdırmaq üçün var. Siz əsasən burada 3 hərəkət edən hissələri var və bu daşıyıcıları qayğı yoxdur ki, dönüş ki, və hardware istehsalçıları qayğı yoxdur, və Google kifayət qədər onlara prodding deyil orada belə mahiyyətcə cihazlar yarısının bir şey etmək onların bu imtiyaz artması açığı olan əməliyyat sistemləri var, Sizin Android cihaz malware almaq və belə bir problem daha çox var. Okay, çox təşəkkür edirəm. [Alqış] [CS50.TV]