1 00:00:00,000 --> 00:00:02,610 >> [Mintegia] [defendatzea Gailuaren atzean: Mobile eskaera segurtasuna] 2 00:00:02,610 --> 00:00:04,380 [Chris Wysopal] [Harvardeko Unibertsitateko] 3 00:00:04,380 --> 00:00:07,830 [Hau CS50.] [CS50.TV] 4 00:00:07,830 --> 00:00:10,360 >> Arratsalde on. Nire izena Chris Wysopal da. 5 00:00:10,360 --> 00:00:13,360 CTO eta Veracode sortzaileetako naiz. 6 00:00:13,360 --> 00:00:15,880 Veracode aplikazioa segurtasun-enpresa bat da. 7 00:00:15,880 --> 00:00:18,230 Aplikazio desberdinak mota guztiak probatu dugu 8 00:00:18,230 --> 00:00:25,060 eta gaurko egunean buruz hitz noa mobile aplikazioa segurtasuna da. 9 00:00:25,060 --> 00:00:28,630 Nire background da Nik segurtasun ikerketa egiten 10 00:00:28,630 --> 00:00:31,970 Oso denbora luzez, seguruenik, betiere inor bezala buruz. 11 00:00:31,970 --> 00:00:35,000 Hasi zen 90eko hamarkadaren erdialdean, I, 12 00:00:35,000 --> 00:00:37,370 eta denbora bat izan zen, nahiko interesgarria zelako 13 00:00:37,370 --> 00:00:39,220 paradigma 90eko hamarkadaren erdialdean, aldaketa bat izan genuen. 14 00:00:39,220 --> 00:00:43,520 Bat-batean guztion ordenagailu guztien zaletasuna sortu internetera, 15 00:00:43,520 --> 00:00:46,550 eta, ondoren, web aplikazioen hasieratik izan genuen, 16 00:00:46,550 --> 00:00:49,330 eta horrek zer bideratuta nuen asko orduan da. 17 00:00:49,330 --> 00:00:51,160 Interesgarria da. 18 00:00:51,160 --> 00:00:53,930 Orain beste paradigma aldaketa informatika gertatzen dugu, 19 00:00:53,930 --> 00:00:58,710 Zein aplikazio mugikorren txanda da. 20 00:00:58,710 --> 00:01:03,680 >> Sentitzen dut antzeko denbora baten antzeko zerbait da, ondoren izan zen 90eko hamarkadaren amaieran hasi da 21 00:01:03,680 --> 00:01:07,650 denean web aplikazioak ikertzen ari ginen eta antzeko akatsak aurkitzeko 22 00:01:07,650 --> 00:01:11,800 saioaren kudeaketa akatsak eta SQL injection 23 00:01:11,800 --> 00:01:14,940 benetan ez da existitzen aurretik, eta bat-batean guztiak nonahi ziren 24 00:01:14,940 --> 00:01:19,360 web aplikazioetan, eta orain denbora dut pasatzeko asko 25 00:01:19,360 --> 00:01:27,950 aplikazio mugikorrak begira eta zer gertatzen ari basatia begira. 26 00:01:27,950 --> 00:01:32,060 Mugikorra aplikazio benetan menderatzailearen plataforma informatika izango, 27 00:01:32,060 --> 00:01:35,060 beraz, benetan behar dugu denbora asko pasatzera Oraindik segurtasun industrian bada 28 00:01:35,060 --> 00:01:39,280 web aplikazioen bideratua. 29 00:01:39,280 --> 00:01:43,420 Baziren 2011an deskargatuko 29 milioi mobile apps. 30 00:01:43,420 --> 00:01:47,920 Honez iragarri 76 milioi apps izateko 2014. 31 00:01:47,920 --> 00:01:54,040 Inolako diren eros aurten joan 686 milioi gailu, 32 00:01:54,040 --> 00:01:57,060 beraz, hau da non jendea joan behar egiten 33 00:01:57,060 --> 00:01:59,600  bere bezero informatika gehiengoa lortu du. 34 00:01:59,600 --> 00:02:04,220 >> Dut alderantziz Fidelity Inbertsioak at presidente bat hitz egiten zen 35 00:02:04,220 --> 00:02:08,780 Duela pare bat hilabete, eta besterik gabe, trafiko gehiago ikusi zutenean, esan zuen 36 00:02:08,780 --> 00:02:12,610 finantza-eragiketak egiten bere bezero-oinarri batetik 37 00:02:12,610 --> 00:02:16,230 bere bere web orrian baino aplikazioa mugikorrean, 38 00:02:16,230 --> 00:02:20,610 beraz, Web erabilera komunean bat iraganean izan 39 00:02:20,610 --> 00:02:23,800 Zure stock quotes egiaztapena, zure zorroa kudeatzeko, 40 00:02:23,800 --> 00:02:28,060 eta benetan ari gara horretan 2012 switch baino gehiago ikusten 41 00:02:28,060 --> 00:02:30,960 da nagusi mugikorren plataforma izan nahi du. 42 00:02:30,960 --> 00:02:34,530 Zalantzarik izanez gero, ez da inolako delituzko jarduera izango da, 43 00:02:34,530 --> 00:02:38,900 Asmo txarreko ekintzak, hemen mugikor plataforma bideratuko dira, hasiko da joan 44 00:02:38,900 --> 00:02:44,210 Jende aldatzeko denboran zehar gisa baino gehiago dela. 45 00:02:44,210 --> 00:02:48,320 Begiratzen baduzu plataforma mugikorra at, 46 00:02:48,320 --> 00:02:54,380 plataforma erabilgarria da apurtu behera geruza desberdinen sartu arriskuak begiratu, 47 00:02:54,380 --> 00:02:59,010 besterik ez bezala egingo zenuke mahaigaineko ordenagailu batean, 48 00:02:59,010 --> 00:03:02,860 eta hainbat geruzak, software, sistema eragilea, pentsatzen duzu 49 00:03:02,860 --> 00:03:07,730 sare geruza, hardware geruza, eta, jakina, ez dago geruza horiek guztiak on ahuleziak. 50 00:03:07,730 --> 00:03:10,510 >> Gauza bera gertatzen da mugikorrean. 51 00:03:10,510 --> 00:03:14,880 Baina mugikorra, geruza horietako batzuk daudela okerrago badirudi. 52 00:03:14,880 --> 00:03:19,840 Bat, sare geruza gehiago problematikoa mugikorrean da 53 00:03:19,840 --> 00:03:25,650 jende asko bere bulegoan edo etxean izan delako 54 00:03:25,650 --> 00:03:30,780 konexio kable edo Wi-Fi konexio seguruak behar dituzte, 55 00:03:30,780 --> 00:03:36,530 eta gailu mugikorrak asko zauden etxetik kanpo, jakina, 56 00:03:36,530 --> 00:03:40,520 edo bulegoan asko kanpoan, eta Wi-Fi erabiltzen ari bada ez 57 00:03:40,520 --> 00:03:42,820 egon segurua ez wifi-konexioa erabiltzen duzu agian, 58 00:03:42,820 --> 00:03:45,570 zerbait WIFI konexioa publiko bat da, 59 00:03:45,570 --> 00:03:48,840 beraz, kontuan hartu denean mobile apps pentsatzen dugu 60 00:03:48,840 --> 00:03:53,770 sarearen ingurumena dela aplikazio horietan riskier 61 00:03:53,770 --> 00:03:57,640 edo Wi-Fi erabiltzen ari da. 62 00:03:57,640 --> 00:04:02,410 Eta noiz lortu mugikorraren aplikazio arriskuen gehiago sartu dut 63 00:04:02,410 --> 00:04:04,910 ikusiko duzu zergatik hori da garrantzitsuagoa. 64 00:04:04,910 --> 00:04:09,710 Gailu mugikorrean maila arriskuak daude. 65 00:04:09,710 --> 00:04:11,670 Hau etengabeko ikerketa-eremu bat da. 66 00:04:11,670 --> 00:04:15,910 Jende deitu banda zabaleko eraso horiek edo baseband erasoak 67 00:04:15,910 --> 00:04:21,870 non firmware hori irratian entzuten ari zaren erasotzeko. 68 00:04:21,870 --> 00:04:25,430 >> Hauek dira benetan scary erasoak delako 69 00:04:25,430 --> 00:04:27,280 erabiltzaileak ez dute ezer egin. 70 00:04:27,280 --> 00:04:30,760 Gailu asko hit dezakezu RF eremuan egon 71 00:04:30,760 --> 00:04:36,690 aldi berean, eta badirudi ikerketa honek burbuilak direnean up bezala 72 00:04:36,690 --> 00:04:40,750 azkar lortzen sailkatu da non 73 00:04:40,750 --> 00:04:46,600 Jende swoop inguruan eta esan, "Hemen, duten kontatzen digute, eta mesedez gelditu horri buruz hitz egiten." 74 00:04:46,600 --> 00:04:49,460 Badira ikerketa batzuk gertatzen banda zabaleko zona da, 75 00:04:49,460 --> 00:04:51,980 baina oso Hush Hush izango dela dirudi. 76 00:04:51,980 --> 00:04:56,910 Nik uste dut bat nazio estatu ikerketa mota hori gertatzen da gehiago da. 77 00:04:56,910 --> 00:05:02,140 Ikerketa aktiboa eremu bat, nahiz eta, sistema eragilea geruza da, 78 00:05:02,140 --> 00:05:08,910 eta, berriz ere, hau da, munduko desktop informatika baino desberdina 79 00:05:08,910 --> 00:05:14,840 espazio mugikor batean jailbreakers izeneko pertsona talde hauek duzulako, 80 00:05:14,840 --> 00:05:18,670 eta jailbreakers erregular ahultasun ikertzaile baino. 81 00:05:18,670 --> 00:05:21,970 Ahuleziak aurkitzeko sistema eragilearen in saiatzen ari dira, 82 00:05:21,970 --> 00:05:27,000 baina ahuleziak aurkitu nahian ari dira, arrazoia ez da 83 00:05:27,000 --> 00:05:31,810 norbaiten makina apurtu eta hondatu du. 84 00:05:31,810 --> 00:05:34,280 Bertara bere ordenagailuan apurtu da. 85 00:05:34,280 --> 00:05:38,820 >> Beren mugikor propioa hautsi nahi dute, euren sakelako sistema eragilea aldatu 86 00:05:38,820 --> 00:05:41,050 beraz, beren aukerako aplikazioak ireki ahal izango dute 87 00:05:41,050 --> 00:05:44,510 eta administrazio baimenak osoz gauzak aldatzeko, 88 00:05:44,510 --> 00:05:49,050 eta ez dute nahi honi buruz saltzaileari kontatzeko. 89 00:05:49,050 --> 00:05:52,960 Oraindik ez dute segurtasun ikertzaile horrek zuri hat segurtasun ikertzaile bat da gustatzen 90 00:05:52,960 --> 00:05:56,600 hau da dibulgazioa erantzule egin eta horri buruz saltzaileak esango dugu. 91 00:05:56,600 --> 00:06:01,270 Ikerketa hori egin nahi dute, eta benetan, argitaratzen dut nahi dute 92 00:06:01,270 --> 00:06:06,400 in bat ustiatu edo rootkit bat edo jailbreak kode bat, 93 00:06:06,400 --> 00:06:10,010 eta, modu estrategikoan egin, eskuinera ondoren bezala nahi dute 94 00:06:10,010 --> 00:06:13,570 hornitzailearen ontziak sistema berria. 95 00:06:13,570 --> 00:06:16,350 Harreman adversarial hori duzun 96 00:06:16,350 --> 00:06:19,000 OS-maila mugikorra onartuaz batera, 97 00:06:19,000 --> 00:06:23,150 Horrek uste dut nahiko interesgarria, eta leku bat ikusiko dugu 98 00:06:23,150 --> 00:06:29,210 dagoenean egiten du, beraz, ez da argitaratuko ustiatzeko kodea onak daude 99 00:06:29,210 --> 00:06:31,750 kernel-maila ahuleziak, 100 00:06:31,750 --> 00:06:35,040 eta horiek benetan malware idazleak erabiltzen duen ikusi dugu. 101 00:06:35,040 --> 00:06:38,450 PC munduan baino pixka bat hainbat. 102 00:06:38,450 --> 00:06:42,530 Eta gero, azken geruza goiko geruza, aplikazio geruza da. 103 00:06:42,530 --> 00:06:45,250 Hori zer naiz, gaur egun hitz egingo. 104 00:06:45,250 --> 00:06:48,970 >> Beste geruzak existitzen, eta gainerako geruzak sartu play, 105 00:06:48,970 --> 00:06:53,310 baina ez naiz, batez ere, zer ari den aplikazio geruza berri izan buruz hitz egingo 106 00:06:53,310 --> 00:06:55,560 non kodea sandbox abian dagoenean. 107 00:06:55,560 --> 00:06:58,670 Ez du administrazio-pribilegioak. 108 00:06:58,670 --> 00:07:02,170 Gailuaren APIak erabili behar du, 109 00:07:02,170 --> 00:07:06,970 baina, oraindik ere, asmo txarreko jarduera asko eta arrisku asko geruza horretan gerta daiteke 110 00:07:06,970 --> 00:07:09,220 hori delako geruza non informazio guztia da. 111 00:07:09,220 --> 00:07:12,330 Apps gailu buruzko informazio guztia sartu ahal 112 00:07:12,330 --> 00:07:15,390 baimen egokiak badute, 113 00:07:15,390 --> 00:07:17,540 eta telefonoa beste sentsore sartu ahal izango dute, 114 00:07:17,540 --> 00:07:23,950 GPS sentsore, mikrofono, kamera, zer egin behar duzu. 115 00:07:23,950 --> 00:07:27,380 Nahiz eta bakarrik ari gara buruz hitz Aplikazio geruza at 116 00:07:27,380 --> 00:07:33,700 arrisku asko izan genituen han. 117 00:07:33,700 --> 00:07:38,450 Desberdina da mugikorraren ingurune buruzko beste gauza 118 00:07:38,450 --> 00:07:45,060 den sistema eragilearen jokalari guztiak, izango da BlackBerry edo Android 119 00:07:45,060 --> 00:07:53,410 edo iOS edo Windows mobile, denek fintzea komeni baimena eredua fin bat dute, 120 00:07:53,410 --> 00:07:56,990 eta hau dela eraikitako sistema eragilea sartu dute modu bat 121 00:07:56,990 --> 00:08:01,230 ideia ez dela uste duzun bezala arriskutsua. 122 00:08:01,230 --> 00:08:04,550 Han kontaktu guztiak izan arren, zure informazio guztia ere, 123 00:08:04,550 --> 00:08:09,080 Zure argazkiak duzu, zure kokapena duzu han, 124 00:08:09,080 --> 00:08:14,820 Zure banku auto han saio pin gordetzeko ari zarenean, seguru delako 125 00:08:14,820 --> 00:08:19,430 apps dute halako baimenik hemen zenbait zati at lortu 126 00:08:19,430 --> 00:08:25,080 Gailu buruzko informazioa, eta erabiltzailearen ditu aurkeztuko 127 00:08:25,080 --> 00:08:29,230 Baimen horiek eta esan ados. 128 00:08:29,230 --> 00:08:32,590 >> Da arazoa erabiltzaileari beti da dio ados. 129 00:08:32,590 --> 00:08:35,240 Segurtasun pertsona gisa, erabiltzaileari galdetuko dezakezu ezagutzen dut, 130 00:08:35,240 --> 00:08:40,100 esan zerbait benetan txarra gertatuko da, ez gertatuko nahi duzu? 131 00:08:40,100 --> 00:08:44,680 Eta ari dira puntako bat bada edo zerbait benetan duten beste alde on erakargarri da, 132 00:08:44,680 --> 00:08:47,760 bezalako joko bat da instalatuko dut dutela zain joan, 133 00:08:47,760 --> 00:08:50,860 ados klikatu ari dira. 134 00:08:50,860 --> 00:08:56,630 Horregatik nire diapositiba on esaten dut hemen besterik ez dit utzi hegaztiak fling txerriak at jada, 135 00:08:56,630 --> 00:09:03,150 eta diapositiba daiteke hemen ikusten duzuna ez da BlackBerry baimena kutxa bat adibide. 136 00:09:03,150 --> 00:09:05,990 Dio "Mesedez ezarri BlackBerry Bidaia aplikazio baimenak 137 00:09:05,990 --> 00:09:09,720 azpitik sakatuz botoi ", eta, funtsean, erabiltzaileari besterik ez da, esan du ondoren 138 00:09:09,720 --> 00:09:12,240 baimenak ezarri eta gorde. 139 00:09:12,240 --> 00:09:18,010 Hemen non gauzak erakusten du bat Android gonbita da, 140 00:09:18,010 --> 00:09:20,260 eta benetan ia abisu bat itxura zerbait jartzen du. 141 00:09:20,260 --> 00:09:25,090 Handia lortu etekina zeinu han esaten sareko komunikazio, telefono dei moduko bat, 142 00:09:25,090 --> 00:09:28,120 baina erabiltzaileak da klik instalatu? joan, eskuineko 143 00:09:28,120 --> 00:09:32,940 Eta ondoren, Apple bat erabat kalterik da. 144 00:09:32,940 --> 00:09:34,300 Ez du edozein abisu mota eman. 145 00:09:34,300 --> 00:09:37,380 Besterik ez da Apple uneko kokapena erabili nahi. 146 00:09:37,380 --> 00:09:39,670 Jakina zauden ados klikatu joan. 147 00:09:39,670 --> 00:09:42,260 >> There fintzea komeni izaten baimen eredu hau da, 148 00:09:42,260 --> 00:09:45,890 eta aplikazioak izan manifest fitxategia bat dute non aldarrikatu dute 149 00:09:45,890 --> 00:09:49,410 baimenak, behar dute eta hori izango da erabiltzaileari bistaratuko ezagutu, 150 00:09:49,410 --> 00:09:53,480 eta erabiltzailearen baimen horiek ematen diot esateko aukera izango dute. 151 00:09:53,480 --> 00:09:55,080 Baina dezagun zintzoa izan. 152 00:09:55,080 --> 00:09:58,400 Erabiltzaile besterik ez dira beti esaten ongi joan. 153 00:09:58,400 --> 00:10:04,460 Ikus dezagun begirada azkar bat duten apps horiek eskatu baimenak at 154 00:10:04,460 --> 00:10:06,850 eta hor daude baimen batzuk. 155 00:10:06,850 --> 00:10:09,950 Enpresa hau Pretoriar iaz inkesta bat 156 00:10:09,950 --> 00:10:14,170 53.000 aplikazioen Android merkatuan eta party 3 merkatuetan aztertu du, 157 00:10:14,170 --> 00:10:16,770 beraz, hau Android guztia. 158 00:10:16,770 --> 00:10:19,670 Eta batez besteko aplikazioa 3 baimenak eskatu. 159 00:10:19,670 --> 00:10:23,370 Zenbait aplikazio 117 baimenak eskatu, 160 00:10:23,370 --> 00:10:27,480 beraz, jakina, horiek oso fina fintzea komeni izaten da eta modu oso konplexua erabiltzaile batek ulertzen dira 161 00:10:27,480 --> 00:10:31,600 dute 117 Baimen horiek behar duen aplikazio honekin aurkeztutako bazabiltza. 162 00:10:31,600 --> 00:10:37,270 Da azken erabiltzailearen lizentzia-kontratu hori da 45 orrialde luze bezala. 163 00:10:37,270 --> 00:10:40,240 Agian laster aukera bat non da atsegin izango dute 164 00:10:40,240 --> 00:10:43,100 baimenak inprimatu eta bidali email bat. 165 00:10:43,100 --> 00:10:45,480 >> Baina begiratzen baduzu goiko baimenak interesgarri batzuk 166 00:10:45,480 --> 00:10:50,840 Deskargatu 53.000 daudelarik dute apps guztien% 24 167 00:10:50,840 --> 00:10:57,230 GPS eskatu gailuaren datuak. 168 00:10:57,230 --> 00:10:59,810 % 8 kontaktuak irakurri. 169 00:10:59,810 --> 00:11:03,770 % 4 SMS bidaltzen, eta% 3 SMS jaso. 170 00:11:03,770 --> 00:11:07,730 % 2 audio grabatu. 171 00:11:07,730 --> 00:11:11,210 % 1 prozesatu irteerako deiak. 172 00:11:11,210 --> 00:11:13,140 Ez dakit. 173 00:11:13,140 --> 00:11:17,520 Ez dut uste aplikazio dendan apps guztien% 4 benetan behar SMS testu mezuak bidaltzeko, 174 00:11:17,520 --> 00:11:21,410 Baietz uste dut aholku bat zerbait untoward hori gertatzen ari da. 175 00:11:21,410 --> 00:11:24,350 Apps guztien% 8 behar zure kontaktu zerrenda irakurtzeko. 176 00:11:24,350 --> 00:11:26,510 Seguruenik ez da beharrezkoa. 177 00:11:26,510 --> 00:11:30,990 Baimenei buruzko beste gauza interesgarri bat da 178 00:11:30,990 --> 00:11:36,740 partekatutako liburutegietan lotzen baduzu zure eskaera sartu 179 00:11:36,740 --> 00:11:39,780 oinordetzan horiek aplikazioa baimenak, 180 00:11:39,780 --> 00:11:46,570 beraz zure aplikazioa kontaktu zerrendatik behar baditu edo GPS kokapenaren behar du funtzionatzeko 181 00:11:46,570 --> 00:11:49,940 eta publizitate liburutegi batean lotzen duzu, esate baterako, 182 00:11:49,940 --> 00:11:53,170 ad liburutegia ere kontaktuak sartzeko gai izango da 183 00:11:53,170 --> 00:11:57,630 eta, gainera, GPS kokapena sartzeko gai izan, 184 00:11:57,630 --> 00:12:01,990 eta aplikazioa sustatzailearen hori ad liburutegian exekutatzen kodearen buruz ezer ez daki. 185 00:12:01,990 --> 00:12:05,370 Besterik ari dira beren aplikazioa dirua irabazi nahi dutelako horrek lotzen ditu. 186 00:12:05,370 --> 00:12:09,820 >> Hau da, non-eta horren adibide batzuk buruz hitz egin dut honekin 187 00:12:09,820 --> 00:12:13,930 Pandora izeneko aplikazio bat non Aplikazio garatzailea 188 00:12:13,930 --> 00:12:18,910 agian oharkabean beharreko informazio leaking 189 00:12:18,910 --> 00:12:24,580 beren erabiltzaileen of haiekin lotuta sartu liburutegiak delako 190 00:12:24,580 --> 00:12:30,110 Paisaia Topografia daude, ezberdinak aplikazio guztiak begira 191 00:12:30,110 --> 00:12:34,310 izan diren albiste maltzur edo egiten zerbait erabiltzaile ez zuen nahi bezala salatu 192 00:12:34,310 --> 00:12:39,360 eta, ondoren, asko ikuskatzeko apps-dugu analisi bitar estatikoan asko egin apps mugikorrean, 193 00:12:39,360 --> 00:12:42,010 beraz, nik ikuskatu horiek dugu eta kodearen begiratu bera- 194 00:12:42,010 --> 00:12:49,640 sortu ginen zer gure top 10 aplikazioetan arriskutsua portaerak zerrenda deitzen diogu. 195 00:12:49,640 --> 00:12:54,180 Eta hautsi du behera 2 ataletan, kode mingarria sartu, 196 00:12:54,180 --> 00:12:57,600 beraz, horiek gauza txarrak aplikazioei egiten liteke direla 197 00:12:57,600 --> 00:13:06,520 litekeena zerbait Horrelakorik ez zuen eman da 198 00:13:06,520 --> 00:13:10,060 ditu berariaz jarri aplikazioan, baina pixka bat lausoak da. 199 00:13:10,060 --> 00:13:13,300 Garatzaile batek pentsatzen gauza ederra da zerbait izan zitekeen, 200 00:13:13,300 --> 00:13:16,350 baina amaitzen ari maltzurren gisa pentsatu Erabiltzaileak. 201 00:13:16,350 --> 00:13:19,830 >> Eta gero bigarren atala coding ahuleziak deitzen dugun da, 202 00:13:19,830 --> 00:13:24,600 eta horiei gauzak non sustatzailearen funtsean da akatsak egiten dira 203 00:13:24,600 --> 00:13:27,200 edo, besterik ez du ulertzen aplikazioa seguruan nola idatzi, 204 00:13:27,200 --> 00:13:30,260  eta aplikazioa erabiltzailearen arriskuan jarriz. 205 00:13:30,260 --> 00:13:34,060 Ra hauen bidez joan xehetasun eta adibide batzuk eman noa. 206 00:13:34,060 --> 00:13:39,620 Erreferentzia gisa, gora jarri du OWASP mugikorren top 10 zerrenda nahi nuen. 207 00:13:39,620 --> 00:13:43,590 Hauek dira 10 gaiak duten OWASP at talde bat, 208 00:13:43,590 --> 00:13:48,900 Open Web Application Security Proiektua, lan-talde bat dute 209 00:13:48,900 --> 00:13:50,620 mugikorren top 10 zerrenda bat lantzen ari da. 210 00:13:50,620 --> 00:13:54,600 Oso ospetsua web top 10 zerrenda, diren 10 top dute 211 00:13:54,600 --> 00:13:57,180 Gauzak riskiest web aplikazio batean dezakezu. 212 00:13:57,180 --> 00:13:59,090 Mugikorren gauza bera egiten ari dira, 213 00:13:59,090 --> 00:14:01,750 eta horien zerrenda gurea baino apur bat desberdina da. 214 00:14:01,750 --> 00:14:03,670 6 10 daudelarik berdinak dira. 215 00:14:03,670 --> 00:14:06,020 Ezberdinak dira 4 dute. 216 00:14:06,020 --> 00:14:10,550 Desberdinak take batean apur bat dute, uste dut 217 00:14:10,550 --> 00:14:14,490 mobile apps arrisku non beren gaiak asko 218 00:14:14,490 --> 00:14:20,490 benetan nola aplikazioa back-end zerbitzari bat da komunikatzeko 219 00:14:20,490 --> 00:14:23,100 edo zer gertatzen back-end zerbitzarian, 220 00:14:23,100 --> 00:14:29,220 ez hainbeste apps duten portaera arriskutsua dela besterik zuzenean bezero apps daudela. 221 00:14:29,220 --> 00:14:36,640 >> Gorriz Hemen 2 zerrenden arteko ezberdintasunak daude. 222 00:14:36,640 --> 00:14:40,740 Eta nire ikerketa-talde batzuk benetan proiektu honetan lagundu, 223 00:14:40,740 --> 00:14:44,570 ikusiko dugu, beraz, denboran zehar zer gertatzen den, baina uste dut takeaway hemen 224 00:14:44,570 --> 00:14:47,550 dugu, ez dakit top 10 zerrenda zein aplikazioa mugikorra delako 225 00:14:47,550 --> 00:14:50,510 benetan nik bakarrik inguruan izan da 2 edo 3 urte oraingoz, 226 00:14:50,510 --> 00:14:57,750 eta ez dago ez da benetan ikertzeko sistema eragile nahikoa denbora izan 227 00:14:57,750 --> 00:15:00,450 eta zer egiteko gai ari dira, eta ez da denbora nahikoa izan 228 00:15:00,450 --> 00:15:06,870 maltzurren Erkidegoko, izango bada, pasa den denbora nahikoa 229 00:15:06,870 --> 00:15:12,910 erabiltzaile eraso apps mugikorren bidez saiatzen, beraz, zerrenda horiek pixka bat aldatu behar izatea espero dut. 230 00:15:12,910 --> 00:15:18,720 Baina oraingoz, horiek Top 10 gauzak kezkatu daude. 231 00:15:18,720 --> 00:15:24,150 Albo mugikorrean dezakezun harritzekoa non ez maltzurren mugikorrak kode- 232 00:15:24,150 --> 00:15:28,880 nola ez, lortuko gailura? 233 00:15:28,880 --> 00:15:35,210 North Carolina State Mugikorra Malware Genome Project izeneko proiektu bat du 234 00:15:35,210 --> 00:15:39,520 non askoz mugikorra malware jasotzen ari dute ahal bezala eta aztertzeko, 235 00:15:39,520 --> 00:15:45,270 eta hautsita dut dute behera mugikorra malware erabiltzen duen injekzio bektoreak, 236 00:15:45,270 --> 00:15:51,490 eta% 86 repackaging izeneko teknika bat erabili, 237 00:15:51,490 --> 00:15:54,160 eta hau da, bakarrik Android plataforman 238 00:15:54,160 --> 00:15:56,720 daiteke benetan egin duzun repackaging hau. 239 00:15:56,720 --> 00:16:03,100 >> Arrazoia da Android kode eraiki da 240 00:16:03,100 --> 00:16:08,130 Java byte Dalvik izeneko kode bat hau da, erraz decompilable. 241 00:16:08,130 --> 00:16:12,460 Zer txarra lasaia egin ahal izango da 242 00:16:12,460 --> 00:16:16,590 Android aplikazio bat hartu, deskonpilatu, 243 00:16:16,590 --> 00:16:20,120 txertatzeko beren kode mingarria, konpilatu da, 244 00:16:20,120 --> 00:16:28,070 eta gero jarri up app dendan aplikazio horren bertsio berri bat izango purporting in, 245 00:16:28,070 --> 00:16:30,330 edo, besterik gabe, agian, aplikazioaren izena aldatuta. 246 00:16:30,330 --> 00:16:35,140 Joko moduko bat izan zen bada, aldatu izena, apur bat, 247 00:16:35,140 --> 00:16:42,860 eta beraz repackaging hau mobile malware% 86 lortzen nola banatzen da. 248 00:16:42,860 --> 00:16:45,810 Badira beste izeneko teknika eguneratzea eta hori da 249 00:16:45,810 --> 00:16:50,030 Oso repackaging antzekoa, baina benetan ez duzu jarri kode kaltegarria sartu 250 00:16:50,030 --> 00:16:52,870 Zer egin nahi duzu eguneratzea mekanismo txiki bat jarri duzu. 251 00:16:52,870 --> 00:16:56,660 Duzu deskonpilatzea, eguneratzea mekanismo bat jarri duzu, eta konpilatu duzu, 252 00:16:56,660 --> 00:17:02,360 eta orduan aplikazioa exekutatzen ari den behera tira malware gailua gainean. 253 00:17:02,360 --> 00:17:06,300 >> Urrun By gehiengoaren 2 teknika dutenak dira. 254 00:17:06,300 --> 00:17:12,710 Ez dago mugikorrean benetan askoz download disko-bys edo deskargak disko-, 255 00:17:12,710 --> 00:17:15,890 horrek phishing eraso bat bezalakoa izan daiteke. 256 00:17:15,890 --> 00:17:18,200 Hey, begiratu web benetan cool honetan, 257 00:17:18,200 --> 00:17:21,020 edo den web hau begiratu eta bete inprimaki hau behar duzun 258 00:17:21,020 --> 00:17:24,420 zerbait egiten jarraitu mantentzeko. 259 00:17:24,420 --> 00:17:26,230 Horiek dira erasoak phishing. 260 00:17:26,230 --> 00:17:28,160 Gauza bera plataforma mugikorra on gerta daiteke non dute 261 00:17:28,160 --> 00:17:33,830 Aplikazio mugikor bat deskargatu, esan seinalatu "Aupa, hau da, Bank of America." 262 00:17:33,830 --> 00:17:36,070 "Aplikazio hau erabiltzen ari zaren ikusiko dugu." 263 00:17:36,070 --> 00:17:38,540 "Beste aplikazio hori deskargatu beharko duzu." 264 00:17:38,540 --> 00:17:41,170 Teorian, hori izan litekeela. 265 00:17:41,170 --> 00:17:48,610 Agian besterik erabiltzen ez den denbora nahikoa arrakastatsua da edo ez zehazteko, 266 00:17:48,610 --> 00:17:51,680 baina aurkitu zuten garai teknika horren% 1 baino gutxiago erabiltzen dela. 267 00:17:51,680 --> 00:17:56,130 Garai gehienetan benetan da birpaketatutako kode bat. 268 00:17:56,130 --> 00:17:58,710 >> Badira beste izeneko kategoria standalone da 269 00:17:58,710 --> 00:18:01,420 non norbait besterik marka berria aplikazio bat eraikitzen. 270 00:18:01,420 --> 00:18:04,020 Zerbait izan gura duten aplikazio bat eraiki dute. 271 00:18:04,020 --> 00:18:07,360 Ez da beste zerbait repackaging bat, eta hori kode kaltegarria dauka. 272 00:18:07,360 --> 00:18:11,230 Duten denbora% 14 erabiltzen da. 273 00:18:11,230 --> 00:18:17,880 Orain zer da kode kaltegarria ari buruz hitz egin nahi dut? 274 00:18:17,880 --> 00:18:23,070 Lehen malware han bat 275 00:18:23,070 --> 00:18:25,490 spyware bat kontuan hartu ahal izango duzu. 276 00:18:25,490 --> 00:18:27,620 Erabiltzaileari buruzko Funtsean da espiatzen. 277 00:18:27,620 --> 00:18:30,470 Mezu elektronikoak, SMS mezuak biltzen ditu. 278 00:18:30,470 --> 00:18:32,340 Mikrofono on bihurtzen da. 279 00:18:32,340 --> 00:18:37,330 Kontaktua liburuan biltzen du, eta bidaltzen du off norbaitek. 280 00:18:37,330 --> 00:18:40,870 Spyware mota hau ordenagailuan existitzen, 281 00:18:40,870 --> 00:18:46,200 beraz perfektua zentzuzkoa da pertsona hau egiteko gailu mugikorrean saiatzeko. 282 00:18:46,200 --> 00:18:53,230 >> Horren lehen adibide bat Secret SMS Replicator izeneko programa bat izan zen. 283 00:18:53,230 --> 00:18:56,250 Duela urte pare bat izan zen Android Marketplace mantentzen da, 284 00:18:56,250 --> 00:18:59,960 eta ideia zen norbaiten Android telefono sarbidea izan ezkero 285 00:18:59,960 --> 00:19:03,450 Spy nahi duzula, beraz, agian zure ezkontidea da 286 00:19:03,450 --> 00:19:07,600 edo zure esanguratsua beste eta beren testu mezularitza Spy nahi baduzu, 287 00:19:07,600 --> 00:19:11,200 Aplikazio hau deskargatu ahal izango duzu, eta instalatu eta konfiguratu 288 00:19:11,200 --> 00:19:16,540 SMS testu mezu bat bidaltzea nahi duzun kopia batekin 289 00:19:16,540 --> 00:19:21,710 SMS testu mezu bakoitzaren dute lortu. 290 00:19:21,710 --> 00:19:27,220 Hau, jakina, app store zerbitzuaren baldintzen urraketa dago, 291 00:19:27,220 --> 00:19:32,040 eta hau zen Android Marketplace kendu 18 han egotea da orduko epean, 292 00:19:32,040 --> 00:19:36,760 beraz, jende kopurua oso txikia arriskuan izan ziren horregatik. 293 00:19:36,760 --> 00:19:42,510 Orain, uste dut programa izeneko zerbait, agian, apur bat gutxiago probokatzailea zen bada 294 00:19:42,510 --> 00:19:48,690 Secret SMS Replicator bezala seguruenik aritu zen asko hobeto. 295 00:19:48,690 --> 00:19:52,870 Baina mota begi-bistakoa zen. 296 00:19:52,870 --> 00:19:58,680 >> Gauzak Aplikazio portaera hori ez dugu nahi izanez zehaztu egin dezakegu bat 297 00:19:58,680 --> 00:20:01,410 da kode ikuskatzeko. 298 00:20:01,410 --> 00:20:06,250 Hau da, benetan oso erraza da Android on egiten dugu aplikazio banatu daitekeelako. 299 00:20:06,250 --> 00:20:11,050 IOS IDA Pro bezalakoak disassembler bat erabil dezakezu 300 00:20:11,050 --> 00:20:17,190 zer Apis aplikazioa deituz eta zer egiten ari den begiratu. 301 00:20:17,190 --> 00:20:20,680 Gurea bitar analizatzaile estatikoan idatzi dugu gure kodea lortzeko 302 00:20:20,680 --> 00:20:24,940 eta hau egin dugu, eta, beraz, zer egin ahal izango duzu, esan, 303 00:20:24,940 --> 00:20:30,490 da telefonotik ezer hori funtsean me zelatatzen edo niri segimendua egin? 304 00:20:30,490 --> 00:20:33,360 Eta adibide batzuk hemen iPhone buruzko daukat. 305 00:20:33,360 --> 00:20:41,440 Lehen adibidea hau da telefonoz UUID nola sartzeko. 306 00:20:41,440 --> 00:20:47,060 Hau da, benetan duten Apple besterik ez du aplikazio berriak debekatu zerbait, 307 00:20:47,060 --> 00:20:52,540 baina aplikazio zaharrek duten telefonoan dezakezu exekutatzen dute oraindik ere egin daiteke hau, 308 00:20:52,540 --> 00:20:56,500 eta beraz, identifikatzaile bakarra duzula jarraitzeko erabil daitezke 309 00:20:56,500 --> 00:21:00,440 aplikazio desberdinak askotan zehar. 310 00:21:00,440 --> 00:21:07,180 >> Android On, adibide bat daukat gailu kokapen lortzean hemen. 311 00:21:07,180 --> 00:21:10,310 Ikusten duzun API dei hori bada ez dagoela aplikazioa duten segimendua egiten da, 312 00:21:10,310 --> 00:21:15,000 eta ikusi ahal izango duzu nik kokapena fina edo lodia kokapena eskuratzerakoan ala ez. 313 00:21:15,000 --> 00:21:18,860 Eta gero beheko hemen on, nola adibide bat BlackBerry on daukat 314 00:21:18,860 --> 00:21:25,130 aplikazio bat zure sarrera erretiluko mezu elektronikoetara sartzeko liteke. 315 00:21:25,130 --> 00:21:27,660 Horiek gauza-mota ikuskatu ahal izango duzu ikusteko 316 00:21:27,660 --> 00:21:32,360 aplikazioa da gauza horiek egiten bada. 317 00:21:32,360 --> 00:21:38,320 Jokabide maltzurren bigarren kategoria handi, eta hau da, ziurrenik kategoria handiena orain, 318 00:21:38,320 --> 00:21:43,950 da baimenik gabe markartzea, baimenik gabe premium SMS testu mezu 319 00:21:43,950 --> 00:21:46,080 edo baimendu gabeko ordainketak. 320 00:21:46,080 --> 00:21:48,930 Hori telefonoz buruzko berezia, beste gauza 321 00:21:48,930 --> 00:21:52,700 telefonora da fakturazio-kontu bat egiteko zaletasuna, 322 00:21:52,700 --> 00:21:55,960 eta jarduera telefonoz gertatuko denean 323 00:21:55,960 --> 00:21:58,510 karguak sortu ahal izango da. 324 00:21:58,510 --> 00:22:00,700 Telefonoz gauzak erosi ahal izango duzu, 325 00:22:00,700 --> 00:22:04,390 eta noiz premium SMS testu mezu bat bidaltzea benetan ari zaren dirua emanez 326 00:22:04,390 --> 00:22:11,590 Kontu telefonoaren beste aldean zenbakiaren titularra izateko. 327 00:22:11,590 --> 00:22:17,420 Horiek sortu ziren akzioen kotizazioak lortzeko edo zure eguneroko horoskopoa edo beste gauza batzuk eskuratzeko, 328 00:22:17,420 --> 00:22:21,680 baina dute ezar daiteke produktu bat eskatzeko SMS testu bat bidaliz. 329 00:22:21,680 --> 00:22:26,970 Jendeak dirua eman Gurutze Gorriak testu-mezu bat bidaliz. 330 00:22:26,970 --> 00:22:30,650 Eman dezakezu $ 10 modu horretan. 331 00:22:30,650 --> 00:22:34,190 >> Erasotzaileek, zer egin dute sortu dute 332 00:22:34,190 --> 00:22:38,750 atzerriko herrialdeetan kontuak, eta txertatzeko malware dute 333 00:22:38,750 --> 00:22:42,840 telefonoz duten premium SMS testu mezu bat bidaliko du, 334 00:22:42,840 --> 00:22:47,700 esateko, egunean hainbat aldiz, eta hilaren konturatzen zara amaieran gastatu duzun at 335 00:22:47,700 --> 00:22:52,090 hamarnaka edo agian ehunka dolar, eta jaramonik ez dirua. 336 00:22:52,090 --> 00:22:57,280 Hau lortu hain txarra hori izan zen oso lehen gauza Android du 337 00:22:57,280 --> 00:23:00,760 Marketplace edo Google place-it Android Marketplace izan zen garai hartan, 338 00:23:00,760 --> 00:23:04,430 eta orain da Google Play-the Googleren hasi egiaztapena lehenengo gauza. 339 00:23:04,430 --> 00:23:08,700 Google Android apps banatzeko hasi denean bere app dendan 340 00:23:08,700 --> 00:23:11,350 ez zuten ezer egiaztatu da, esan dute. 341 00:23:11,350 --> 00:23:15,630 Apps tira dugu behin izan dugu jakinaraziko gure zerbitzu-baldintzak hautsi dut dute, 342 00:23:15,630 --> 00:23:17,520 baina ez gabiltza ezer egiaztatu da. 343 00:23:17,520 --> 00:23:24,350 Beno, buruz urte bat orain dela hain txarra lortu premium SMS testu mezu malware honekin ezazu 344 00:23:24,350 --> 00:23:28,030 hori egiaztapena hasi ziren oso lehen gauza da. 345 00:23:28,030 --> 00:23:31,770 Aplikazio bat bada SMS testu mezuak bidali ahal 346 00:23:31,770 --> 00:23:34,750 gehiago eskuz aztertuko dute aplikazio hori. 347 00:23:34,750 --> 00:23:38,770 Deitu duten hau APIak bilatzen dute, 348 00:23:38,770 --> 00:23:40,580 eta, orain, orduz geroztik, Google zabaldu du, 349 00:23:40,580 --> 00:23:46,900 baina hori bilatzen hasi ziren lehenengo gauza izan zen. 350 00:23:46,900 --> 00:23:50,690 >> SMS testu mezu batzuk egin duten beste batzuk apps, 351 00:23:50,690 --> 00:23:56,980 Android Qicsomos honetan, uste dut deitzen da. 352 00:23:56,980 --> 00:24:02,670 Ez zegoen mugikorra non CarrierIQ hau atera zen uneko gertaera hau 353 00:24:02,670 --> 00:24:07,720 gisa spyware gailua jarri eramaile by, 354 00:24:07,720 --> 00:24:10,820 beraz, pertsona bere telefono honetara zaurgarria zen bada jakin nahi, 355 00:24:10,820 --> 00:24:13,890 eta honen aplikazioa falta hori probatu zela. 356 00:24:13,890 --> 00:24:17,520 Beno, jakina, zer aplikazio hau egin zen premium SMS testu mezuak bidaltzen ditu, 357 00:24:17,520 --> 00:24:20,090 beraz spyware zurekin kutsatuta bazabiltza ikusteko probatzen 358 00:24:20,090 --> 00:24:24,930 malware kargatu telefonoaren gainean. 359 00:24:24,930 --> 00:24:27,310 Ikusi genuen gauza bera gertatuko da azken Super Bowl at. 360 00:24:27,310 --> 00:24:33,180 Ez zen akastunak du Madden futbol joko bertsio bat 361 00:24:33,180 --> 00:24:38,320 premium SMS testu mezuak bidaltzen duten. 362 00:24:38,320 --> 00:24:45,750 Benetan saiatu gailua on gehiegi bot sare bat sortzeko. 363 00:24:45,750 --> 00:24:48,090 Hemen adibide batzuk daukat. 364 00:24:48,090 --> 00:24:52,640 Interesgarria da nahikoa, Apple nahiko smart zen, 365 00:24:52,640 --> 00:24:58,470 eta ez dute ahalbidetzen aplikazioetan SMS testu mezuak bidaltzeko guztietan. 366 00:24:58,470 --> 00:25:00,350 No app egin dezake. 367 00:25:00,350 --> 00:25:03,530 Duten ohitu ahultasun klase oso bat kentzeko modu handi bat da, 368 00:25:03,530 --> 00:25:09,040 baina Android on egin dezakezu, eta, jakina, BlackBerry on Zuk ere egin dezakezu. 369 00:25:09,040 --> 00:25:13,060 Interesgarria da BlackBerry buruzko behar duzun guztia interneteko baimenak 370 00:25:13,060 --> 00:25:18,370 SMS testu mezu bat bidaltzeko. 371 00:25:18,370 --> 00:25:21,580 >> Bilatzeko benetan dugun beste gauza 372 00:25:21,580 --> 00:25:24,780 zerbait maltzurren bada ikusteko bilatzen ari gara besterik ez edozein motatako da 373 00:25:24,780 --> 00:25:28,100 baimendu gabeko sarearen jarduera, bezalako sare jarduera begiratu 374 00:25:28,100 --> 00:25:31,570 aplikazioa suposatzen da bere funtzionalitatea izan behar dute, 375 00:25:31,570 --> 00:25:35,380 eta beste sare jarduera hau begiratu. 376 00:25:35,380 --> 00:25:43,380 Agian aplikazio bat, lan egiteko, datuak HTTP baino gehiago eskuratu behar ditu, 377 00:25:43,380 --> 00:25:47,500 baina posta elektronikoz edo SMS edo Bluetooth edo horrelako zerbait baino gehiago gauzak egiten ari bada 378 00:25:47,500 --> 00:25:52,890 orain, aplikazioa izan potentzialki maltzurren izan, beraz, hau beste gauza bat zuretzat ikuskatu ahal izango da. 379 00:25:52,890 --> 00:26:00,430 Eta diapositiba honetan hemen horren adibide batzuk daukat. 380 00:26:00,430 --> 00:26:05,950 Beste gauza interesgarri ikusi malware dugu gertatu atzera 2009an, 381 00:26:05,950 --> 00:26:07,600 eta gertatutakoa modu handi bat da. 382 00:26:07,600 --> 00:26:11,390 Ez dakit hainbeste da gertatu bada, harrezkero, baina aplikazio bat izan zen 383 00:26:11,390 --> 00:26:15,140 duten beste aplikazio bat ordezkatzen. 384 00:26:15,140 --> 00:26:21,700 Ez zegoen apps multzo bat, eta 09Droid erasoa bikoiztutako zen, 385 00:26:21,700 --> 00:26:29,770 eta norbaitek erabaki du ez dagoela, eskualdeko, Mid banku txiki asko zeuden 386 00:26:29,770 --> 00:26:32,260 hori ez da banku online aplikazioak izan, 387 00:26:32,260 --> 00:26:36,870 beraz, zer egin zuten zen 50 bat online banka aplikazioei eraiki dute 388 00:26:36,870 --> 00:26:39,410 egin zuten guztiek utzi du, erabiltzaile izena eta pasahitza hartu 389 00:26:39,410 --> 00:26:42,190 eta redirect webgunera duzu. 390 00:26:42,190 --> 00:26:47,470 Eta horrela jarri dute horiek guztiek sortu Google Marketplace barruan, 391 00:26:47,470 --> 00:26:51,530 Android Marketplace, eta ikusi norbait bilatuko denean bada beren banku 392 00:26:51,530 --> 00:26:56,000 aplikazio bat akastunak aplikazio aurkitu zuten izan, 393 00:26:56,000 --> 00:27:01,230 eta horrek beren kredentzialak bildu eta gero birbideratutako euren webgunean. 394 00:27:01,230 --> 00:27:06,640 Bide batez, benetan hau izan zen-Aplikazio gora egon ziren aste batzuk, 395 00:27:06,640 --> 00:27:09,050 han eta milaka eta milaka deskarga ziren. 396 00:27:09,050 --> 00:27:12,910 >> Modu honetan argi etorri zen norbaitek arazoren bat izatea izan zen 397 00:27:12,910 --> 00:27:15,740 Aplikazio horietako, eta beren banku deitu dute, honekin 398 00:27:15,740 --> 00:27:18,390 eta beren banku bezero-laguntza lerro deitu zioten eta esan zion: 399 00:27:18,390 --> 00:27:21,180 "Zure mugikorra banka aplikazio batekin arazo bat dut." 400 00:27:21,180 --> 00:27:23,460 "Ezin me lagunduko duzu?" 401 00:27:23,460 --> 00:27:26,540 Eta, esan dute "ez dugu mugikorra banka aplikazio bat." 402 00:27:26,540 --> 00:27:28,120 Hasi zen ikerketa. 403 00:27:28,120 --> 00:27:31,200 Izeneko banku Googleren, eta, ondoren, Google begiratu eta esan zion: 404 00:27:31,200 --> 00:27:37,220 "Wow, egilearen beraren 50 banku aplikazioetan idatzi du," eta horiek hartu zuten guztiak behera. 405 00:27:37,220 --> 00:27:43,410 Baina zalantzarik gabe, hau berriro gerta liteke. 406 00:27:43,410 --> 00:27:51,790 Hainbat banku guztien zerrenda hemen 407 00:27:51,790 --> 00:27:55,870 duten iruzur horren parte ziren. 408 00:27:55,870 --> 00:28:02,050 Beste gauza aplikazio bat egin ahal izango da gaur egungo beste aplikazio of UI. 409 00:28:02,050 --> 00:28:06,430 Exekutatzen ari den bitartean pop zitekeela Facebook UI. 410 00:28:06,430 --> 00:28:09,540 Zure erabiltzaile izena eta pasahitza jarri jarraituko duzu esaten du 411 00:28:09,540 --> 00:28:15,090 edo jarri edozein erabiltzaile-izena eta pasahitza UI webgune bat 412 00:28:15,090 --> 00:28:18,420 agian erabiltzaileari besterik erabiltzen erabiltzailea engainatu saiatzeko 413 00:28:18,420 --> 00:28:21,340 beren kredentzialak jarriz sartu sartu 414 00:28:21,340 --> 00:28:25,590 Hau da, benetan email phishing erasoak paralelo zuzen bat 415 00:28:25,590 --> 00:28:28,210 non norbaitek mezu elektroniko bat bidaltzen dizu 416 00:28:28,210 --> 00:28:33,050 eta, funtsean webgune batean UI faltsu bat ematen dizu 417 00:28:33,050 --> 00:28:37,320 sarbidea baduzula. 418 00:28:37,320 --> 00:28:41,590 >> Bilatzen dugu kode mingarria in Beste gauza sistema aldatzea da. 419 00:28:41,590 --> 00:28:48,160 Duzu erro pribilegioa behar dutena API dei guztiak begiratu ahal 420 00:28:48,160 --> 00:28:50,870 behar bezala exekutatu. 421 00:28:50,870 --> 00:28:56,160 Gailuak web proxy aldatzen zerbait aplikazio bat izango litzateke 422 00:28:56,160 --> 00:28:59,530 ez luke egin ahal. 423 00:28:59,530 --> 00:29:03,030 Baina aplikazioa ez da egin behar han kode badu 424 00:29:03,030 --> 00:29:05,960 badakizu dela seguruenik aplikazioarekin bat kaltegarria 425 00:29:05,960 --> 00:29:09,620 edo oso oso litekeena aplikazio maltzurren bat izan nahi du, 426 00:29:09,620 --> 00:29:13,910 eta, beraz, zer gertatuko litzateke da aplikazioa duten pribilegioa escalating modu batzuk izango lituzke. 427 00:29:13,910 --> 00:29:17,200 Pribilegioa eskalatze batzuk ustiatzeko litzateke 428 00:29:17,200 --> 00:29:20,730 aplikazioan, eta, ondoren, behin pribilegioak areagotu da 429 00:29:20,730 --> 00:29:23,800 sistema horiek aldaketak egin litzateke. 430 00:29:23,800 --> 00:29:28,010 Duten pribilegioa eskalatze ditu malware aurkitu dezakezu 431 00:29:28,010 --> 00:29:32,550 bertan nahiz pribilegioa nola eskalatze jakin gabe 432 00:29:32,550 --> 00:29:37,960 ustiatzeko gertatuko da, eta hori, era erraz polit bat 433 00:29:37,960 --> 00:29:41,220 malware bilatzeko. 434 00:29:41,220 --> 00:29:46,030 DroidDream zen ziurrenik Android malware pieza ospetsuena. 435 00:29:46,030 --> 00:29:50,530 Nik uste dut egun batzuk baino gehiago erabiltzaile 250.000 inguru afectadas 436 00:29:50,530 --> 00:29:52,810 aurkitu aurretik zen. 437 00:29:52,810 --> 00:29:56,890 50 akastunak aplikazioetan birpaketatutako dute, 438 00:29:56,890 --> 00:30:00,370 horiek jarri du Android app dendan, 439 00:30:00,370 --> 00:30:10,940 eta funtsean pribilegioak eskalatzea erabiltzen da Android jailbreak kodea 440 00:30:10,940 --> 00:30:16,380 eta ondoren instalatu komando bat eta biktima guztiak kontrolatu eta buelta 441 00:30:16,380 --> 00:30:20,690 bot garbiarekin sartu, baina ezin duzu hau detektatu dute 442 00:30:20,690 --> 00:30:24,170 Aplikazio eskaneatzen zinen bada eta besterik bila 443 00:30:24,170 --> 00:30:32,230 API deiak beharrezkoa root baimena behar bezala exekutatu. 444 00:30:32,230 --> 00:30:40,150 >> Eta badira adibide bat hemen bertan proxy aldatzen ditut, 445 00:30:40,150 --> 00:30:46,380 eta hau egia esan, bakarrik dago eskuragarri Android da. 446 00:30:46,380 --> 00:30:49,070 Ikusten duzun emanez dizut Android buruzko adibide asko 447 00:30:49,070 --> 00:30:53,990 hau da, non malwarea ekosistema aktiboena delako 448 00:30:53,990 --> 00:30:58,690 benetan erasotzaile bat erraza da kode mingarria lortu duelako 449 00:30:58,690 --> 00:31:01,470 Android Marketplace sartu. 450 00:31:01,470 --> 00:31:06,480 Ez da hain erraza hori egin Apple App Store 451 00:31:06,480 --> 00:31:10,250 Apple garatzaileek behar du bere burua identifikatu nahi duelako 452 00:31:10,250 --> 00:31:12,790 eta kodea sinatzeko. 453 00:31:12,790 --> 00:31:20,340 Benetan egiaztatu dute nor zaren, eta Apple benetan aplikazioen scrutinizing. 454 00:31:20,340 --> 00:31:27,450 Ez dugu benetako malware han gailua da ohitu arriskutsua asko ikusten. 455 00:31:27,450 --> 00:31:32,250 Egingo adibide batzuk non benetan da hori lortzean arriskutsua pribatutasuna buruz hitz egin dut, 456 00:31:32,250 --> 00:31:38,460 eta hori da benetan Apple gailu gertatzen. 457 00:31:38,460 --> 00:31:44,090 Beste gauza bat egiteko kode mingarria bilatzeko, arriskutsua gailuetan kode 458 00:31:44,090 --> 00:31:50,300 logika edo denbora bonba da, eta denbora bonbak dira ziurrenik 459 00:31:50,300 --> 00:31:53,370 askoz errazago bonbak logika baino bilatzeko. 460 00:31:53,370 --> 00:31:57,030 Baina denbora bonba batekin, zer egin dezakezu zuk begiratu ahal 461 00:31:57,030 --> 00:32:04,760 kodearen non garai probatu edo denbora absolutua lekuak dagoen begiratu 462 00:32:04,760 --> 00:32:08,190 Aplikazioa zenbait funtzionalitate aurretik gertatzen da. 463 00:32:08,190 --> 00:32:14,200 Eta hau egin ahal izango da jarduera horrek agerian erabiltzaileari, 464 00:32:14,200 --> 00:32:17,510 beraz, berandu gertatzen da gauez. 465 00:32:17,510 --> 00:32:24,350 DroidDream 11 PM eta 8 AM tokiko ordua artean egin zuen bere jarduera guztiak 466 00:32:24,350 --> 00:32:30,650 egin behar den erabiltzaileari agian ez da bere telefonoa erabiliz berriz saiatzeko. 467 00:32:30,650 --> 00:32:38,680 >> Gauza bera egiteko beste arrazoia jendea aplikazio baten analisia jokabidearen erabiltzen bada da, 468 00:32:38,680 --> 00:32:43,430 Aplikazioa exekutatzen sandbox batean aplikazioa portaera zein den jakiteko, 469 00:32:43,430 --> 00:32:51,090 denbora-oinarritutako logika erabili ahal izango dute, jarduera egin 470 00:32:51,090 --> 00:32:54,640 aplikazioa ez da sandbox batean. 471 00:32:54,640 --> 00:33:01,520 Adibidez, aplikazioa Apple bezalako denda bat 472 00:33:01,520 --> 00:33:07,940 aplikazioaren bidez, baina seguruenik ez aplikazio guztietan exekutatu, esan, 30 egun 473 00:33:07,940 --> 00:33:10,550 hura onartu baino lehen, beraz, jarri ahal izango duzu 474 00:33:10,550 --> 00:33:14,120 Zure aplikazioa dela esan zuen, ados, bakarrik gauza txarrak egin logika 475 00:33:14,120 --> 00:33:20,490 ondoren 30 egun ditu, edo ondoren 30 egun desagertu argitaratzen aplikazioaren data ondoren, 476 00:33:20,490 --> 00:33:27,020 eta horrek lagundu ahal izango du kode mingarria ezkutatzeko jendea horretarako ikuskatzeko from. 477 00:33:27,020 --> 00:33:30,050 Antibirus enpresek gauzak exekutatzen ari bazara sandboxes in 478 00:33:30,050 --> 00:33:36,370 edo app dendak beraiek dira honi lagun dezake 479 00:33:36,370 --> 00:33:39,260 ezkutatu duten ikuskaritza horretatik aurrera. 480 00:33:39,260 --> 00:33:43,020 Orain, hori alde flip da erraza da analisi estatiko aurkituko, 481 00:33:43,020 --> 00:33:46,170 beraz, benetan kodea zaren leku guztietan bila daiteke ikuskatzeko 482 00:33:46,170 --> 00:33:54,010 non aplikazioa denbora probak eta ikuskatu horrela. 483 00:33:54,010 --> 00:33:58,850 Eta hemen 3 plataforma ezberdin horiei buruzko adibide batzuk daukat 484 00:33:58,850 --> 00:34:05,640 zenbat denbora behar hautatuta daiteke aplikazioa egilearen arabera 485 00:34:05,640 --> 00:34:10,520 beraz, badakizu zer nahi duzun aplikazioa estatikoki ikuskatzeko bazabiltza bilatzeko. 486 00:34:10,520 --> 00:34:14,570 >> Asmo txarreko ekintza ezberdin sorta osoa bidez I paregabea eman 487 00:34:14,570 --> 00:34:18,969 ditudan dugu basatia ikusi, baina zein nagusiak dira? 488 00:34:18,969 --> 00:34:23,940 North Carolina State Mugikorra Genome Project azterketa horretan bertan 489 00:34:23,940 --> 00:34:28,560 datu batzuk argitaratu, eta han izan ziren, funtsean, 4 arlo 490 00:34:28,560 --> 00:34:32,850 han Jarduera asko izan zen ikusi dutela. 491 00:34:32,850 --> 00:34:35,370 Apps ia% 37 egin zuten pribilegioa eskalada, 492 00:34:35,370 --> 00:34:38,429 beraz jailbreak kode mota batzuk izan zuten han 493 00:34:38,429 --> 00:34:42,070 non pribilegio eskalatzea saiatu dira zalantzarik gabe, beraz, 494 00:34:42,070 --> 00:34:48,360 ez sistema eragilearen gisa exekutatzen API komandoak. 495 00:34:48,360 --> 00:34:52,520 Apps guztien% 45 han egin premium SMS, 496 00:34:52,520 --> 00:34:57,260 beraz, hori zuzenean dirua irabazteko nahian portzentaje handi bat da. 497 00:34:57,260 --> 00:35:02,640 % 93 egin zuen urruneko kontrola, beraz bot garbiarekin, sakelako bot garbiarekin saiatu konfiguratzeko dute. 498 00:35:02,640 --> 00:35:08,990 Eta% 45 biltzen identifikatzeko informazio 499 00:35:08,990 --> 00:35:16,230 telefono zenbakiak, UUIDs, GPS kokapena, erabiltzaile-kontuak, bezalako 500 00:35:16,230 --> 00:35:22,870 eta honi gehitzen 100dik gora malware gehienak gauza horietako batzuk bat egiten saiatzen delako. 501 00:35:22,870 --> 00:35:27,070 >> Naiz hemen bigarren erdian aldatzeko eta kode ahuleziak buruz hitz egingo. 502 00:35:27,070 --> 00:35:29,480 Hau arriskutsua jardueraren bigarren erdian dago. 503 00:35:29,480 --> 00:35:33,450 Hau da, non funtsean sustatzailearen dago akatsak egiteko. 504 00:35:33,450 --> 00:35:37,210 Sustatzailearen legezko bidezkoa aplikazio bat idazten 505 00:35:37,210 --> 00:35:41,830 da akatsak eginez edo plataforma mugikorra arriskuak ezjakin da. 506 00:35:41,830 --> 00:35:44,780 Ez besterik ez dakite a mobile app seguruak nola egin, 507 00:35:44,780 --> 00:35:47,700 edo batzuetan sustatzailearen ez ditu erabiltzaileak arriskuan jarriko buruzko zaintzeko. 508 00:35:47,700 --> 00:35:50,850 Batzuetan, beren negozio ereduaren zati izan liteke 509 00:35:50,850 --> 00:35:54,610 erabiltzaileak duen informazio pertsonala uzta. 510 00:35:54,610 --> 00:35:58,090 Hori da beste kategoria moduko, eta horregatik asmo txarreko hau batzuk 511 00:35:58,090 --> 00:36:03,200 legezko hasten versus gorako mozketa delako iritzien aldea 512 00:36:03,200 --> 00:36:10,440 zer erabiltzaileari nahi duen eta zer erabiltzailearentzat arriskutsua kontsideratzen arteko 513 00:36:10,440 --> 00:36:13,050 eta zer aplikazio sustatzailearen iritziz arriskutsua. 514 00:36:13,050 --> 00:36:18,380 Jakina, ez da aplikazio sustatzailearen en datuak kasu gehienetan. 515 00:36:18,380 --> 00:36:22,030 >> Eta gero, azkenik, hau gertatzen da beste modu bat da sustatzailearen batean lotzen liteke 516 00:36:22,030 --> 00:36:28,600 liburutegi partekatu baten dituen ahuleziak edo arriskutsua portaera hori du in 517 00:36:28,600 --> 00:36:32,480 Horietako unbeknownst. 518 00:36:32,480 --> 00:36:37,060 Lehenengo kategorian sentikorra datuak isurketa da, 519 00:36:37,060 --> 00:36:40,030 eta hau da aplikazioa informazioa biltzen denean 520 00:36:40,030 --> 00:36:44,980 kokapena, helbide-liburuko informazioa, jabea informazio bezalako 521 00:36:44,980 --> 00:36:48,000 eta bidaltzen dituen telefonoa itzali. 522 00:36:48,000 --> 00:36:53,050 Eta behin da telefonoa itzali, ez dakigu zer ari den informazio hori gertatzen ari. 523 00:36:53,050 --> 00:36:57,170 Insecurely gordetzen litezke aplikazio sustatzailearen arabera. 524 00:36:57,170 --> 00:37:02,070 Ikusi dugu aplikazio garatzaileentzat ezagutu arriskutsua, 525 00:37:02,070 --> 00:37:05,820 eta hori gordetzeko ari dira datuak hartu lortzen. 526 00:37:05,820 --> 00:37:10,970 Duela hilabete batzuk gertatu developer behera Florida 527 00:37:10,970 --> 00:37:21,660 non dagoen-kopuru handi bat izan zen iPad UUIDs eta gailu izenak 528 00:37:21,660 --> 00:37:25,270 leaked ziren norbait, uste dut anonimo zelako, 529 00:37:25,270 --> 00:37:29,460 erreklamatu hori egin ahal izateko, sustatzailearen hau zerbitzarietan sartu hautsi 530 00:37:29,460 --> 00:37:34,920 eta iPad UUIDs milioika lapurtu 531 00:37:34,920 --> 00:37:37,390 eta ordenagailu izenak. 532 00:37:37,390 --> 00:37:40,260 Ez gehien arriskutsua informazio, 533 00:37:40,260 --> 00:37:46,820 baina zer esan bada izan da erabiltzaile-izenak eta pasahitzak biltegiratze 534 00:37:46,820 --> 00:37:48,170 eta helbideak? 535 00:37:48,170 --> 00:37:51,100 Ez da informazio-mota hori gordetzen duten apps asko. 536 00:37:51,100 --> 00:37:53,230 Arriskua dago. 537 00:37:53,230 --> 00:37:56,620 >> Beste gauza gerta litekeen bada garatzaileak ez du zaindu 538 00:37:56,620 --> 00:38:01,370 datuak kanal ziurtatzeko, eta hori beste ahultasun handira buruz hitz noa da, 539 00:38:01,370 --> 00:38:05,160 datu hori argi bidaltzen ari. 540 00:38:05,160 --> 00:38:09,040 Erabiltzaileari Wi-Fi sare publiko batean badago 541 00:38:09,040 --> 00:38:12,330 edo norbaitek interneten nonbait sniffing da 542 00:38:12,330 --> 00:38:19,260 bidetik datu horiek jasan du. 543 00:38:19,260 --> 00:38:23,790 Pandora bat informazio isurketa honen kasuan oso ezaguna gertatu zen, 544 00:38:23,790 --> 00:38:27,250 eta hau zerbait ikertu Veracode dugu da. 545 00:38:27,250 --> 00:38:33,200 Ez zela uste bat-I Merkataritzaren Batzorde Federalaren bat zela entzun genuen 546 00:38:33,200 --> 00:38:35,310 ikerketa gertatzen Pandora batera. 547 00:38:35,310 --> 00:38:39,830 , Esan genuen "Zer gertatzen Hara joan? Dezagun hasteko Pandora aplikazioa sartu Jaurlaritzak." 548 00:38:39,830 --> 00:38:46,690 Eta zer erabaki dugu Pandora aplikazioa bildu zen 549 00:38:46,690 --> 00:38:51,270 zure genero eta zure adina, 550 00:38:51,270 --> 00:38:56,660 eta zure GPS kokapena, eta Pandora aplikazioa erabiltzen du, gainera, 551 00:38:56,660 --> 00:39:00,200 egin hau zer ziren legezko arrazoi esan dute. 552 00:39:00,200 --> 00:39:05,360 Duten jolasten-Pandora ziren musikak bat musika streaming app-da 553 00:39:05,360 --> 00:39:07,530 jolasten ziren musikak bakarrik Estatu Batuetan Lizentziapean zen, 554 00:39:07,530 --> 00:39:13,020 beraz, beren lizentzia akordioak izan zuten betetzeko egiaztatu behar izan zuten 555 00:39:13,020 --> 00:39:17,240 musika, erabiltzaileak Estatu Batuetan izan zen. 556 00:39:17,240 --> 00:39:25,070 Hemen gurasoen aholkularitza betetzea ere nahi dute 557 00:39:25,070 --> 00:39:33,790 Inguruan musika hizkuntza, helduen, 558 00:39:33,790 --> 00:39:37,500 eta beraz, borondatezko programa bat da, baina hori betetzea nahi dute 559 00:39:37,500 --> 00:39:43,010 eta ez jokatu esplizitua lyrics haurrek 13 eta pean. 560 00:39:43,010 --> 00:39:46,280 >> Datu horiek biltzeko arrazoi zilegia izan zuten. 561 00:39:46,280 --> 00:39:49,160 Beren aplikazioa baimenak egin behar izan zuen. 562 00:39:49,160 --> 00:39:52,000 Erabiltzaile pentsatu izan da legitimoa. Baina zer gertatu da? 563 00:39:52,000 --> 00:39:55,810 Lotuta dauden 3 edo 4 ad liburutegiak desberdina dute. 564 00:39:55,810 --> 00:39:59,140 Orain bat-batean ad liburutegi hauek guztietako guztiak 565 00:39:59,140 --> 00:40:02,970 dira informazio hori bera sarbidea lortzean. 566 00:40:02,970 --> 00:40:05,830 Ad liburutegiak, ad liburutegietan begiratzen baduzu kodearen at 567 00:40:05,830 --> 00:40:08,430 zer egiten da ad liburutegi guztietan dio 568 00:40:08,430 --> 00:40:11,340 "Ez du nire app izan GPS kokapena lortzeko baimena?" 569 00:40:11,340 --> 00:40:14,890 "Oh, ez du? Ongi da, esan dit GPS kokapena." 570 00:40:14,890 --> 00:40:16,620 Behin ad liburutegi bakar egiten duten, 571 00:40:16,620 --> 00:40:19,740 eta aplikazioa ez badu GPS baimena 572 00:40:19,740 --> 00:40:23,460 ez da hura lortzeko gai, baina ez bada, lortuko da. 573 00:40:23,460 --> 00:40:26,240 Hau non enpresa ad liburutegiak eredua da 574 00:40:26,240 --> 00:40:31,160 ek erabiltzailearen intimitatea aurka. 575 00:40:31,160 --> 00:40:34,980 Eta ez da izan ikasketen dago out urtetik ezagutzen baduzu esan egingo 576 00:40:34,980 --> 00:40:38,430 pertsona baten eta bere kokapena ezagutzen duzun 577 00:40:38,430 --> 00:40:42,530 non lo egin gauez dute, beren GPS koordenadak duzulako 578 00:40:42,530 --> 00:40:46,030 dute beharbada lo dagoela, badakizu zehazki nor den pertsona hori 579 00:40:46,030 --> 00:40:50,230 zuk zehaztu daitekeelako eta horrek etxeko horretako kide pertsona dela. 580 00:40:50,230 --> 00:40:54,780 Benetan hau da iragarle identifikatuz 581 00:40:54,780 --> 00:40:59,530 zehazki nor zaren, eta itxura zilegia zen bezala da. 582 00:40:59,530 --> 00:41:02,800 Nahi dut nire streaming musika, eta hori lortzeko modu bakarra da. 583 00:41:02,800 --> 00:41:05,370 >> Beno, hau jasan dugu. 584 00:41:05,370 --> 00:41:08,030 Hau idatzi dugu, hainbat blog mezu batean, 585 00:41:08,030 --> 00:41:13,280 eta horrexegatik da Rolling Stone aldizkariak norbait 586 00:41:13,280 --> 00:41:18,810 irakurri gure blog mezu bat eta bere blog propioa idatzi zuen Rolling Stone horri buruz, 587 00:41:18,810 --> 00:41:22,120 eta hurrengo egunetik aurrera Pandora pentsatu ideia ona izan zen 588 00:41:22,120 --> 00:41:27,600 ad liburutegiak kendu euren aplikazio batetik. 589 00:41:27,600 --> 00:41:31,270 Nik dakidala gisa ari dira bakarrik-dute Commended behar. 590 00:41:31,270 --> 00:41:35,770 Oraindik dute dela hori egin aplikazioa freemium mota bakarra dela uste dut. 591 00:41:35,770 --> 00:41:38,660 Beste freemium apps guztiek dute portaera hori bera, 592 00:41:38,660 --> 00:41:41,780 beraz, lortu duzun zer nolako datuen emanez zaren pentsatzen 593 00:41:41,780 --> 00:41:48,330 freemium aplikazio horietarako delako da, eta denak iragarle joan. 594 00:41:48,330 --> 00:41:53,390 Pretoriar ere partekatu liburutegiak buruzko azterketa bat egin zuen eta esan zion: 595 00:41:53,390 --> 00:41:57,100 "Dezagun zer partekatu liburutegiak goiko partekatutako liburutegien zaude", eta hau izan da datuetan. 596 00:41:57,100 --> 00:41:59,420 >> 53.000 apps aztertu dute, 597 00:41:59,420 --> 00:42:01,900 eta liburutegi partekatua zenbakia 1 da AdMob zen. 598 00:42:01,900 --> 00:42:06,060 Benetan izan da aplikazioen daude% 38 in, 599 00:42:06,060 --> 00:42:08,800 beraz erabiltzen ari zaren aplikazioen% 38 600 00:42:08,800 --> 00:42:11,250 dira litekeena da zure informazio pertsonala uzta 601 00:42:11,250 --> 00:42:16,650 eta bidali ad-sareak ere. 602 00:42:16,650 --> 00:42:19,350 Apache eta Android% 8 eta% 6 izan ziren, 603 00:42:19,350 --> 00:42:22,960 eta, ondoren, beste hauek behera behean, Google iragarkiak, Flurry at, 604 00:42:22,960 --> 00:42:26,600 Mafia Herriaren eta milaka Media, 605 00:42:26,600 --> 00:42:30,500 horiek ad enpresa guztiak dira, eta, ondoren, interesgarriagoa da nahikoa, 606 00:42:30,500 --> 00:42:33,500 % 4 Facebook liburutegian lotuta 607 00:42:33,500 --> 00:42:38,870 Ziurrenik autentifikazio egin Facebook bidez 608 00:42:38,870 --> 00:42:40,810 beraz aplikazioa Facebook autentifikatzeko liteke. 609 00:42:40,810 --> 00:42:44,660 Baina hori korporazioak Facebook kontrolatzen kodea ere esan nahi 610 00:42:44,660 --> 00:42:49,010 duen Android mobile apps% 4 urtean han agortzen, 611 00:42:49,010 --> 00:42:53,490 eta datu guztiak sartzeko aplikazioa duten hori lortzeko baimena du dute. 612 00:42:53,490 --> 00:42:57,170 Facebook funtsean saiatzen publizitate espazioa saltzen. 613 00:42:57,170 --> 00:43:00,120 Beren negozio eredua da. 614 00:43:00,120 --> 00:43:02,920 >> Begiratuz gero baimenak hauekin ekosistema honetan guztian at 615 00:43:02,920 --> 00:43:07,740 eta partekatutako liburutegien duten ikusteko hasten zara 616 00:43:07,740 --> 00:43:13,850 arrisku asko duzu legitimo aplikazio batean. 617 00:43:13,850 --> 00:43:19,360 Duten Pandora gertatu bera antzeko gauza 618 00:43:19,360 --> 00:43:22,340 Path izeneko aplikazio batekin gertatu zen, 619 00:43:22,340 --> 00:43:27,660 eta Path pentsatu lagungarria errespetatzen sustatzaileei, izateaz ziren. 620 00:43:27,660 --> 00:43:32,160 Berri duzun erabiltzailearen esperientzia handia eman nahian ari zirela, 621 00:43:32,160 --> 00:43:37,810 eta horrexegatik da erabiltzaileari galdetu edo erabiltzailea esan gabe, ezer- 622 00:43:37,810 --> 00:43:40,400 eta hau iPhone eta Android gertatu zen, 623 00:43:40,400 --> 00:43:44,420 Pandora aplikazioa iPhone eta Android-entzat 624 00:43:44,420 --> 00:43:48,890 Path aplikazioa zure helbide liburu osoa grabbing zen 625 00:43:48,890 --> 00:43:52,830 eta igotzen Path besterik ez denean instalatu duzun eta aplikazioa zuena, 626 00:43:52,830 --> 00:43:55,840 eta ez dute esan honi buruz. 627 00:43:55,840 --> 00:43:58,750 Benetan lagungarria izan zen pentsatu dute 628 00:43:58,750 --> 00:44:04,040 zure helbide-liburuan pertsona guztiekin partekatu ahal izateko 629 00:44:04,040 --> 00:44:06,920 Path aplikazioa erabiltzen dituzula. 630 00:44:06,920 --> 00:44:09,490 >> Beno, jakina Path pentsatu izan da bere enpresako handia. 631 00:44:09,490 --> 00:44:13,510 Ez hain erabiltzaileari handia. 632 00:44:13,510 --> 00:44:19,020 Gauza bat nerabe bat dela, agian, bada pentsatu behar duzu 633 00:44:19,020 --> 00:44:23,700 Aplikazio hau erabiltzen ari da eta bere lagunak dozenaka han daude, 634 00:44:23,700 --> 00:44:29,360 baina zer esan Path instalatzen duen enpresa baten zuzendari nagusia bada 635 00:44:29,360 --> 00:44:33,170 eta, ondoren, bat-batean bere helbide liburu oso bat guztia da han? 636 00:44:33,170 --> 00:44:38,310 Baliotsua potentzialki kontaktua informazio asko lortu joan zaren 637 00:44:38,310 --> 00:44:40,920 jende asko da. 638 00:44:40,920 --> 00:44:44,500 New York Times erreportari A, telefono zenbakia lortzeko gai izatea 639 00:44:44,500 --> 00:44:47,380 Beren helbide liburutik ex presidenteek egiteko, 640 00:44:47,380 --> 00:44:54,780 beraz, jakina, informazio sentikorra asko honen antzeko zerbait batera transferitu lortzen. 641 00:44:54,780 --> 00:44:58,090 Ez dago honi buruzko esaterako flap handi bat Path duten barkamena eskatu zen. 642 00:44:58,090 --> 00:45:01,610 Beren aplikazioa aldatu dute, eta are gehiago eragin du Apple. 643 00:45:01,610 --> 00:45:06,950 Apple esan zuen, "app saltzaileen behartzeko erabiltzaile gonbita gara 644 00:45:06,950 --> 00:45:12,650 dute bada ari bere helbide-liburu osoa jasotzera "joan. 645 00:45:12,650 --> 00:45:15,360 >> Itxura zer ari da hemen gertatzen ari dena bezalakoa da da 646 00:45:15,360 --> 00:45:19,430 denean ez dago big one pribatutasuna urratzen da eta prentsan egiten du 647 00:45:19,430 --> 00:45:21,680 aldaketaren bat han ikusiko dugu. 648 00:45:21,680 --> 00:45:23,230 Baina noski, ez dago beste gauza batzuk daude. 649 00:45:23,230 --> 00:45:27,440 LinkedIn aplikazioa biltzen zure egutegiko sarrerak, 650 00:45:27,440 --> 00:45:34,530 baina Apple ez du erabiltzaileari behar duten galdetuko zaie. 651 00:45:34,530 --> 00:45:38,030 Egutegiko sarrerak sentikorra informazioa izan dezake haietan gehiegi. 652 00:45:38,030 --> 00:45:40,000 Nora marra marrazteko joan? 653 00:45:40,000 --> 00:45:43,960 Hau da, benetan motatako eboluzionatzen leku bat 654 00:45:43,960 --> 00:45:47,640 non da benetan han estandarra onak ez daude 655 00:45:47,640 --> 00:45:51,990 ko erabiltzaileak beren informazioa da arriskuan egon gertatzen ulertzeko 656 00:45:51,990 --> 00:45:57,820 eta noiz ari den jakiteko joan bere hartu zituen. 657 00:45:57,820 --> 00:46:03,040 Adios izeneko Veracode at Aplikazio bat idatzi dugu, 658 00:46:03,040 --> 00:46:08,350 eta, funtsean, zure iTunes directory at aplikazioa seinalatu duzu baimenik 659 00:46:08,350 --> 00:46:12,550 eta ziren zure helbide-liburu osoa uzta aplikazio guztien begiratu. 660 00:46:12,550 --> 00:46:19,760 Eta hemen, zerrenda honetan ikusi ahal izango duzu, haserre hegaztiak, 661 00:46:19,760 --> 00:46:21,590 AIM, AroundMe. 662 00:46:21,590 --> 00:46:24,050 Zergatik haserre hegaztiak zure helbide-liburua behar du? 663 00:46:24,050 --> 00:46:29,160 Ez dakit, baina, nolabait, ez da. 664 00:46:29,160 --> 00:46:32,310 >> Hau, aplikazio asko asko egin da. 665 00:46:32,310 --> 00:46:34,780 Kodearen ikuskatu ahal izango duzu horretarako. 666 00:46:34,780 --> 00:46:38,660 Ez dago ongi definitutako iPhone, Android eta BlackBerry APIak 667 00:46:38,660 --> 00:46:42,120 helbide-liburua eskuratu. 668 00:46:42,120 --> 00:46:48,520 Benetan dezakezu erraz honetarako ikuskatu, eta hori da gure Adios aplikazioan genuen. 669 00:46:48,520 --> 00:46:52,320 Hurrengo kategoria, segurtasunik gabeko sentiberak Datuen Bilketa, 670 00:46:52,320 --> 00:46:55,670 zerbait non garatzaileek hartu zerbait pin bat bezala edo kontu-zenbakia da 671 00:46:55,670 --> 00:46:58,530 edo pasahitz bat eta gorde gailua on argia dira. 672 00:46:58,530 --> 00:47:02,310 Are okerrago, gordeko luke dute eremu batean telefonoz 673 00:47:02,310 --> 00:47:06,820 hau da, globalki eskuragarria, SD txartela bezala. 674 00:47:06,820 --> 00:47:11,320 Hau ikusten duzun maizago Android Android SD txartel bat egiteko aukera ematen duelako. 675 00:47:11,320 --> 00:47:13,200 IPhone gailuak ez. 676 00:47:13,200 --> 00:47:17,900 Baina, nahiz eta ikusi genuen hau Citigroup aplikazio batean gertatuko. 677 00:47:17,900 --> 00:47:25,450 Beren online banka aplikazio gordetako kontu zenbakiak insecurely, 678 00:47:25,450 --> 00:47:28,120 besterik gabe, argi eta garbi, eta, beraz, gailua galtzen baduzu, 679 00:47:28,120 --> 00:47:30,670 funtsean kontu korrontean galdu duzu. 680 00:47:30,670 --> 00:47:36,000 Horregatik, ez pertsonalki ez dut banka egin nire iPhone. 681 00:47:36,000 --> 00:47:43,710 Uste dut gehiegi arriskutsua da oraintxe jarduera mota horiek egin. 682 00:47:43,710 --> 00:47:45,950 >> Skype gauza bera egin zuten. 683 00:47:45,950 --> 00:47:49,870 Skype, noski, kontua oreka bat, erabiltzailearen izena eta pasahitza ditu 684 00:47:49,870 --> 00:47:51,030 oreka hori eskuratu duten. 685 00:47:51,030 --> 00:48:00,080 Informazio hori guztia argi du mugikorrean gordetzeko ziren. 686 00:48:00,080 --> 00:48:05,760 Adibide batzuk daukat hemen fitxategiak sortzeko 687 00:48:05,760 --> 00:48:10,310 ez duten baimen egokiak edo diskoa grabatzean 688 00:48:10,310 --> 00:48:17,260 eta ez izatea edozein enkriptatze gertatuko da. 689 00:48:17,260 --> 00:48:20,190 Hurrengo arlo honetan, segurtasunik gabeko sentiberak Datu Transmisioa, 690 00:48:20,190 --> 00:48:24,450 Honetarako ez dut aipatu, hainbat aldiz, eta baita publiko Wi-fi 691 00:48:24,450 --> 00:48:27,770 hori apps erabat behar den zerbait da, 692 00:48:27,770 --> 00:48:31,250 eta hau da, seguruenik, zer joan gehienak gaizki ikusten dugu. 693 00:48:31,250 --> 00:48:34,920 Esango dut-benetan, uste dut benetako datuak behar dut, 694 00:48:34,920 --> 00:48:38,120 baina mugikorra aplikazioetan erdi itxi da 695 00:48:38,120 --> 00:48:41,780 hondatzeko SSL egiten. 696 00:48:41,780 --> 00:48:43,910 Besterik ez APIak behar bezala erabiliko dute. 697 00:48:43,910 --> 00:48:47,970 Esan nahi dut, baina dituzun guztiak egin jarraitu argibideak eta APIak erabili, 698 00:48:47,970 --> 00:48:54,720 baina ez dute horrelako gauzak ez begiratu beste muturrean ziurtagiri baliogabe bat ez ote diren, 699 00:48:54,720 --> 00:49:02,120 Ez begiratu beste muturrean protokoloa downgrade eraso bat egiten saiatzen bada. 700 00:49:02,120 --> 00:49:07,200 >> Garatu, haien checkbox lortu nahi dute, ezta? 701 00:49:07,200 --> 00:49:11,910 Beren baldintza da hau erabili ahal izateko saltzeko. Saltzeko erabiltzen dut dute hau. 702 00:49:11,910 --> 00:49:14,800 Baldintza ez da hau erabili ahal izateko segurtasunez saltzeko, 703 00:49:14,800 --> 00:49:19,680 eta, beraz, hau da, zergatik SSL erabiltzen duten aplikazio guztien datuak ziurtatzeko 704 00:49:19,680 --> 00:49:23,470 helarazi gisa ari ari off gailua benetan behar ikuskatu beharreko 705 00:49:23,470 --> 00:49:28,950 ziurtatu behar bezala ezarri zen egiteko. 706 00:49:28,950 --> 00:49:32,850 Eta hemen adibide batzuk non aplikazio bat ikusi ahal izango duzu behar dut 707 00:49:32,850 --> 00:49:37,400 beharreko HTTP HTTPS ordez erabil ditzakete. 708 00:49:37,400 --> 00:49:40,510 Zenbait kasutan apps erori atzera egingo HTTP 709 00:49:40,510 --> 00:49:44,250 HTTPS ez bada lanean. 710 00:49:44,250 --> 00:49:49,070 Dei bat hemen Android non ezgaitua dut dute ziurtagiri txeke buruzko daukat, 711 00:49:49,070 --> 00:49:51,700 beraz, gizon-in-the-erdian eraso bat gerta daiteke. 712 00:49:51,700 --> 00:49:56,370 Ziurtagiri baliogabe bat onartuko dira. 713 00:49:56,370 --> 00:50:01,920 Hauek dira kasu guztietan non erasotzaileen dira on lortzeko gai izango da 714 00:50:01,920 --> 00:50:07,150 WIFI konexioa bereko erabiltzailea eta sarbide-datu guztiak bezala 715 00:50:07,150 --> 00:50:11,650 hori da internet bidez bidaltzen ari. 716 00:50:11,650 --> 00:50:15,970 >> Eta azkenik, hemen daukat azken mailaren Hardcoded pasahitz eta gako da. 717 00:50:15,970 --> 00:50:21,470 Benetan ikusi dugu garatzaileek asko erabili du Kodetze bera 718 00:50:21,470 --> 00:50:25,900 dezakezu web zerbitzari aplikazioei ziren eraikitzen zuten dutela, 719 00:50:25,900 --> 00:50:29,700 beraz, Java aplikazio zerbitzari bat eraikitzen ari dira, eta gakoa erreta ari dira. 720 00:50:29,700 --> 00:50:31,940 Beno, orduan zerbitzari-aplikazio bat eraikitzen ari zaren, bai, 721 00:50:31,940 --> 00:50:34,240 gakoa erreta ez da ideia ona. 722 00:50:34,240 --> 00:50:36,290 Aldatu zaila egiten du. 723 00:50:36,290 --> 00:50:40,700 Baina ez da hain txarra zerbitzari aldean duten zerbitzari aldean sarbidea duelako? 724 00:50:40,700 --> 00:50:43,140 Administratzaileak bakarrik. 725 00:50:43,140 --> 00:50:48,100 Baina kode bera hartu duzu eta bada bota baino gehiago duzu aplikazio mugikor batera 726 00:50:48,100 --> 00:50:52,550 orain guztioi du sakelako aplikazioa duten gako Hardcoded duen sarbidea dauka, 727 00:50:52,550 --> 00:50:56,380 eta benetan ikusten dugun hau asko aldiz, eta estatistika batzuk daukat 728 00:50:56,380 --> 00:51:00,920 nola askotan hau gertatuko ikusten duguna da. 729 00:51:00,920 --> 00:51:04,940 Benetan duten MasterCard argitaratu Adibidez kodea zegoen 730 00:51:04,940 --> 00:51:06,850 beren zerbitzua nola erabili behar den. 731 00:51:06,850 --> 00:51:11,860 Adibidez kodearen erakutsi nola ez zenuke besterik pasahitza hartu 732 00:51:11,860 --> 00:51:14,850 eta jarri Hardcoded kate batean bertan, 733 00:51:14,850 --> 00:51:19,380 eta badakigu garatzaileek nola maite adabaki kodeak kopiatu eta itsatsi 734 00:51:19,380 --> 00:51:22,360 zerbait egiten saiatzen ari dira, beraz, kopiatu eta itsatsi kode mozkina 735 00:51:22,360 --> 00:51:28,450 Adibidez kode gisa eman dutela, eta ez seguru aplikazio bat behar duzu. 736 00:51:28,450 --> 00:51:31,490 >> Eta hemen adibide batzuk ditugu. 737 00:51:31,490 --> 00:51:35,840 Ko hau lehenengoa asko non hardcode ikusiko dugu 738 00:51:35,840 --> 00:51:40,510 datuak lortzen bidalitako URL batean eskuinetik. 739 00:51:40,510 --> 00:51:45,120 Batzuetan katea password = Pasahitz ikusiko dugu. 740 00:51:45,120 --> 00:51:49,060 Hori nahiko erraza da antzematea, edo kate pasahitza BlackBerry eta Android on. 741 00:51:49,060 --> 00:51:53,680 Egia esan, nahiko erraza delako ia beti arakatuko 742 00:51:53,680 --> 00:51:57,030 sustatzailearen izen hori pasahitza eusten aldagaia 743 00:51:57,030 --> 00:52:02,290 pasahitz aldaketa batzuk. 744 00:52:02,290 --> 00:52:05,200 Analisi estatiko egiten dugun Veracode ean aipatu dut, 745 00:52:05,200 --> 00:52:11,790 beraz ehundaka Android eta iOS aplikazioetan aztertu dugu. 746 00:52:11,790 --> 00:52:15,160 Horietako modeloak osoa eraiki dugu, eta horiek eskaneatu gai gara 747 00:52:15,160 --> 00:52:19,280 ahuleziak ezberdinak, batez ere ahuleziak buruz ari zen, bost 748 00:52:19,280 --> 00:52:21,050 eta datu batzuk ditut hemen. 749 00:52:21,050 --> 00:52:24,320 Android apps begiratu dugu% 68,5 750 00:52:24,320 --> 00:52:28,590 izan hautsi kriptografikoa kodea, 751 00:52:28,590 --> 00:52:33,240 horrek guretzat, ezin dugu atzeman propioak kripto errutina egin baduzu, 752 00:52:33,240 --> 00:52:38,980 hori ez zela ideia ona da, baina hau benetan da argitaratuko APIak erabiliz 753 00:52:38,980 --> 00:52:42,530 duten plataforman daude baina horiek egiteko modu bat, 754 00:52:42,530 --> 00:52:46,680 kripto hori zaurgarria izango litzateke, 68,5. 755 00:52:46,680 --> 00:52:49,870 Eta hori izan dira gurekin bidaliz beren aplikazio benetan pertsonentzat dagoelako 756 00:52:49,870 --> 00:52:53,730 uste dute ideia ona segurtasun-probak egin behar da. 757 00:52:53,730 --> 00:52:56,960 Aldaketa horiek dira ziurrenik segurtasunez pentsatzen pertsonak, 758 00:52:56,960 --> 00:52:59,540 beraz, are okerragoa izango da seguru asko. 759 00:52:59,540 --> 00:53:02,690 >> Ez nuen kontrol lerro jauzia injekzio buruz hitz egiteko. 760 00:53:02,690 --> 00:53:07,640 Zerbait egiaztatu dugu, baina ez da hori arriskutsua arazo bat. 761 00:53:07,640 --> 00:53:15,390 Informazio isurketa, hau da, non datu garrantzitsuak bidaltzen ari da off gailua. 762 00:53:15,390 --> 00:53:19,270 Aurkitu dugu eskaeren% 40 ere. 763 00:53:19,270 --> 00:53:23,540 Denbora eta egoera, horiek dira lasterketa baldintza mota gaiak, normalean nahiko gogorra ustiatu, 764 00:53:23,540 --> 00:53:26,170 beraz, ez dut horri buruz hitz egin, baina begiratu dugu. 765 00:53:26,170 --> 00:53:28,750 % 23 SQL injekzio gai izan. 766 00:53:28,750 --> 00:53:32,020 Jende asko ezagutzen ez duten aplikazio asko 767 00:53:32,020 --> 00:53:35,880 datuak gordetzeko bere atzeko amaieran SQL datu txiki txiki bat erabiltzea. 768 00:53:35,880 --> 00:53:40,430 Beno, bada saretik duzula grabbing ari datuen 769 00:53:40,430 --> 00:53:43,800 SQL injekzio erasoa kateak ditu urtean 770 00:53:43,800 --> 00:53:45,970 norbaitek bidez gailua hondatu dezake, 771 00:53:45,970 --> 00:53:49,800 eta, beraz, uste dut aurkituko dugu web aplikazioen% 40 inguru izan da arazo hau, 772 00:53:49,800 --> 00:53:52,840 horrek epidemia arazo handi bat da. 773 00:53:52,840 --> 00:53:55,740 Duen denboraren% 23 aurkituko dugu apps mugikorrean 774 00:53:55,740 --> 00:54:02,030 eta hori da, seguruenik, web aplikazioen askoz gehiago mobile baino SQL erabili duelako. 775 00:54:02,030 --> 00:54:05,580 >> Eta gero, oraindik ere, gurutze-site scripting batzuk, baimenaren gai, ikusten dugu 776 00:54:05,580 --> 00:54:09,400 eta, ondoren, kredentzial kudeaketa, hori non pasahitza Hardcoded duzu. 777 00:54:09,400 --> 00:54:14,540 Duten aplikazio guztien% 5 ikusten dugu. 778 00:54:14,540 --> 00:54:17,970 Eta gero iOS buruzko datu batzuk ditugu. 779 00:54:17,970 --> 00:54:20,180 81% error manipulazioa gai izan. 780 00:54:20,180 --> 00:54:23,130 Hau da kodea kalitate arazo bat gehiago, 781 00:54:23,130 --> 00:54:28,010 baina% 67 gai kriptografikoa izan zuen, beraz, ez da nahiko Android bezala txarra. 782 00:54:28,010 --> 00:54:32,440 Agian APIak dira pixka bat errazagoa da, adibidez iOS kode apur bat hobeto. 783 00:54:32,440 --> 00:54:35,420 Baina oraindik portzentajea oso handia. 784 00:54:35,420 --> 00:54:39,040 % 54 izan genuen informazio isurketa batera, 785 00:54:39,040 --> 00:54:42,080 buffer kudeaketa erroreekin% 30 inguru. 786 00:54:42,080 --> 00:54:45,930 Duten tokietan izan potentzialki memoria ustelkeria gai bat izango da. 787 00:54:45,930 --> 00:54:50,350 Bihurtzen da hori ez da gisa ustiatzeko arazo bat askoz 788 00:54:50,350 --> 00:54:56,450 kodearen guztiak sinatu behar ditu IOS on delako, 789 00:54:56,450 --> 00:55:02,210 beraz, zaila da erasotzaile batek kode arbitrarioa exekutatu iOS da. 790 00:55:02,210 --> 00:55:07,880 Kodearen kalitatea, direktorioa eskuratzea, baina, ondoren, kredentzialak kudeaketa hemen% 14,6 izan da, 791 00:55:07,880 --> 00:55:09,250 beraz Android on baino okerrago. 792 00:55:09,250 --> 00:55:13,240 Jendeak ez pasahitzak behar bezala manipulatzea dugu. 793 00:55:13,240 --> 00:55:15,790 Eta ondoren zenbakizko akatsak eta bufferraren gainezkatzea, 794 00:55:15,790 --> 00:55:22,680 horiek gehiago kodearen kalitatea iOS buruzko gaiak izango. 795 00:55:22,680 --> 00:55:26,110 >> Hori izan da nire aurkezpena da. Ez dakit gara denbora edo ez bada. 796 00:55:26,110 --> 00:55:29,540 Ez dakit galderaren bat badago. 797 00:55:29,540 --> 00:55:33,220 [Ar] zatiketa eta Android merkatuan inguruan galdera azkar bat. 798 00:55:33,220 --> 00:55:36,240 Apple gutxienez adabakien jabea. 799 00:55:36,240 --> 00:55:40,780 Ona han berriz gutxiago beraz lortzean itzazu Android espazioan lan ona egiten dute. 800 00:55:40,780 --> 00:55:44,280 Ia zure telefonoa jailbreak behar duzu lo 801 00:55:44,280 --> 00:55:46,660 egungo Android oharra. 802 00:55:46,660 --> 00:55:50,960 Bai, hori arazo handi bat da eta beraz, inguru-uste baduzu 803 00:55:50,960 --> 00:55:52,280 [Ar] Zergatik ezin da errepikatu duzu? 804 00:55:52,280 --> 00:55:55,610 >> Galdera zer zatiketa buruz izan zen Oh, eskuinera, beraz, 805 00:55:55,610 --> 00:56:00,410 Android plataforman sistema eragilearen? 806 00:56:00,410 --> 00:56:05,890 Nola eragiten die horrek gailu horietako riskiness? 807 00:56:05,890 --> 00:56:09,700 Eta egia esan, arazo handi bat da, zer gertatzen da, zeren 808 00:56:09,700 --> 00:56:15,110 gailu zaharragoak, norbaitek ateratzen gailu horretarako jailbreak batekin, 809 00:56:15,110 --> 00:56:19,960 funtsean duten pribilegioa eskalada da, eta sistema eragilea eguneratu da arte 810 00:56:19,960 --> 00:56:25,350 edozein malware ondoren, erabili ahal ahultasun gailua erabat hondatu, 811 00:56:25,350 --> 00:56:30,200 eta zer Android on ikusten ari gara ordena sistema eragile berri bat eskuratu behar da 812 00:56:30,200 --> 00:56:34,690 Google sistema eragilea jarri ditu, eta, ondoren hardware fabrikatzaileak 813 00:56:34,690 --> 00:56:39,390 du pertsonalizatzeko, eta orduan garraiolari ditu pertsonalizatu eta entregatu. 814 00:56:39,390 --> 00:56:43,070 Dute funtsean duzu 3 zatiak mugitzen hemen, 815 00:56:43,070 --> 00:56:47,210 eta izarrekin inflexio da eramaile ez dutela zaintzeko, 816 00:56:47,210 --> 00:56:50,400 eta hardware fabrikatzaile ez zaintzeko, eta Google ez dago horiek prodding nahikoa 817 00:56:50,400 --> 00:56:54,430 ezer egin, beraz, funtsean, gailu guztien erdia baino gehiago daude 818 00:56:54,430 --> 00:57:00,590 duten pribilegioa eskalatze ahuleziak horiek dituzten sistema eragileak izan, 819 00:57:00,590 --> 00:57:08,440 eta beraz malware lortuko duzu zure Android gailu askoz arazo bat baino gehiago da. 820 00:57:08,440 --> 00:57:10,350 >> Ados, eskerrik asko. 821 00:57:10,350 --> 00:57:12,310 [Txaloak] 822 00:57:12,310 --> 00:57:14,310 [CS50.TV]