[Mintegia] [defendatzea Gailuaren atzean: Mobile eskaera segurtasuna]
 [Chris Wysopal] [Harvardeko Unibertsitateko]
 [Hau CS50.] [CS50.TV]
 

Arratsalde on. Nire izena Chris Wysopal da.
 CTO eta Veracode sortzaileetako naiz.
 Veracode aplikazioa segurtasun-enpresa bat da.
 Aplikazio desberdinak mota guztiak probatu dugu
 eta gaurko egunean buruz hitz noa mobile aplikazioa segurtasuna da.
 Nire background da Nik segurtasun ikerketa egiten
 Oso denbora luzez, seguruenik, betiere inor bezala buruz.
 Hasi zen 90eko hamarkadaren erdialdean, I,
 eta denbora bat izan zen, nahiko interesgarria zelako
 paradigma 90eko hamarkadaren erdialdean, aldaketa bat izan genuen.
 Bat-batean guztion ordenagailu guztien zaletasuna sortu internetera,
 eta, ondoren, web aplikazioen hasieratik izan genuen,
 eta horrek zer bideratuta nuen asko orduan da.
 Interesgarria da.
 Orain beste paradigma aldaketa informatika gertatzen dugu,
 Zein aplikazio mugikorren txanda da.
 

Sentitzen dut antzeko denbora baten antzeko zerbait da, ondoren izan zen 90eko hamarkadaren amaieran hasi da
 denean web aplikazioak ikertzen ari ginen eta antzeko akatsak aurkitzeko
 saioaren kudeaketa akatsak eta SQL injection
 benetan ez da existitzen aurretik, eta bat-batean guztiak nonahi ziren
 web aplikazioetan, eta orain denbora dut pasatzeko asko
 aplikazio mugikorrak begira eta zer gertatzen ari basatia begira.
 Mugikorra aplikazio benetan menderatzailearen plataforma informatika izango,
 beraz, benetan behar dugu denbora asko pasatzera Oraindik segurtasun industrian bada
 web aplikazioen bideratua.
 Baziren 2011an deskargatuko 29 milioi mobile apps.
 Honez iragarri 76 milioi apps izateko 2014.
 Inolako diren eros aurten joan 686 milioi gailu,
 beraz, hau da non jendea joan behar egiten
  bere bezero informatika gehiengoa lortu du.
 

Dut alderantziz Fidelity Inbertsioak at presidente bat hitz egiten zen
 Duela pare bat hilabete, eta besterik gabe, trafiko gehiago ikusi zutenean, esan zuen
 finantza-eragiketak egiten bere bezero-oinarri batetik
 bere bere web orrian baino aplikazioa mugikorrean,
 beraz, Web erabilera komunean bat iraganean izan
 Zure stock quotes egiaztapena, zure zorroa kudeatzeko,
 eta benetan ari gara horretan 2012 switch baino gehiago ikusten
 da nagusi mugikorren plataforma izan nahi du.
 Zalantzarik izanez gero, ez da inolako delituzko jarduera izango da,
 Asmo txarreko ekintzak, hemen mugikor plataforma bideratuko dira, hasiko da joan
 Jende aldatzeko denboran zehar gisa baino gehiago dela.
 Begiratzen baduzu plataforma mugikorra at,
 plataforma erabilgarria da apurtu behera geruza desberdinen sartu arriskuak begiratu,
 besterik ez bezala egingo zenuke mahaigaineko ordenagailu batean,
 eta hainbat geruzak, software, sistema eragilea, pentsatzen duzu
 sare geruza, hardware geruza, eta, jakina, ez dago geruza horiek guztiak on ahuleziak.
 

Gauza bera gertatzen da mugikorrean.
 Baina mugikorra, geruza horietako batzuk daudela okerrago badirudi.
 Bat, sare geruza gehiago problematikoa mugikorrean da
 jende asko bere bulegoan edo etxean izan delako
 konexio kable edo Wi-Fi konexio seguruak behar dituzte,
 eta gailu mugikorrak asko zauden etxetik kanpo, jakina,
 edo bulegoan asko kanpoan, eta Wi-Fi erabiltzen ari bada ez
 egon segurua ez wifi-konexioa erabiltzen duzu agian,
 zerbait WIFI konexioa publiko bat da,
 beraz, kontuan hartu denean mobile apps pentsatzen dugu
 sarearen ingurumena dela aplikazio horietan riskier
 edo Wi-Fi erabiltzen ari da.
 Eta noiz lortu mugikorraren aplikazio arriskuen gehiago sartu dut
 ikusiko duzu zergatik hori da garrantzitsuagoa.
 Gailu mugikorrean maila arriskuak daude.
 Hau etengabeko ikerketa-eremu bat da.
 Jende deitu banda zabaleko eraso horiek edo baseband erasoak
 non firmware hori irratian entzuten ari zaren erasotzeko.
 

Hauek dira benetan scary erasoak delako
 erabiltzaileak ez dute ezer egin.
 Gailu asko hit dezakezu RF eremuan egon
 aldi berean, eta badirudi ikerketa honek burbuilak direnean up bezala
 azkar lortzen sailkatu da non
 Jende swoop inguruan eta esan, "Hemen, duten kontatzen digute, eta mesedez gelditu horri buruz hitz egiten."
 Badira ikerketa batzuk gertatzen banda zabaleko zona da,
 baina oso Hush Hush izango dela dirudi.
 Nik uste dut bat nazio estatu ikerketa mota hori gertatzen da gehiago da.
 Ikerketa aktiboa eremu bat, nahiz eta, sistema eragilea geruza da,
 eta, berriz ere, hau da, munduko desktop informatika baino desberdina
 espazio mugikor batean jailbreakers izeneko pertsona talde hauek duzulako,
 eta jailbreakers erregular ahultasun ikertzaile baino.
 Ahuleziak aurkitzeko sistema eragilearen in saiatzen ari dira,
 baina ahuleziak aurkitu nahian ari dira, arrazoia ez da
 norbaiten makina apurtu eta hondatu du.
 Bertara bere ordenagailuan apurtu da.
 

Beren mugikor propioa hautsi nahi dute, euren sakelako sistema eragilea aldatu
 beraz, beren aukerako aplikazioak ireki ahal izango dute
 eta administrazio baimenak osoz gauzak aldatzeko,
 eta ez dute nahi honi buruz saltzaileari kontatzeko. Oraindik ez dute segurtasun ikertzaile horrek zuri hat segurtasun ikertzaile bat da gustatzen
 hau da dibulgazioa erantzule egin eta horri buruz saltzaileak esango dugu.
 Ikerketa hori egin nahi dute, eta benetan, argitaratzen dut nahi dute
 in bat ustiatu edo rootkit bat edo jailbreak kode bat,
 eta, modu estrategikoan egin, eskuinera ondoren bezala nahi dute
 hornitzailearen ontziak sistema berria.
 Harreman adversarial hori duzun
 OS-maila mugikorra onartuaz batera,
 Horrek uste dut nahiko interesgarria, eta leku bat ikusiko dugu
 dagoenean egiten du, beraz, ez da argitaratuko ustiatzeko kodea onak daude
 kernel-maila ahuleziak,
 eta horiek benetan malware idazleak erabiltzen duen ikusi dugu.
 PC munduan baino pixka bat hainbat.
 Eta gero, azken geruza goiko geruza, aplikazio geruza da.
 Hori zer naiz, gaur egun hitz egingo.
 

Beste geruzak existitzen, eta gainerako geruzak sartu play,
 baina ez naiz, batez ere, zer ari den aplikazio geruza berri izan buruz hitz egingo
 non kodea sandbox abian dagoenean.
 Ez du administrazio-pribilegioak.
 Gailuaren APIak erabili behar du,
 baina, oraindik ere, asmo txarreko jarduera asko eta arrisku asko geruza horretan gerta daiteke
 hori delako geruza non informazio guztia da.
 Apps gailu buruzko informazio guztia sartu ahal
 baimen egokiak badute,
 eta telefonoa beste sentsore sartu ahal izango dute,
 GPS sentsore, mikrofono, kamera, zer egin behar duzu.
 Nahiz eta bakarrik ari gara buruz hitz Aplikazio geruza at
 arrisku asko izan genituen han.
 Desberdina da mugikorraren ingurune buruzko beste gauza
 den sistema eragilearen jokalari guztiak, izango da BlackBerry edo Android
 edo iOS edo Windows mobile, denek fintzea komeni baimena eredua fin bat dute,
 eta hau dela eraikitako sistema eragilea sartu dute modu bat
 ideia ez dela uste duzun bezala arriskutsua.
 Han kontaktu guztiak izan arren, zure informazio guztia ere,
 Zure argazkiak duzu, zure kokapena duzu han,
 Zure banku auto han saio pin gordetzeko ari zarenean, seguru delako
 apps dute halako baimenik hemen zenbait zati at lortu
 Gailu buruzko informazioa, eta erabiltzailearen ditu aurkeztuko
 Baimen horiek eta esan ados.
 

Da arazoa erabiltzaileari beti da dio ados.
 Segurtasun pertsona gisa, erabiltzaileari galdetuko dezakezu ezagutzen dut,
 esan zerbait benetan txarra gertatuko da, ez gertatuko nahi duzu?
 Eta ari dira puntako bat bada edo zerbait benetan duten beste alde on erakargarri da,
 bezalako joko bat da instalatuko dut dutela zain joan,
 ados klikatu ari dira.
 Horregatik nire diapositiba on esaten dut hemen besterik ez dit utzi hegaztiak fling txerriak at jada,
 eta diapositiba daiteke hemen ikusten duzuna ez da BlackBerry baimena kutxa bat adibide.
 Dio "Mesedez ezarri BlackBerry Bidaia aplikazio baimenak
 azpitik sakatuz botoi ", eta, funtsean, erabiltzaileari besterik ez da, esan du ondoren
 baimenak ezarri eta gorde.
 Hemen non gauzak erakusten du bat Android gonbita da,
 eta benetan ia abisu bat itxura zerbait jartzen du.
 Handia lortu etekina zeinu han esaten sareko komunikazio, telefono dei moduko bat,
 baina erabiltzaileak da klik instalatu? joan, eskuineko
 Eta ondoren, Apple bat erabat kalterik da.
 Ez du edozein abisu mota eman.
 Besterik ez da Apple uneko kokapena erabili nahi.
 Jakina zauden ados klikatu joan.
 

There fintzea komeni izaten baimen eredu hau da,
 eta aplikazioak izan manifest fitxategia bat dute non aldarrikatu dute
 baimenak, behar dute eta hori izango da erabiltzaileari bistaratuko ezagutu,
 eta erabiltzailearen baimen horiek ematen diot esateko aukera izango dute.
 Baina dezagun zintzoa izan.
 Erabiltzaile besterik ez dira beti esaten ongi joan.
 Ikus dezagun begirada azkar bat duten apps horiek eskatu baimenak at
 eta hor daude baimen batzuk.
 Enpresa hau Pretoriar iaz inkesta bat
 53.000 aplikazioen Android merkatuan eta party 3 merkatuetan aztertu du,
 beraz, hau Android guztia.
 Eta batez besteko aplikazioa 3 baimenak eskatu.
 Zenbait aplikazio 117 baimenak eskatu,
 beraz, jakina, horiek oso fina fintzea komeni izaten da eta modu oso konplexua erabiltzaile batek ulertzen dira
 dute 117 Baimen horiek behar duen aplikazio honekin aurkeztutako bazabiltza.
 Da azken erabiltzailearen lizentzia-kontratu hori da 45 orrialde luze bezala.
 Agian laster aukera bat non da atsegin izango dute
 baimenak inprimatu eta bidali email bat.
 

Baina begiratzen baduzu goiko baimenak interesgarri batzuk
 Deskargatu 53.000 daudelarik dute apps guztien% 24
 GPS eskatu gailuaren datuak.
 % 8 kontaktuak irakurri.
 % 4 SMS bidaltzen, eta% 3 SMS jaso.
 % 2 audio grabatu.
 % 1 prozesatu irteerako deiak.
 Ez dakit.
 Ez dut uste aplikazio dendan apps guztien% 4 benetan behar SMS testu mezuak bidaltzeko,
 Baietz uste dut aholku bat zerbait untoward hori gertatzen ari da.
 Apps guztien% 8 behar zure kontaktu zerrenda irakurtzeko. Seguruenik ez da beharrezkoa.
 Baimenei buruzko beste gauza interesgarri bat da
 partekatutako liburutegietan lotzen baduzu zure eskaera sartu
 oinordetzan horiek aplikazioa baimenak,
 beraz zure aplikazioa kontaktu zerrendatik behar baditu edo GPS kokapenaren behar du funtzionatzeko
 eta publizitate liburutegi batean lotzen duzu, esate baterako,
 ad liburutegia ere kontaktuak sartzeko gai izango da
 eta, gainera, GPS kokapena sartzeko gai izan,
 eta aplikazioa sustatzailearen hori ad liburutegian exekutatzen kodearen buruz ezer ez daki.
 Besterik ari dira beren aplikazioa dirua irabazi nahi dutelako horrek lotzen ditu.
 

Hau da, non-eta horren adibide batzuk buruz hitz egin dut honekin
 Pandora izeneko aplikazio bat non Aplikazio garatzailea
 agian oharkabean beharreko informazio leaking
 beren erabiltzaileen of haiekin lotuta sartu liburutegiak delako
 Paisaia Topografia daude, ezberdinak aplikazio guztiak begira
 izan diren albiste maltzur edo egiten zerbait erabiltzaile ez zuen nahi bezala salatu
 eta, ondoren, asko ikuskatzeko apps-dugu analisi bitar estatikoan asko egin apps mugikorrean,
 beraz, nik ikuskatu horiek dugu eta kodearen begiratu bera-
 sortu ginen zer gure top 10 aplikazioetan arriskutsua portaerak zerrenda deitzen diogu.
 Eta hautsi du behera 2 ataletan, kode mingarria sartu,
 beraz, horiek gauza txarrak aplikazioei egiten liteke direla
 litekeena zerbait Horrelakorik ez zuen eman da
 ditu berariaz jarri aplikazioan, baina pixka bat lausoak da.
 Garatzaile batek pentsatzen gauza ederra da zerbait izan zitekeen,
 baina amaitzen ari maltzurren gisa pentsatu Erabiltzaileak.
 

Eta gero bigarren atala coding ahuleziak deitzen dugun da,
 eta horiei gauzak non sustatzailearen funtsean da akatsak egiten dira
 edo, besterik ez du ulertzen aplikazioa seguruan nola idatzi,
  eta aplikazioa erabiltzailearen arriskuan jarriz.
 Ra hauen bidez joan xehetasun eta adibide batzuk eman noa.
 Erreferentzia gisa, gora jarri du OWASP mugikorren top 10 zerrenda nahi nuen.
 Hauek dira 10 gaiak duten OWASP at talde bat,
 Open Web Application Security Proiektua, lan-talde bat dute
 mugikorren top 10 zerrenda bat lantzen ari da.
 Oso ospetsua web top 10 zerrenda, diren 10 top dute
 Gauzak riskiest web aplikazio batean dezakezu.
 Mugikorren gauza bera egiten ari dira,
 eta horien zerrenda gurea baino apur bat desberdina da.
 6 10 daudelarik berdinak dira.
 Ezberdinak dira 4 dute.
 Desberdinak take batean apur bat dute, uste dut
 mobile apps arrisku non beren gaiak asko
 benetan nola aplikazioa back-end zerbitzari bat da komunikatzeko
 edo zer gertatzen back-end zerbitzarian,
 ez hainbeste apps duten portaera arriskutsua dela besterik zuzenean bezero apps daudela.
 

Gorriz Hemen 2 zerrenden arteko ezberdintasunak daude.
 Eta nire ikerketa-talde batzuk benetan proiektu honetan lagundu,
 ikusiko dugu, beraz, denboran zehar zer gertatzen den, baina uste dut takeaway hemen
 dugu, ez dakit top 10 zerrenda zein aplikazioa mugikorra delako
 benetan nik bakarrik inguruan izan da 2 edo 3 urte oraingoz,
 eta ez dago ez da benetan ikertzeko sistema eragile nahikoa denbora izan
 eta zer egiteko gai ari dira, eta ez da denbora nahikoa izan
 maltzurren Erkidegoko, izango bada, pasa den denbora nahikoa
 erabiltzaile eraso apps mugikorren bidez saiatzen, beraz, zerrenda horiek pixka bat aldatu behar izatea espero dut.
 Baina oraingoz, horiek Top 10 gauzak kezkatu daude.
 Albo mugikorrean dezakezun harritzekoa non ez maltzurren mugikorrak kode-
 nola ez, lortuko gailura?
 North Carolina State Mugikorra Malware Genome Project izeneko proiektu bat du
 non askoz mugikorra malware jasotzen ari dute ahal bezala eta aztertzeko,
 eta hautsita dut dute behera mugikorra malware erabiltzen duen injekzio bektoreak,
 eta% 86 repackaging izeneko teknika bat erabili,
 eta hau da, bakarrik Android plataforman
 daiteke benetan egin duzun repackaging hau.
 

Arrazoia da Android kode eraiki da
 Java byte Dalvik izeneko kode bat hau da, erraz decompilable.
 Zer txarra lasaia egin ahal izango da
 Android aplikazio bat hartu, deskonpilatu,
 txertatzeko beren kode mingarria, konpilatu da,
 eta gero jarri up app dendan aplikazio horren bertsio berri bat izango purporting in,
 edo, besterik gabe, agian, aplikazioaren izena aldatuta.
 Joko moduko bat izan zen bada, aldatu izena, apur bat,
 eta beraz repackaging hau mobile malware% 86 lortzen nola banatzen da.
 Badira beste izeneko teknika eguneratzea eta hori da
 Oso repackaging antzekoa, baina benetan ez duzu jarri kode kaltegarria sartu
 Zer egin nahi duzu eguneratzea mekanismo txiki bat jarri duzu.
 Duzu deskonpilatzea, eguneratzea mekanismo bat jarri duzu, eta konpilatu duzu,
 eta orduan aplikazioa exekutatzen ari den behera tira malware gailua gainean.
 

Urrun By gehiengoaren 2 teknika dutenak dira.
 Ez dago mugikorrean benetan askoz download disko-bys edo deskargak disko-,
 horrek phishing eraso bat bezalakoa izan daiteke.
 Hey, begiratu web benetan cool honetan,
 edo den web hau begiratu eta bete inprimaki hau behar duzun
 zerbait egiten jarraitu mantentzeko. Horiek dira erasoak phishing.
 Gauza bera plataforma mugikorra on gerta daiteke non dute
 Aplikazio mugikor bat deskargatu, esan seinalatu "Aupa, hau da, Bank of America."
 "Aplikazio hau erabiltzen ari zaren ikusiko dugu."
 "Beste aplikazio hori deskargatu beharko duzu."
 Teorian, hori izan litekeela.
 Agian besterik erabiltzen ez den denbora nahikoa arrakastatsua da edo ez zehazteko,
 baina aurkitu zuten garai teknika horren% 1 baino gutxiago erabiltzen dela.
 Garai gehienetan benetan da birpaketatutako kode bat.
 

Badira beste izeneko kategoria standalone da
 non norbait besterik marka berria aplikazio bat eraikitzen.
 Zerbait izan gura duten aplikazio bat eraiki dute.
 Ez da beste zerbait repackaging bat, eta hori kode kaltegarria dauka.
 Duten denbora% 14 erabiltzen da.
 Orain zer da kode kaltegarria ari buruz hitz egin nahi dut?
 Lehen malware han bat
 spyware bat kontuan hartu ahal izango duzu.
 Erabiltzaileari buruzko Funtsean da espiatzen.
 Mezu elektronikoak, SMS mezuak biltzen ditu.
 Mikrofono on bihurtzen da.
 Kontaktua liburuan biltzen du, eta bidaltzen du off norbaitek.
 Spyware mota hau ordenagailuan existitzen,
 beraz perfektua zentzuzkoa da pertsona hau egiteko gailu mugikorrean saiatzeko.
 

Horren lehen adibide bat Secret SMS Replicator izeneko programa bat izan zen.
 Duela urte pare bat izan zen Android Marketplace mantentzen da,
 eta ideia zen norbaiten Android telefono sarbidea izan ezkero
 Spy nahi duzula, beraz, agian zure ezkontidea da
 edo zure esanguratsua beste eta beren testu mezularitza Spy nahi baduzu,
 Aplikazio hau deskargatu ahal izango duzu, eta instalatu eta konfiguratu
 SMS testu mezu bat bidaltzea nahi duzun kopia batekin
 SMS testu mezu bakoitzaren dute lortu.
 Hau, jakina, app store zerbitzuaren baldintzen urraketa dago,
 eta hau zen Android Marketplace kendu 18 han egotea da orduko epean,
 beraz, jende kopurua oso txikia arriskuan izan ziren horregatik.
 Orain, uste dut programa izeneko zerbait, agian, apur bat gutxiago probokatzailea zen bada
 Secret SMS Replicator bezala seguruenik aritu zen asko hobeto.
 Baina mota begi-bistakoa zen.
 

Gauzak Aplikazio portaera hori ez dugu nahi izanez zehaztu egin dezakegu bat
 da kode ikuskatzeko.
 Hau da, benetan oso erraza da Android on egiten dugu aplikazio banatu daitekeelako.
 IOS IDA Pro bezalakoak disassembler bat erabil dezakezu
 zer Apis aplikazioa deituz eta zer egiten ari den begiratu.
 Gurea bitar analizatzaile estatikoan idatzi dugu gure kodea lortzeko
 eta hau egin dugu, eta, beraz, zer egin ahal izango duzu, esan,
 da telefonotik ezer hori funtsean me zelatatzen edo niri segimendua egin?
 Eta adibide batzuk hemen iPhone buruzko daukat.
 Lehen adibidea hau da telefonoz UUID nola sartzeko.
 Hau da, benetan duten Apple besterik ez du aplikazio berriak debekatu zerbait,
 baina aplikazio zaharrek duten telefonoan dezakezu exekutatzen dute oraindik ere egin daiteke hau,
 eta beraz, identifikatzaile bakarra duzula jarraitzeko erabil daitezke
 aplikazio desberdinak askotan zehar.
 

Android On, adibide bat daukat gailu kokapen lortzean hemen.
 Ikusten duzun API dei hori bada ez dagoela aplikazioa duten segimendua egiten da,
 eta ikusi ahal izango duzu nik kokapena fina edo lodia kokapena eskuratzerakoan ala ez.
 Eta gero beheko hemen on, nola adibide bat BlackBerry on daukat
 aplikazio bat zure sarrera erretiluko mezu elektronikoetara sartzeko liteke.
 Horiek gauza-mota ikuskatu ahal izango duzu ikusteko
 aplikazioa da gauza horiek egiten bada.
 Jokabide maltzurren bigarren kategoria handi, eta hau da, ziurrenik kategoria handiena orain,
 da baimenik gabe markartzea, baimenik gabe premium SMS testu mezu
 edo baimendu gabeko ordainketak.
 Hori telefonoz buruzko berezia, beste gauza
 telefonora da fakturazio-kontu bat egiteko zaletasuna,
 eta jarduera telefonoz gertatuko denean
 karguak sortu ahal izango da.
 Telefonoz gauzak erosi ahal izango duzu,
 eta noiz premium SMS testu mezu bat bidaltzea benetan ari zaren dirua emanez
 Kontu telefonoaren beste aldean zenbakiaren titularra izateko.
 Horiek sortu ziren akzioen kotizazioak lortzeko edo zure eguneroko horoskopoa edo beste gauza batzuk eskuratzeko,
 baina dute ezar daiteke produktu bat eskatzeko SMS testu bat bidaliz.
 Jendeak dirua eman Gurutze Gorriak testu-mezu bat bidaliz.
 Eman dezakezu $ 10 modu horretan.
 

Erasotzaileek, zer egin dute sortu dute
 atzerriko herrialdeetan kontuak, eta txertatzeko malware dute
 telefonoz duten premium SMS testu mezu bat bidaliko du,
 esateko, egunean hainbat aldiz, eta hilaren konturatzen zara amaieran gastatu duzun at
 hamarnaka edo agian ehunka dolar, eta jaramonik ez dirua.
 Hau lortu hain txarra hori izan zen oso lehen gauza Android du
 Marketplace edo Google place-it Android Marketplace izan zen garai hartan,
 eta orain da Google Play-the Googleren hasi egiaztapena lehenengo gauza.
 Google Android apps banatzeko hasi denean bere app dendan
 ez zuten ezer egiaztatu da, esan dute.
 Apps tira dugu behin izan dugu jakinaraziko gure zerbitzu-baldintzak hautsi dut dute,
 baina ez gabiltza ezer egiaztatu da. Beno, buruz urte bat orain dela hain txarra lortu premium SMS testu mezu malware honekin ezazu
 hori egiaztapena hasi ziren oso lehen gauza da.
 Aplikazio bat bada SMS testu mezuak bidali ahal
 gehiago eskuz aztertuko dute aplikazio hori.
 Deitu duten hau APIak bilatzen dute,
 eta, orain, orduz geroztik, Google zabaldu du,
 baina hori bilatzen hasi ziren lehenengo gauza izan zen.
 

SMS testu mezu batzuk egin duten beste batzuk apps,
 Android Qicsomos honetan, uste dut deitzen da.
 Ez zegoen mugikorra non CarrierIQ hau atera zen uneko gertaera hau
 gisa spyware gailua jarri eramaile by,
 beraz, pertsona bere telefono honetara zaurgarria zen bada jakin nahi,
 eta honen aplikazioa falta hori probatu zela.
 Beno, jakina, zer aplikazio hau egin zen premium SMS testu mezuak bidaltzen ditu,
 beraz spyware zurekin kutsatuta bazabiltza ikusteko probatzen
 malware kargatu telefonoaren gainean.
 Ikusi genuen gauza bera gertatuko da azken Super Bowl at.
 Ez zen akastunak du Madden futbol joko bertsio bat
 premium SMS testu mezuak bidaltzen duten.
 Benetan saiatu gailua on gehiegi bot sare bat sortzeko.
 Hemen adibide batzuk daukat.
 Interesgarria da nahikoa, Apple nahiko smart zen,
 eta ez dute ahalbidetzen aplikazioetan SMS testu mezuak bidaltzeko guztietan.
 No app egin dezake.
 Duten ohitu ahultasun klase oso bat kentzeko modu handi bat da,
 baina Android on egin dezakezu, eta, jakina, BlackBerry on Zuk ere egin dezakezu.
 Interesgarria da BlackBerry buruzko behar duzun guztia interneteko baimenak
 SMS testu mezu bat bidaltzeko.
 

Bilatzeko benetan dugun beste gauza
 zerbait maltzurren bada ikusteko bilatzen ari gara besterik ez edozein motatako da
 baimendu gabeko sarearen jarduera, bezalako sare jarduera begiratu
 aplikazioa suposatzen da bere funtzionalitatea izan behar dute,
 eta beste sare jarduera hau begiratu.
 Agian aplikazio bat, lan egiteko, datuak HTTP baino gehiago eskuratu behar ditu,
 baina posta elektronikoz edo SMS edo Bluetooth edo horrelako zerbait baino gehiago gauzak egiten ari bada
 orain, aplikazioa izan potentzialki maltzurren izan, beraz, hau beste gauza bat zuretzat ikuskatu ahal izango da.
 Eta diapositiba honetan hemen horren adibide batzuk daukat.
 Beste gauza interesgarri ikusi malware dugu gertatu atzera 2009an,
 eta gertatutakoa modu handi bat da.
 Ez dakit hainbeste da gertatu bada, harrezkero, baina aplikazio bat izan zen
 duten beste aplikazio bat ordezkatzen.
 Ez zegoen apps multzo bat, eta 09Droid erasoa bikoiztutako zen,
 eta norbaitek erabaki du ez dagoela, eskualdeko, Mid banku txiki asko zeuden
 hori ez da banku online aplikazioak izan,
 beraz, zer egin zuten zen 50 bat online banka aplikazioei eraiki dute
 egin zuten guztiek utzi du, erabiltzaile izena eta pasahitza hartu
 eta redirect webgunera duzu.
 Eta horrela jarri dute horiek guztiek sortu Google Marketplace barruan,
 Android Marketplace, eta ikusi norbait bilatuko denean bada beren banku
 aplikazio bat akastunak aplikazio aurkitu zuten izan,
 eta horrek beren kredentzialak bildu eta gero birbideratutako euren webgunean.
 Bide batez, benetan hau izan zen-Aplikazio gora egon ziren aste batzuk,
 han eta milaka eta milaka deskarga ziren.
 

Modu honetan argi etorri zen norbaitek arazoren bat izatea izan zen
 Aplikazio horietako, eta beren banku deitu dute, honekin
 eta beren banku bezero-laguntza lerro deitu zioten eta esan zion:
 "Zure mugikorra banka aplikazio batekin arazo bat dut."
 "Ezin me lagunduko duzu?"
 Eta, esan dute "ez dugu mugikorra banka aplikazio bat."
 Hasi zen ikerketa.
 Izeneko banku Googleren, eta, ondoren, Google begiratu eta esan zion:
 "Wow, egilearen beraren 50 banku aplikazioetan idatzi du," eta horiek hartu zuten guztiak behera.
 Baina zalantzarik gabe, hau berriro gerta liteke.
 Hainbat banku guztien zerrenda hemen
 duten iruzur horren parte ziren.
 Beste gauza aplikazio bat egin ahal izango da gaur egungo beste aplikazio of UI.
 Exekutatzen ari den bitartean pop zitekeela Facebook UI.
 Zure erabiltzaile izena eta pasahitza jarri jarraituko duzu esaten du
 edo jarri edozein erabiltzaile-izena eta pasahitza UI webgune bat
 agian erabiltzaileari besterik erabiltzen erabiltzailea engainatu saiatzeko
 beren kredentzialak jarriz sartu sartu
 Hau da, benetan email phishing erasoak paralelo zuzen bat
 non norbaitek mezu elektroniko bat bidaltzen dizu
 eta, funtsean webgune batean UI faltsu bat ematen dizu
 sarbidea baduzula.
 

Bilatzen dugu kode mingarria in Beste gauza sistema aldatzea da.
 Duzu erro pribilegioa behar dutena API dei guztiak begiratu ahal
 behar bezala exekutatu.
 Gailuak web proxy aldatzen zerbait aplikazio bat izango litzateke
 ez luke egin ahal.
 Baina aplikazioa ez da egin behar han kode badu
 badakizu dela seguruenik aplikazioarekin bat kaltegarria
 edo oso oso litekeena aplikazio maltzurren bat izan nahi du,
 eta, beraz, zer gertatuko litzateke da aplikazioa duten pribilegioa escalating modu batzuk izango lituzke.
 Pribilegioa eskalatze batzuk ustiatzeko litzateke
 aplikazioan, eta, ondoren, behin pribilegioak areagotu da
 sistema horiek aldaketak egin litzateke. Duten pribilegioa eskalatze ditu malware aurkitu dezakezu
 bertan nahiz pribilegioa nola eskalatze jakin gabe
 ustiatzeko gertatuko da, eta hori, era erraz polit bat
 malware bilatzeko.
 DroidDream zen ziurrenik Android malware pieza ospetsuena.
 Nik uste dut egun batzuk baino gehiago erabiltzaile 250.000 inguru afectadas
 aurkitu aurretik zen.
 50 akastunak aplikazioetan birpaketatutako dute,
 horiek jarri du Android app dendan,
 eta funtsean pribilegioak eskalatzea erabiltzen da Android jailbreak kodea
 eta ondoren instalatu komando bat eta biktima guztiak kontrolatu eta buelta
 bot garbiarekin sartu, baina ezin duzu hau detektatu dute
 Aplikazio eskaneatzen zinen bada eta besterik bila
 API deiak beharrezkoa root baimena behar bezala exekutatu.
 

Eta badira adibide bat hemen bertan proxy aldatzen ditut,
 eta hau egia esan, bakarrik dago eskuragarri Android da.
 Ikusten duzun emanez dizut Android buruzko adibide asko
 hau da, non malwarea ekosistema aktiboena delako
 benetan erasotzaile bat erraza da kode mingarria lortu duelako
 Android Marketplace sartu.
 Ez da hain erraza hori egin Apple App Store
 Apple garatzaileek behar du bere burua identifikatu nahi duelako
 eta kodea sinatzeko.
 Benetan egiaztatu dute nor zaren, eta Apple benetan aplikazioen scrutinizing.
 Ez dugu benetako malware han gailua da ohitu arriskutsua asko ikusten.
 Egingo adibide batzuk non benetan da hori lortzean arriskutsua pribatutasuna buruz hitz egin dut,
 eta hori da benetan Apple gailu gertatzen.
 Beste gauza bat egiteko kode mingarria bilatzeko, arriskutsua gailuetan kode
 logika edo denbora bonba da, eta denbora bonbak dira ziurrenik
 askoz errazago bonbak logika baino bilatzeko.
 Baina denbora bonba batekin, zer egin dezakezu zuk begiratu ahal
 kodearen non garai probatu edo denbora absolutua lekuak dagoen begiratu
 Aplikazioa zenbait funtzionalitate aurretik gertatzen da.
 Eta hau egin ahal izango da jarduera horrek agerian erabiltzaileari,
 beraz, berandu gertatzen da gauez.
 DroidDream 11 PM eta 8 AM tokiko ordua artean egin zuen bere jarduera guztiak
 egin behar den erabiltzaileari agian ez da bere telefonoa erabiliz berriz saiatzeko.
 

Gauza bera egiteko beste arrazoia jendea aplikazio baten analisia jokabidearen erabiltzen bada da,
 Aplikazioa exekutatzen sandbox batean aplikazioa portaera zein den jakiteko,
 denbora-oinarritutako logika erabili ahal izango dute, jarduera egin
 aplikazioa ez da sandbox batean.
 Adibidez, aplikazioa Apple bezalako denda bat
 aplikazioaren bidez, baina seguruenik ez aplikazio guztietan exekutatu, esan, 30 egun
 hura onartu baino lehen, beraz, jarri ahal izango duzu
 Zure aplikazioa dela esan zuen, ados, bakarrik gauza txarrak egin logika
 ondoren 30 egun ditu, edo ondoren 30 egun desagertu argitaratzen aplikazioaren data ondoren,
 eta horrek lagundu ahal izango du kode mingarria ezkutatzeko jendea horretarako ikuskatzeko from.
 Antibirus enpresek gauzak exekutatzen ari bazara sandboxes in
 edo app dendak beraiek dira honi lagun dezake
 ezkutatu duten ikuskaritza horretatik aurrera.
 Orain, hori alde flip da erraza da analisi estatiko aurkituko,
 beraz, benetan kodea zaren leku guztietan bila daiteke ikuskatzeko
 non aplikazioa denbora probak eta ikuskatu horrela.
 Eta hemen 3 plataforma ezberdin horiei buruzko adibide batzuk daukat
 zenbat denbora behar hautatuta daiteke aplikazioa egilearen arabera
 beraz, badakizu zer nahi duzun aplikazioa estatikoki ikuskatzeko bazabiltza bilatzeko.
 

Asmo txarreko ekintza ezberdin sorta osoa bidez I paregabea eman
 ditudan dugu basatia ikusi, baina zein nagusiak dira?
 North Carolina State Mugikorra Genome Project azterketa horretan bertan
 datu batzuk argitaratu, eta han izan ziren, funtsean, 4 arlo
 han Jarduera asko izan zen ikusi dutela.
 Apps ia% 37 egin zuten pribilegioa eskalada,
 beraz jailbreak kode mota batzuk izan zuten han
 non pribilegio eskalatzea saiatu dira zalantzarik gabe, beraz,
 ez sistema eragilearen gisa exekutatzen API komandoak.
 Apps guztien% 45 han egin premium SMS,
 beraz, hori zuzenean dirua irabazteko nahian portzentaje handi bat da.
 % 93 egin zuen urruneko kontrola, beraz bot garbiarekin, sakelako bot garbiarekin saiatu konfiguratzeko dute.
 Eta% 45 biltzen identifikatzeko informazio
 telefono zenbakiak, UUIDs, GPS kokapena, erabiltzaile-kontuak, bezalako
 eta honi gehitzen 100dik gora malware gehienak gauza horietako batzuk bat egiten saiatzen delako.
 

Naiz hemen bigarren erdian aldatzeko eta kode ahuleziak buruz hitz egingo.
 Hau arriskutsua jardueraren bigarren erdian dago.
 Hau da, non funtsean sustatzailearen dago akatsak egiteko.
 Sustatzailearen legezko bidezkoa aplikazio bat idazten
 da akatsak eginez edo plataforma mugikorra arriskuak ezjakin da.
 Ez besterik ez dakite a mobile app seguruak nola egin,
 edo batzuetan sustatzailearen ez ditu erabiltzaileak arriskuan jarriko buruzko zaintzeko.
 Batzuetan, beren negozio ereduaren zati izan liteke
 erabiltzaileak duen informazio pertsonala uzta.
 Hori da beste kategoria moduko, eta horregatik asmo txarreko hau batzuk
 legezko hasten versus gorako mozketa delako iritzien aldea
 zer erabiltzaileari nahi duen eta zer erabiltzailearentzat arriskutsua kontsideratzen arteko
 eta zer aplikazio sustatzailearen iritziz arriskutsua. Jakina, ez da aplikazio sustatzailearen en datuak kasu gehienetan.
 

Eta gero, azkenik, hau gertatzen da beste modu bat da sustatzailearen batean lotzen liteke
 liburutegi partekatu baten dituen ahuleziak edo arriskutsua portaera hori du in
 Horietako unbeknownst.
 Lehenengo kategorian sentikorra datuak isurketa da,
 eta hau da aplikazioa informazioa biltzen denean
 kokapena, helbide-liburuko informazioa, jabea informazio bezalako
 eta bidaltzen dituen telefonoa itzali.
 Eta behin da telefonoa itzali, ez dakigu zer ari den informazio hori gertatzen ari.
 Insecurely gordetzen litezke aplikazio sustatzailearen arabera.
 Ikusi dugu aplikazio garatzaileentzat ezagutu arriskutsua,
 eta hori gordetzeko ari dira datuak hartu lortzen.
 Duela hilabete batzuk gertatu developer behera Florida
 non dagoen-kopuru handi bat izan zen iPad UUIDs eta gailu izenak
 leaked ziren norbait, uste dut anonimo zelako,
 erreklamatu hori egin ahal izateko, sustatzailearen hau zerbitzarietan sartu hautsi
 eta iPad UUIDs milioika lapurtu
 eta ordenagailu izenak.
 Ez gehien arriskutsua informazio,
 baina zer esan bada izan da erabiltzaile-izenak eta pasahitzak biltegiratze
 eta helbideak?
 Ez da informazio-mota hori gordetzen duten apps asko.
 Arriskua dago.
 

Beste gauza gerta litekeen bada garatzaileak ez du zaindu
 datuak kanal ziurtatzeko, eta hori beste ahultasun handira buruz hitz noa da,
 datu hori argi bidaltzen ari.
 Erabiltzaileari Wi-Fi sare publiko batean badago
 edo norbaitek interneten nonbait sniffing da
 bidetik datu horiek jasan du.
 Pandora bat informazio isurketa honen kasuan oso ezaguna gertatu zen,
 eta hau zerbait ikertu Veracode dugu da.
 Ez zela uste bat-I Merkataritzaren Batzorde Federalaren bat zela entzun genuen
 ikerketa gertatzen Pandora batera.
 , Esan genuen "Zer gertatzen Hara joan? Dezagun hasteko Pandora aplikazioa sartu Jaurlaritzak."
 Eta zer erabaki dugu Pandora aplikazioa bildu zen
 zure genero eta zure adina,
 eta zure GPS kokapena, eta Pandora aplikazioa erabiltzen du, gainera,
 egin hau zer ziren legezko arrazoi esan dute.
 Duten jolasten-Pandora ziren musikak bat musika streaming app-da
 jolasten ziren musikak bakarrik Estatu Batuetan Lizentziapean zen,
 beraz, beren lizentzia akordioak izan zuten betetzeko egiaztatu behar izan zuten
 musika, erabiltzaileak Estatu Batuetan izan zen.
 Hemen gurasoen aholkularitza betetzea ere nahi dute
 Inguruan musika hizkuntza, helduen,
 eta beraz, borondatezko programa bat da, baina hori betetzea nahi dute
 eta ez jokatu esplizitua lyrics haurrek 13 eta pean.
 

Datu horiek biltzeko arrazoi zilegia izan zuten.
 Beren aplikazioa baimenak egin behar izan zuen.
 Erabiltzaile pentsatu izan da legitimoa. Baina zer gertatu da?
 Lotuta dauden 3 edo 4 ad liburutegiak desberdina dute.
 Orain bat-batean ad liburutegi hauek guztietako guztiak
 dira informazio hori bera sarbidea lortzean.
 Ad liburutegiak, ad liburutegietan begiratzen baduzu kodearen at
 zer egiten da ad liburutegi guztietan dio
 "Ez du nire app izan GPS kokapena lortzeko baimena?"
 "Oh, ez du? Ongi da, esan dit GPS kokapena."
 Behin ad liburutegi bakar egiten duten,
 eta aplikazioa ez badu GPS baimena
 ez da hura lortzeko gai, baina ez bada, lortuko da.
 Hau non enpresa ad liburutegiak eredua da
 ek erabiltzailearen intimitatea aurka.
 Eta ez da izan ikasketen dago out urtetik ezagutzen baduzu esan egingo
 pertsona baten eta bere kokapena ezagutzen duzun
 non lo egin gauez dute, beren GPS koordenadak duzulako
 dute beharbada lo dagoela, badakizu zehazki nor den pertsona hori
 zuk zehaztu daitekeelako eta horrek etxeko horretako kide pertsona dela.
 Benetan hau da iragarle identifikatuz
 zehazki nor zaren, eta itxura zilegia zen bezala da.
 Nahi dut nire streaming musika, eta hori lortzeko modu bakarra da.
 

Beno, hau jasan dugu.
 Hau idatzi dugu, hainbat blog mezu batean,
 eta horrexegatik da Rolling Stone aldizkariak norbait
 irakurri gure blog mezu bat eta bere blog propioa idatzi zuen Rolling Stone horri buruz,
 eta hurrengo egunetik aurrera Pandora pentsatu ideia ona izan zen
 ad liburutegiak kendu euren aplikazio batetik.
 Nik dakidala gisa ari dira bakarrik-dute Commended behar.
 Oraindik dute dela hori egin aplikazioa freemium mota bakarra dela uste dut.
 Beste freemium apps guztiek dute portaera hori bera,
 beraz, lortu duzun zer nolako datuen emanez zaren pentsatzen
 freemium aplikazio horietarako delako da, eta denak iragarle joan.
 Pretoriar ere partekatu liburutegiak buruzko azterketa bat egin zuen eta esan zion:
 "Dezagun zer partekatu liburutegiak goiko partekatutako liburutegien zaude", eta hau izan da datuetan.
 

53.000 apps aztertu dute,
 eta liburutegi partekatua zenbakia 1 da AdMob zen.
 Benetan izan da aplikazioen daude% 38 in,
 beraz erabiltzen ari zaren aplikazioen% 38
 dira litekeena da zure informazio pertsonala uzta
 eta bidali ad-sareak ere. Apache eta Android% 8 eta% 6 izan ziren,
 eta, ondoren, beste hauek behera behean, Google iragarkiak, Flurry at,
 Mafia Herriaren eta milaka Media,
 horiek ad enpresa guztiak dira, eta, ondoren, interesgarriagoa da nahikoa,
 % 4 Facebook liburutegian lotuta
 Ziurrenik autentifikazio egin Facebook bidez
 beraz aplikazioa Facebook autentifikatzeko liteke.
 Baina hori korporazioak Facebook kontrolatzen kodea ere esan nahi
 duen Android mobile apps% 4 urtean han agortzen,
 eta datu guztiak sartzeko aplikazioa duten hori lortzeko baimena du dute.
 Facebook funtsean saiatzen publizitate espazioa saltzen.
 Beren negozio eredua da.
 

Begiratuz gero baimenak hauekin ekosistema honetan guztian at
 eta partekatutako liburutegien duten ikusteko hasten zara
 arrisku asko duzu legitimo aplikazio batean.
 Duten Pandora gertatu bera antzeko gauza
 Path izeneko aplikazio batekin gertatu zen,
 eta Path pentsatu lagungarria errespetatzen sustatzaileei, izateaz ziren.
 Berri duzun erabiltzailearen esperientzia handia eman nahian ari zirela,
 eta horrexegatik da erabiltzaileari galdetu edo erabiltzailea esan gabe, ezer-
 eta hau iPhone eta Android gertatu zen,
 Pandora aplikazioa iPhone eta Android-entzat
 Path aplikazioa zure helbide liburu osoa grabbing zen
 eta igotzen Path besterik ez denean instalatu duzun eta aplikazioa zuena,
 eta ez dute esan honi buruz.
 Benetan lagungarria izan zen pentsatu dute
 zure helbide-liburuan pertsona guztiekin partekatu ahal izateko
 Path aplikazioa erabiltzen dituzula.
 

Beno, jakina Path pentsatu izan da bere enpresako handia.
 Ez hain erabiltzaileari handia.
 Gauza bat nerabe bat dela, agian, bada pentsatu behar duzu
 Aplikazio hau erabiltzen ari da eta bere lagunak dozenaka han daude,
 baina zer esan Path instalatzen duen enpresa baten zuzendari nagusia bada
 eta, ondoren, bat-batean bere helbide liburu oso bat guztia da han?
 Baliotsua potentzialki kontaktua informazio asko lortu joan zaren
 jende asko da.
 New York Times erreportari A, telefono zenbakia lortzeko gai izatea
 Beren helbide liburutik ex presidenteek egiteko,
 beraz, jakina, informazio sentikorra asko honen antzeko zerbait batera transferitu lortzen.
 Ez dago honi buruzko esaterako flap handi bat Path duten barkamena eskatu zen.
 Beren aplikazioa aldatu dute, eta are gehiago eragin du Apple.
 Apple esan zuen, "app saltzaileen behartzeko erabiltzaile gonbita gara
 dute bada ari bere helbide-liburu osoa jasotzera "joan.
 

Itxura zer ari da hemen gertatzen ari dena bezalakoa da da
 denean ez dago big one pribatutasuna urratzen da eta prentsan egiten du
 aldaketaren bat han ikusiko dugu.
 Baina noski, ez dago beste gauza batzuk daude.
 LinkedIn aplikazioa biltzen zure egutegiko sarrerak,
 baina Apple ez du erabiltzaileari behar duten galdetuko zaie.
 Egutegiko sarrerak sentikorra informazioa izan dezake haietan gehiegi.
 Nora marra marrazteko joan?
 Hau da, benetan motatako eboluzionatzen leku bat
 non da benetan han estandarra onak ez daude
 ko erabiltzaileak beren informazioa da arriskuan egon gertatzen ulertzeko
 eta noiz ari den jakiteko joan bere hartu zituen.
 Adios izeneko Veracode at Aplikazio bat idatzi dugu,
 eta, funtsean, zure iTunes directory at aplikazioa seinalatu duzu baimenik
 eta ziren zure helbide-liburu osoa uzta aplikazio guztien begiratu.
 Eta hemen, zerrenda honetan ikusi ahal izango duzu, haserre hegaztiak,
 AIM, AroundMe.
 Zergatik haserre hegaztiak zure helbide-liburua behar du?
 Ez dakit, baina, nolabait, ez da.
 

Hau, aplikazio asko asko egin da.
 Kodearen ikuskatu ahal izango duzu horretarako.
 Ez dago ongi definitutako iPhone, Android eta BlackBerry APIak
 helbide-liburua eskuratu.
 Benetan dezakezu erraz honetarako ikuskatu, eta hori da gure Adios aplikazioan genuen.
 Hurrengo kategoria, segurtasunik gabeko sentiberak Datuen Bilketa,
 zerbait non garatzaileek hartu zerbait pin bat bezala edo kontu-zenbakia da
 edo pasahitz bat eta gorde gailua on argia dira.
 Are okerrago, gordeko luke dute eremu batean telefonoz
 hau da, globalki eskuragarria, SD txartela bezala.
 Hau ikusten duzun maizago Android Android SD txartel bat egiteko aukera ematen duelako.
 IPhone gailuak ez.
 Baina, nahiz eta ikusi genuen hau Citigroup aplikazio batean gertatuko.
 Beren online banka aplikazio gordetako kontu zenbakiak insecurely,
 besterik gabe, argi eta garbi, eta, beraz, gailua galtzen baduzu,
 funtsean kontu korrontean galdu duzu.
 Horregatik, ez pertsonalki ez dut banka egin nire iPhone.
 Uste dut gehiegi arriskutsua da oraintxe jarduera mota horiek egin.
 

Skype gauza bera egin zuten.
 Skype, noski, kontua oreka bat, erabiltzailearen izena eta pasahitza ditu
 oreka hori eskuratu duten.
 Informazio hori guztia argi du mugikorrean gordetzeko ziren.
 Adibide batzuk daukat hemen fitxategiak sortzeko
 ez duten baimen egokiak edo diskoa grabatzean
 eta ez izatea edozein enkriptatze gertatuko da.
 Hurrengo arlo honetan, segurtasunik gabeko sentiberak Datu Transmisioa,
 Honetarako ez dut aipatu, hainbat aldiz, eta baita publiko Wi-fi
 hori apps erabat behar den zerbait da,
 eta hau da, seguruenik, zer joan gehienak gaizki ikusten dugu. Esango dut-benetan, uste dut benetako datuak behar dut,
 baina mugikorra aplikazioetan erdi itxi da
 hondatzeko SSL egiten.
 Besterik ez APIak behar bezala erabiliko dute.
 Esan nahi dut, baina dituzun guztiak egin jarraitu argibideak eta APIak erabili,
 baina ez dute horrelako gauzak ez begiratu beste muturrean ziurtagiri baliogabe bat ez ote diren,
 Ez begiratu beste muturrean protokoloa downgrade eraso bat egiten saiatzen bada.
 

Garatu, haien checkbox lortu nahi dute, ezta?
 Beren baldintza da hau erabili ahal izateko saltzeko. Saltzeko erabiltzen dut dute hau.
 Baldintza ez da hau erabili ahal izateko segurtasunez saltzeko,
 eta, beraz, hau da, zergatik SSL erabiltzen duten aplikazio guztien datuak ziurtatzeko
 helarazi gisa ari ari off gailua benetan behar ikuskatu beharreko
 ziurtatu behar bezala ezarri zen egiteko.
 Eta hemen adibide batzuk non aplikazio bat ikusi ahal izango duzu behar dut
 beharreko HTTP HTTPS ordez erabil ditzakete.
 Zenbait kasutan apps erori atzera egingo HTTP
 HTTPS ez bada lanean.
 Dei bat hemen Android non ezgaitua dut dute ziurtagiri txeke buruzko daukat,
 beraz, gizon-in-the-erdian eraso bat gerta daiteke.
 Ziurtagiri baliogabe bat onartuko dira.
 Hauek dira kasu guztietan non erasotzaileen dira on lortzeko gai izango da
 WIFI konexioa bereko erabiltzailea eta sarbide-datu guztiak bezala
 hori da internet bidez bidaltzen ari.
 

Eta azkenik, hemen daukat azken mailaren Hardcoded pasahitz eta gako da.
 Benetan ikusi dugu garatzaileek asko erabili du Kodetze bera
 dezakezu web zerbitzari aplikazioei ziren eraikitzen zuten dutela,
 beraz, Java aplikazio zerbitzari bat eraikitzen ari dira, eta gakoa erreta ari dira.
 Beno, orduan zerbitzari-aplikazio bat eraikitzen ari zaren, bai,
 gakoa erreta ez da ideia ona.
 Aldatu zaila egiten du.
 Baina ez da hain txarra zerbitzari aldean duten zerbitzari aldean sarbidea duelako?
 Administratzaileak bakarrik.
 Baina kode bera hartu duzu eta bada bota baino gehiago duzu aplikazio mugikor batera
 orain guztioi du sakelako aplikazioa duten gako Hardcoded duen sarbidea dauka,
 eta benetan ikusten dugun hau asko aldiz, eta estatistika batzuk daukat
 nola askotan hau gertatuko ikusten duguna da.
 Benetan duten MasterCard argitaratu Adibidez kodea zegoen
 beren zerbitzua nola erabili behar den.
 Adibidez kodearen erakutsi nola ez zenuke besterik pasahitza hartu
 eta jarri Hardcoded kate batean bertan,
 eta badakigu garatzaileek nola maite adabaki kodeak kopiatu eta itsatsi
 zerbait egiten saiatzen ari dira, beraz, kopiatu eta itsatsi kode mozkina
 Adibidez kode gisa eman dutela, eta ez seguru aplikazio bat behar duzu.
 

Eta hemen adibide batzuk ditugu.
 Ko hau lehenengoa asko non hardcode ikusiko dugu
 datuak lortzen bidalitako URL batean eskuinetik.
 Batzuetan katea password = Pasahitz ikusiko dugu.
 Hori nahiko erraza da antzematea, edo kate pasahitza BlackBerry eta Android on.
 Egia esan, nahiko erraza delako ia beti arakatuko
 sustatzailearen izen hori pasahitza eusten aldagaia
 pasahitz aldaketa batzuk.
 Analisi estatiko egiten dugun Veracode ean aipatu dut,
 beraz ehundaka Android eta iOS aplikazioetan aztertu dugu.
 Horietako modeloak osoa eraiki dugu, eta horiek eskaneatu gai gara
 ahuleziak ezberdinak, batez ere ahuleziak buruz ari zen, bost
 eta datu batzuk ditut hemen.
 Android apps begiratu dugu% 68,5
 izan hautsi kriptografikoa kodea,
 horrek guretzat, ezin dugu atzeman propioak kripto errutina egin baduzu,
 hori ez zela ideia ona da, baina hau benetan da argitaratuko APIak erabiliz
 duten plataforman daude baina horiek egiteko modu bat,
 kripto hori zaurgarria izango litzateke, 68,5.
 Eta hori izan dira gurekin bidaliz beren aplikazio benetan pertsonentzat dagoelako
 uste dute ideia ona segurtasun-probak egin behar da.
 Aldaketa horiek dira ziurrenik segurtasunez pentsatzen pertsonak,
 beraz, are okerragoa izango da seguru asko.
 

Ez nuen kontrol lerro jauzia injekzio buruz hitz egiteko.
 Zerbait egiaztatu dugu, baina ez da hori arriskutsua arazo bat.
 Informazio isurketa, hau da, non datu garrantzitsuak bidaltzen ari da off gailua.
 Aurkitu dugu eskaeren% 40 ere.
 Denbora eta egoera, horiek dira lasterketa baldintza mota gaiak, normalean nahiko gogorra ustiatu,
 beraz, ez dut horri buruz hitz egin, baina begiratu dugu.
 % 23 SQL injekzio gai izan.
 Jende asko ezagutzen ez duten aplikazio asko
 datuak gordetzeko bere atzeko amaieran SQL datu txiki txiki bat erabiltzea.
 Beno, bada saretik duzula grabbing ari datuen
 SQL injekzio erasoa kateak ditu urtean
 norbaitek bidez gailua hondatu dezake,
 eta, beraz, uste dut aurkituko dugu web aplikazioen% 40 inguru izan da arazo hau,
 horrek epidemia arazo handi bat da.
 Duen denboraren% 23 aurkituko dugu apps mugikorrean
 eta hori da, seguruenik, web aplikazioen askoz gehiago mobile baino SQL erabili duelako.
 

Eta gero, oraindik ere, gurutze-site scripting batzuk, baimenaren gai, ikusten dugu
 eta, ondoren, kredentzial kudeaketa, hori non pasahitza Hardcoded duzu.
 Duten aplikazio guztien% 5 ikusten dugu.
 Eta gero iOS buruzko datu batzuk ditugu.
 81% error manipulazioa gai izan. Hau da kodea kalitate arazo bat gehiago,
 baina% 67 gai kriptografikoa izan zuen, beraz, ez da nahiko Android bezala txarra.
 Agian APIak dira pixka bat errazagoa da, adibidez iOS kode apur bat hobeto.
 Baina oraindik portzentajea oso handia.
 % 54 izan genuen informazio isurketa batera,
 buffer kudeaketa erroreekin% 30 inguru.
 Duten tokietan izan potentzialki memoria ustelkeria gai bat izango da.
 Bihurtzen da hori ez da gisa ustiatzeko arazo bat askoz
 kodearen guztiak sinatu behar ditu IOS on delako,
 beraz, zaila da erasotzaile batek kode arbitrarioa exekutatu iOS da.
 Kodearen kalitatea, direktorioa eskuratzea, baina, ondoren, kredentzialak kudeaketa hemen% 14,6 izan da,
 beraz Android on baino okerrago.
 Jendeak ez pasahitzak behar bezala manipulatzea dugu.
 Eta ondoren zenbakizko akatsak eta bufferraren gainezkatzea,
 horiek gehiago kodearen kalitatea iOS buruzko gaiak izango.
 

Hori izan da nire aurkezpena da. Ez dakit gara denbora edo ez bada.
 Ez dakit galderaren bat badago.
 [Ar] zatiketa eta Android merkatuan inguruan galdera azkar bat.
 Apple gutxienez adabakien jabea.
 Ona han berriz gutxiago beraz lortzean itzazu Android espazioan lan ona egiten dute.
 Ia zure telefonoa jailbreak behar duzu lo
 egungo Android oharra.
 Bai, hori arazo handi bat da eta beraz, inguru-uste baduzu
 [Ar] Zergatik ezin da errepikatu duzu?
 

Galdera zer zatiketa buruz izan zen Oh, eskuinera, beraz,
 Android plataforman sistema eragilearen?
 Nola eragiten die horrek gailu horietako riskiness?
 Eta egia esan, arazo handi bat da, zer gertatzen da, zeren
 gailu zaharragoak, norbaitek ateratzen gailu horretarako jailbreak batekin,
 funtsean duten pribilegioa eskalada da, eta sistema eragilea eguneratu da arte
 edozein malware ondoren, erabili ahal ahultasun gailua erabat hondatu,
 eta zer Android on ikusten ari gara ordena sistema eragile berri bat eskuratu behar da
 Google sistema eragilea jarri ditu, eta, ondoren hardware fabrikatzaileak
 du pertsonalizatzeko, eta orduan garraiolari ditu pertsonalizatu eta entregatu.
 Dute funtsean duzu 3 zatiak mugitzen hemen,
 eta izarrekin inflexio da eramaile ez dutela zaintzeko,
 eta hardware fabrikatzaile ez zaintzeko, eta Google ez dago horiek prodding nahikoa
 ezer egin, beraz, funtsean, gailu guztien erdia baino gehiago daude
 duten pribilegioa eskalatze ahuleziak horiek dituzten sistema eragileak izan,
 eta beraz malware lortuko duzu zure Android gailu askoz arazo bat baino gehiago da.
 

Ados, eskerrik asko.
 [Txaloak]
 [CS50.TV]