[Семінар] [Абарона Ззаду прылады: мабільных прыкладанняў бяспекі]
 [Крыс Wysopal] [Гарвардскі універсітэт]
 [Гэта CS50.] [CS50.TV]
 

Добры дзень. Мяне клічуць Крыс Wysopal.
 Я тэхнічны дырэктар і сузаснавальнік Veracode.
 Veracode з'яўляецца кампанія бяспекі прыкладанняў.
 Мы правяраем ўсе віды розных прыкладанняў,
 і што я збіраюся пагаварыць сёння з'яўляецца бяспека мабільных прыкладанняў.
 Мой фон я рабіў даследаванні бяспекі
 на працягу вельмі доўгага часу, верагодна, аб тых часоў, пакуль нікому.
 Я пачаў у сярэдзіне 90-х гадоў,
 і гэта быў час, што было даволі цікава, таму што
 у нас была замена парадыгмы ў сярэдзіне 90-х.
 Усе кампутары раптам кожнага быў падлучаны да Інтэрнэту,
 і тады мы павінны былі зародкі вэб-прыкладанняў,
 і вось што я засяродзіўся на шмат тады.
 Гэта цікава.
 Цяпер у нас ёсць яшчэ адно змяненне парадыгмы адбываецца з кампутараў,
 які з'яўляецца зрух у мабільных прыкладаннях.
 

Я адчуваю, што гэта свайго роду такі ж час, то гэта было ў канцы 90-х
 калі мы расследавалі вэб-прыкладанняў і выяўлення дэфектаў, як
 Памылкі кіравання сесія і ін'екцыі SQL
 які сапраўды раней не было, і тут яны былі усюды
 ў вэб-прыкладаннях, і цяпер шмат часу я праводжу
 глядзіць на мабільных прыкладанняў і, гледзячы на ​​тое, што адбываецца там, у дзікай прыродзе.
 Мабільныя прыкладання сапраўды будзе дамінуючым вылічальная платформа,
 так што мы сапраўды трэба марнаваць шмат часу, калі вы знаходзіцеся ў індустрыі бяспекі
 упорам на вэб-прыкладанняў.
 Былі 29 млрд. мабільных прыкладанняў, загружаных у 2011 годзе.
 Гэта па прагнозах, будзе 76 мільярдаў дадаткаў да 2014 годзе.
 Там у 686000000 прылад, якія збіраюцца набыць у гэтым годзе,
 так што гэта, дзе людзі збіраюцца рабіць
  большасць іх кліента вылічэнняў у будучыні.
 

Я размаўляў з віцэ-прэзідэнтам у Fidelity Investments
 пару месяцаў таму, і ён сказаў, што яны толькі што бачылі больш трафіку
 рабіць фінансавыя аперацыі з іх кліенцкай базы
 на іх мабільным дадатку, чым на іх сайце,
 так агульнае выкарыстанне Інтэрнэту ў мінулым быў
 правяраючы каціроўкі акцый, кіраўнік партфелем,
 і мы на самай справе бачым, што ў 2012 годзе перамыкача над
 быць больш дамінуючым на мабільнай платформе.
 Вядома, калі там збіраецца быць любы злачыннай дзейнасці,
 любую шкоднасную актыўнасць, ён збіраецца пачаць быць сканцэнтраваны на мабільнай платформе
 з цягам часу, як людзі пераключыцца на што.
 Калі вы паглядзіце на мабільнай платформе,
 глядзець на рызыках платформе карысна разбіць яго на розных пластах,
 гэтак жа, як вы маглі б зрабіць яго на настольным кампутары,
 і вы думаеце пра розных пластах, праграмнага забеспячэння, аперацыйнай сістэмы,
 Сеткавы ўзровень, метызаў пласт, і, вядома, ёсць ўразлівасці на ўсіх тых слаёў.
 

Тое ж самае адбываецца на мабільны.
 Але мабільны, здаецца, што некаторыя з гэтых слаёў знаходзяцца ў горшым становішчы.
 З аднаго боку, сеткавай ўзровень з'яўляецца больш праблематычным на мабільны
 таму што шмат людзей маюць у сваім офісе або дома
 правадной сувязі або ў іх ёсць бяспечныя злучэння Wi-Fi,
 і з вялікай колькасцю мабільных прылад вы, відавочна, за межамі дома
 або за межамі офіса шмат, і калі вы выкарыстоўваеце Wi-Fi ёсць
 вы маглі б выкарыстоўваць небяспечны Wi-Fi злучэнне,
 нешта, што гэта грамадская Wi-Fi злучэнне,
 таму, калі мы думаем аб мабільных прыкладанняў мы павінны прыняць да ўвагі
 што сеткавая асяроддзе з'яўляецца больш рызыкоўным для тых прыкладанняў,
 калі Wi-Fi выкарыстоўваецца.
 І калі я ўваходжу ў больш мабільных рызык прыкладанняў
 вы ўбачыце, чаму гэта важней.
 Існуюць рызыкі на апаратным узроўні на мабільных прыладах.
 Гэта тая вобласць, з бягучых даследаванняў.
 Людзі называюць гэтыя шырокапалосныя нападу або асноўнай паласы атакі
 дзе вы атакуете прашыўкі, які слухае па радыё.
 

Гэта сапраўды страшна атакі, таму што
 карыстальнік не трэба нічога рабіць.
 Вы можаце націснуць шмат прылад у зоне РФ
 адразу, і здаецца, што кожны раз, калі гэта даследаванне бурбалкі
 ён хутка атрымлівае класіфікаваны, дзе
 людзі напасці ў вакол і сказаць: "Вось, кажуць нам пра тое, што, і, калі ласка, перастаць гаварыць пра гэта."
 Там нейкая даследаванні адбываецца ў шырокапалоснага вобласці,
 але гэта, здаецца, вельмі Hush Hush.
 Я думаю, што гэта больш нацыянальная дзяржава тыпу даследаванні, што адбываецца.
 Плошча актыўнага даследаванні, тым не менш, аперацыйная сістэма пласт,
 і зноў жа, гэта іншая, чым у настольным вылічальным свеце
 таму што ў мабільным прасторы ў вас ёсць гэтыя каманды людзей, званых джейлбрейкеры,
 і джейлбрейкеры адрозніваюцца ад звычайных даследчыкаў уразлівасці.
 Яны спрабуюць знайсці ўразлівасці ў аперацыйнай сістэме,
 але прычына, што яны спрабуюць знайсці ўразлівасці заключаецца не ў
 ўварвацца ў машыне чужой і скампрамэтаваць яго.
 Гэта ўварвацца ў іх ўласным кампутары.
 

Яны хочуць, каб уварвацца ў іх ўласным мабільным тэлефоне, змяніць аперацыйную сістэму уласных мабільных аўтара
 так што яны могуць запускаць прыкладанні па свайму выбару
 і змяніць становішча рэчаў з поўнымі правамі адміністратара,
 і яны не хочуць, каб распавесці пастаўшчыка пра гэта. Яны не падобныя на даследчык бяспекі, які з'яўляецца белы даследчык капялюш бяспекі
 якая будзе рабіць з вартых даверу крыніц і расказаць пастаўшчыка пра гэта.
 Яны хочуць зрабіць гэта даследаванне, і яны хочуць на самай справе апублікаваць яго
 ў эксплойт або Рутка або код джейлбрейк,
 і яны хочуць зрабіць гэта стратэгічна, як адразу пасля
 караблі пастаўшчыкоў новай аперацыйнай сістэмы.
 У вас ёсць гэтая варожыя адносіны
 з уразлівасцяў у АС, на мабільны,
 які я думаю, з'яўляецца даволі цікавым, і адно месца, мы бачым яго
 гэта робіць яго такім чынам, што ёсць добрая апублікаваны шкоднасны код там
 на наяўнасць уразлівасцяў на ўзроўні ядра,
 і мы бачылі тыя, на самай справе выкарыстоўвацца вірусастваральнікаў.
 Гэта крыху па-іншаму, чым свет ПК.
 А потым канчатковы пласт верхні пласт, пласт прыкладанняў.
 Гэта тое, што я збіраюся казаць пра сёння.
 

Існуюць іншыя пласты, і іншыя пласты гуляць у яе,
 але я ў асноўным буду казаць пра тое, што адбываецца на ўзроўні прыкладанняў
 дзе код выконваецца ў пясочніцы.
 Ён не мае правы адміністратара.
 Ён павінен выкарыстоўваць API-інтэрфейсы прылады,
 але ўсё ж, шмат шкоднаснай актыўнасці і шмат рызыкі можа адбыцца ў гэтым пласце
 таму што гэта пласт, дзе ўся інфармацыя.
 Праграмы могуць атрымаць доступ ўсю інфармацыю на прыладзе
 калі ў іх ёсць правы доступу,
 і яны могуць атрымаць доступ да розных датчыкі на прыладзе,
 Датчык GPS, мікрафон, камера, што там у вас.
 Нават калі мы гаворым толькі аб на ўзроўні прыкладанняў
 у нас ёсць шмат рызык там.
 Іншая справа, што па-іншаму пра мабільнай асяроддзі
 будзе ўсё аперацыйная сістэма гульцы, няхай гэта будзе BlackBerry або Android
 або IOS або Windows Mobile, усе яны маюць дробназярністага мадэль дазволаў,
 і гэта адзін са спосабаў, які яны пабудавалі ў аперацыйную сістэму
 ідэя, што гэта не так рызыкоўна, як вы думаеце.
 Нават калі вы ўсё свае кантакты на ёсць, усе вашыя асабістыя дадзеныя,
 ў вас ёсць вашыя фатаграфіі, у вас ёсць сваё месцазнаходжанне на ёсць,
 вы захоўваеце ваш банкаўскі штыфт для аўтаматычнага ўваходу на там, што гэта бяспечна, таму што
 прыкладання павінны мець пэўныя дазволу, каб дабрацца да некаторых частак
 інфармацыі на прыладзе, і карыстальнікам павінен быць прадстаўлены
 гэтыя дазволы і сказаць добра.
 

Праблема з ім у тым карыстач заўсёды кажа ўсё ў парадку.
 Як чалавек, бяспекі, я ведаю, вы можаце прапанаваць карыстачу,
 сказаць нешта сапраўды дрэннае здарыцца, вы хочаце, каб гэта адбылося?
 І калі яны ў спешцы ці ёсць нешта сапраўды павабна, з другога боку, што,
 як гульня будзе ўсталяваны, што яны так доўга чакалі,
 яны збіраюцца націсніце парадку.
 Вось чаму я кажу аб маім слайдзе тут проста дайце мне кінуць птушак на свіней ўжо,
 і вы можаце ўбачыць на слайдзе тут ёсць прыклады скрынцы BlackBerry дазволу.
 Ён кажа: "Калі ласка, усталюйце правы доступу BlackBerry Travel прыкладанняў
 пасля націску кнопкі унізе ", і ў асноўным карыстальнік проста будзе сказаць
 ўсталяваць дазволу і захаваць.
 Вось Android падкажыце дзе ён паказвае рэчы,
 і гэта на самай справе ставіць тое, што выглядае амаль як папярэджанне.
 У гэтага ёсць свайго роду выхад знак там, кажучы, сетка сувязі, тэлефоннага званка,
 але карыстальнік збіраецца націсніце ўсталяваць, правільна?
 І тады адзін Яблык цалкам бясшкодныя.
 Гэта не дае якой-небудзь папярэджання.
 Гэта проста Apple, хацелі б выкарыстоўваць ваша бягучае месцазнаходжанне.
 Вядома, вы будзеце націсніце парадку.
 

Існуе гэты дробназярністы мадэль доступу,
 і дадатку павінны мець файл маніфеста, дзе яны абвясціць
 дазволаў ім трэба, і якія будуць атрымліваць адлюстроўвацца для карыстальніка,
 і карыстальнік павінен будзе сказаць, што я гэтыя правы.
 Але давайце будзем сумленнымі.
 Карыстальнікі, проста хачу, каб заўсёды кажу усё ў парадку.
 Давайце кінем хуткі погляд на дазволах, гэтыя прыкладання, тых, хто просіць
 і некаторыя з дазволаў, якія існуюць.
 Гэтая кампанія прэтарыянскай правялі апытанне ў мінулым годзе
 з 53000 прыкладанняў, прааналізаваных ў Android Market і 3 ўдзельніка рынках,
 так што гэта ўсё Android-.
 А сярэдні прыкладанне прасілі 3 дазволу.
 Пэўныя праграмы прасіў 117 дазволаў,
 так што, відавочна гэта вельмі дробназярністы і занадта складаным для карыстальніка, каб зразумець
 калі яны прадстаўлены з гэтым дадаткам, якая павінна гэтыя 117 дазволаў.
 Гэта як карыстальніка ліцэнзійнага пагаднення канчатковага, гэта доўга 45 старонак.
 Можа быць, хутка яны будуць мець магчымасць, дзе гэта, як
 раздрукаваць дазволу і напішыце мне ліст.
 

Але калі вы паглядзіце на некаторыя з лепшых цікавых дазволаў
 24% з прыкладанняў, якія яны спампавалі з 53000
 запытаная інфармацыя GPS з прылады.
 8% чытаюць кантактаў.
 4% адпраўлена SMS і 3% атрымалі SMS.
 2% запісаны гук.
 1% апрацоўваюцца выходныя званкі.
 Я не ведаю.
 Я не думаю, 4% з прыкладанняў у краме прыкладанняў сапраўды трэба адправіць СМС паведамленні,
 так што я думаю, што гэта намёк, што нешта неспрыяльны адбываецца.
 8% з прыкладанняў трэба чытаць ваш спіс кантактаў. Гэта, напэўна, не трэба.
 Адзін з іншых цікавых рэчаў аб дазволаў з'яўляецца
 калі вы спасылку ў падзяляем бібліятэк у дадатак
 тых, ўспадкуюць дазволу прыкладання,
 так што калі ваша прыкладанне мае патрэбу ў спіс кантактаў або мае патрэбу размяшчэнне GPS функцыянаваць
 і вы звязваеце у рэкламнай бібліятэцы, напрыклад,
 што абвяшчэнне Бібліятэка таксама змогуць атрымаць доступ да кантактаў
 а таксама мець доступ да месцазнаходжанне GPS,
 і распрацоўшчык прыкладання нічога не ведае пра код, які працуе ў рэкламным бібліятэкі.
 Яны проста звязваючы, што, таму што яны хочуць ператварыць у грошы свае прыкладання.
 

Гэта дзе-і я буду казаць аб некаторых прыкладах гэта з
 прыкладанне пад назвай Пандора, дзе распрацоўнік прыкладання
 можа міжволі быць ўцечкі інфармацыі
 ад сваіх карыстальнікаў, паколькі бібліятэк яны звязаны цалі
 Геадэзія ландшафт там, гледзячы на ​​ўсіх розных прыкладанняў
 , Якія былі паведамлялі ў навінах, як шкоднасныя ці рабіць нешта карыстальнікі не хацеў
 а затым правяраць шмат прыкладанняў-мы робім шмат статычнага бінарнага аналізу на мабільных прыкладанняў,
 таму мы агледзелі іх і паглядзеў на код самай-
 мы прыдумалі, што мы называем наш спіс 10 небяспечных формаў паводзінаў у прыкладаннях.
 І гэта разбіта на 2 секцыі, шкоднаснага кода,
 так што гэтыя дрэнныя рэчы, што праграмы могуць рабіць, што
 , Хутчэй за ўсё, будзе тое, што зламысніку
 канкрэтна паставіць ва ўжыванні, але гэта трохі размыта.
 Гэта можа быць нешта, што распрацоўшчык лічыць гэта добра,
 але гэта заканчвае тым, што ўспрымаецца як шкоднасны карыстальнікам.
 

А потым у другім раздзеле, што мы называем кадаваньне уразлівасці,
 і гэта рэчы, дзе распрацоўшчык асноўным робіць памылкі
 ці проста не разумее, як бяспечна напісаць дадатак,
  і гэта пакласці карыстачу прыкладання ў небяспецы.
 Я збіраюся прайсці праз гэта падрабязна і прывесці некалькі прыкладаў.
 Для даведкі, я хацеў мірыцца OWASP 10 мабільных лепшых спіс.
 Гаворка ідзе пра 10 пытанняў, якія група ў OWASP,
 Праект Open Web Application Security, яны маюць працоўную групу
 працуе на мабільным 10 лепшых спісе.
 У іх ёсць вельмі знакаміты 10 вэб лепшых спіс, якія з'яўляюцца топ-10
 рызыкоўныя рэчы, якія вы можаце мець на вэб-дадатку.
 Яны робяць тое ж самае для мабільнага,
 і іх спіс выглядае крыху інакш, чым у нас.
 6 з 10 з'яўляюцца аднолькавымі.
 У іх ёсць 4, якія адрозніваюцца.
 Я думаю, што ў іх ёсць трохі іншы ўзяць на
 Рызыка ў мабільных прыкладаннях, дзе шмат іх пытаннях
 сапраўды, як дадатак ўзаемадзейнічае з ўнутранага сервера
 або тое, што адбываецца на ўнутраным сэрвэры,
 ня столькі прыкладанняў, якія маюць рызыкоўныя паводзіны, якія толькі прамыя кліенцкія прыкладанні.
 

Тыя ў чырвоны тут адрозненні паміж 2 спісаў.
 І некаторыя з маіх даследчай групы фактычна ўдзел у гэтым праекце,
 такім чынам, мы ўбачым, што адбудзецца на працягу доўгага часу, але я думаю, што вынас тут
 мы сапраўды не ведаем, што лепшыя 10 спісаў ў мабільных прыкладаннях, таму што
 яны сапраўды толькі вакол на 2 або 3 гадоў,
 і не было дастаткова часу, каб сапраўды даследаваць аперацыйныя сістэмы
 і тое, што яны здольныя, і не было дастаткова часу
 для шкоднаснага супольнасці, калі хочаце, каб правялі дастаткова часу
 спрабуюць атакаваць карыстальнікаў праз мабільныя прыкладанні, так што я чакаю гэтыя спісы, каб змяніць няшмат.
 Але цяпер, гэта топ-10 рэчаў, каб хвалявацца аб.
 Вы можаце спытаць, на мабільным баку, дзе робіць шкоднаснага мабільнага кода
 як гэта атрымаць на прыладу?
 Штата Паўночная Караліна мае праект пад назвай генны Мабільная вірусалогія
 дзе яны збіраюць столькі мабільнага шкоднаснага як яны могуць і аналізу яго,
 і яны разбітыя вектары ін'екцый, якія выкарыстоўвае мабільныя вірусы,
 і 86% выкарыстоўваюць тэхніку, званую пераўпакоўку,
 і гэта толькі на Android платформе
 вы можаце рэальна зрабіць гэта пераўпакоўку.
 

Прычына Android-код пабудаваны з
 байт-код Java называецца Dalvik, якая лёгка decompilable.
 Што дрэнны хлопец можа зрабіць, гэта
 прыняць Android прыкладанне, дэкампіляваць яго,
 ўставіць шкоднасны код, перакампіляваць яго,
 , А затым пакласці яго ў краме прыкладанняў, што прадстаўляецца ў якасці новай версіі дадзенага прыкладання,
 або проста, можа быць, змена назвы прыкладання.
 Калі б гэта было свайго роду гульню, змяніць імя трохі,
 і такім чынам гэта пераўпакоўку, як 86% шкоднасных праграм для мабільных атрымлівае размеркаваны.
 Там іншая тэхніка называецца абнаўленне, якое з'яўляецца
 вельмі падобны на пераўпакоўку, але вы на самой справе не ставяць шкоднасны код цалі
 Што вы робіце гэта вы паклалі ў невялікі механізм абнаўлення.
 Вы дэкампіляваць, вы паклалі ў механізм абнаўлення, і вы перакампіляваць яго,
 а затым, калі праграма працуе, яно цягне ўніз шкоднаснага ПА на прыладзе.
 

Безумоўна большасць гэта тыя 2 метады.
 Існуе не вельмі шмат Спампаваць Drive пляцоўках або спадарожных загрузак на мабільныя тэлефоны,
 якія могуць быць як фішынгу.
 Гэй, праверыць гэты сапраўды класны сайт,
 ці вам трэба зайсці на гэты сайт і запоўніце гэтую форму
 трымаць працягваючы рабіць нешта. Тыя фішынг-нападаў.
 Тое ж самае можа адбыцца на мабільнай платформе, дзе яны
 паказваюць на мабільнае прыкладанне для загрузкі, сказаць "Прывітанне, гэта Банк Амерыкі».
 "Мы бачым, што вы з дапамогай гэтага прыкладання."
 "Вы павінны спампаваць гэты іншае праграму."
 Тэарэтычна, гэта можа спрацаваць.
 Можа быць, гэта проста не выкарыстоўваецца досыць, каб вызначыць, ці з'яўляецца гэта паспяховым ці не,
 але яны выявілі, што менш за 1% часу, што тэхніка выкарыстоўваецца.
 Вялікую частку часу гэта сапраўды спакаваць код.
 

Там іншая катэгорыя называецца аўтаномны
 дзе хтосьці проста будуе новае праграмнае.
 Яны стварыць прыкладанне, якое накіравана на тое, каб быць чымсьці.
 Гэта не пераўпакоўку нешта яшчэ, і што мае шкоднасны код.
 Гэта выкарыстоўваецца 14% часу.
 Цяпер я хачу пагаварыць пра тое, што шкоднасны код робіш?
 Адным з першых шкоднасных праграм там
 вы маглі б разгледзець шпіёнаў.
 Гэта ў асноўным шпіёніць за карыстальнікам.
 Ён збірае электронныя лісты, SMS паведамленні.
 Аказваецца на мікрафоне.
 Гэта збірае кантактную кнігу, і ён пасылае яго каму-небудзь яшчэ.
 Гэты тып праграм-шпіёнаў існуе на ПК,
 так што мае сэнс для людзей, каб паспрабаваць зрабіць гэта на мабільных прыладах.
 

Адным з першых прыкладаў гэтага была праграма пад назвай Secret SMS Replicator.
 Гэта было ў Android Marketplace пару гадоў таму,
 і ідэя была, калі вы мелі доступ да чыёй-то Android тэлефон
 што вы хацелі, каб шпіёніць за, так што, магчыма, гэта ваш муж
 або Ваша другая палоўка, і вы хочаце, каб шпіёніць за іх тэкставымі паведамленнямі,
 вы маглі б спампаваць гэта прыкладанне і ўсталяваць яго і наладзіць яго
 адправіць тэкставае паведамленне SMS да вас з копіяй
 кожнага SMS тэкставых паведамленняў яны атрымалі.
 Гэта, відавочна, у парушэннях App Store з пункту гледжання абслугоўвання,
 і гэта было выдаленае з Android Marketplace на працягу 18 гадзін яна быць там,
 такім чынам, вельмі невялікая колькасць людзей знаходзяцца ў групе рызыкі з-за гэтага.
 Зараз, я думаю, што калі праграма называлася нешта, можа быць, трохі менш правакацыйным
 як Secret SMS Replicator ён, верагодна, працаваў бы нашмат лепш.
 Але гэта было збольшага відавочна.
 

Адна з рэчаў, якія мы можам зрабіць, каб вызначыць, прыкладанні маюць такія паводзіны, што мы не хочам
 заключаецца ў праверцы кода.
 На самай справе гэта вельмі лёгка зрабіць на Android, таму што мы можам дэкампіляваць прыкладанняў.
 На прашыўкай можна выкарыстоўваць дызасэмблер як IDA Pro
 глядзець на тое, APIs дадатак тэлефануе і што ён робіць.
 Мы напісалі наш уласны двайковы статычны аналізатар для нашага кода
 і мы робім гэта, і так, што вы можаце зрабіць, гэта, можна сказаць,
 робіць прылада рабіць нічога, што ў асноўным шпіёніць за мной або адсочвання мяне?
 І ў мяне ёсць некаторыя прыклады тут, на мабільны.
 Гэта першы прыклад у тым, як атрымаць доступ да UUID па тэлефоне.
 На самай справе гэта тое, што Apple, толькі што забаранілі для новых прыкладанняў,
 але старыя прыкладанні, якія вы, магчыма, працуе на вашым тэлефоне яшчэ можаце зрабіць гэта,
 і так, што унікальны ідэнтыфікатар можа быць выкарыстаны, каб адсочваць вас
 ў многіх розных прыкладанняў.
 

На Android, У мяне ёсць прыклад тут атрымаць каардынаты прылады.
 Вы можаце бачыць, што калі што API выклік ёсць, што назіраньня,
 і вы можаце пераканацца ў тым, што становіцца выдатным размяшчэннем або прыблізнае месцазнаходжанне.
 А потым на дне тут, у мяне ёсць прыклад таго, як на BlackBerry
 дадатак можа атрымаць доступ да паведамленняў электроннай пошты ў паштовай скрыні.
 Гэта выгляд рэчаў, якія вы можаце праверыць, каб убачыць
 калі дадатак робіць гэтыя рэчы.
 Другая вялікая катэгорыя шкоднаснага паводзін, і гэта, мабыць, самая вялікая катэгорыя зараз,
 з'яўляецца несанкцыянаваным набор, несанкцыянаванае Прэміум SMS тэкставыя паведамленні
 або несанкцыянаваных плацяжоў.
 Іншая справа, што ўнікальна пра тэлефон
 з'яўляецца прылада падключаецца да білінгавай ўвагу,
 і калі мерапрыемствы ажыццяўляюцца па тэлефоне
 гэта можа стварыць абвінавачвання.
 Вы можаце набыць рэчы па тэлефоне,
 і пры адпраўцы Прэміум SMS тэкставае паведамленне на самай справе вы даваць грошы
 ўладальніку рахунку тэлефоннага нумара на другім баку.
 Яны былі створаны, каб атрымаць каціроўкі акцый або атрымаць штодзённы гараскоп або іншыя рэчы,
 але яны могуць быць створаны замовіць тавар, адправіўшы SMS тэкст.
 Людзі даюць грошы ў Чырвоны Крыж, адправіўшы тэкставае паведамленне.
 Вы можаце даць $ 10, што шлях.
 

Тыя, хто нападаў, што яны зрабілі гэта яны стварылі
 рахункі ў замежных краінах, і яны ўстаўляць у шкоднасных праграм
 што тэлефон будзе адправіць тэкставае паведамленне прэміум SMS,
 кажуць, некалькі разоў у дзень, і ў канцы месяца вы разумееце, што вы патрацілі
 дзясяткі ці, магчыма, нават сотні даляраў, і яны сыходзяць з грашыма.
 Гэта стала настолькі дрэнным, што гэта было самае першае, што Android
 Гандлёвая пляцоўка або Google месца-гэта быў Android Marketplace у той час,
 і гэта цяпер Google Play-першае, што Google пачаў праверкі.
 Калі Google пачаў распаўсюджванне прыкладанняў Android у іх краму прыкладанняў
 яны сказалі, што не збіраліся праверыць ні за што.
 Мы будзем цягнуць прыкладання, як толькі мы былі апавешчаныя, яны зламалі нашы ўмовы прадастаўлення паслуг,
 але мы не збіраемся, каб праверыць на што заўгодна. Ну, прыкладна год таму гэта стала настолькі дрэнным з гэтым прэміум SMS тэкставых паведамленняў шкоднасных праграм
 што гэта самае першае, што яны пачалі праверкі.
 Калі прыкладанне можа адпраўляць СМС паведамлення
 яны дадаткова ўручную старанна, што прымяненне.
 Яны шукаюць API, якія патрабуюць гэтага,
 і зараз з тых часоў Google пашырыла,
 але гэта было першае, што яны пачалі шукаць.
 

Некаторыя іншыя прыкладанні, якія зрабілі некаторыя тэкставых паведамленняў,
 гэта Android-Qicsomos, я мяркую, што гэта называецца.
 Быў гэты бягучае падзея на мабільны, дзе гэта CarrierIQ выйшаў
 як шпіёнскае паставіць на прыладзе перавозчыкамі,
 так што людзі хацелі б ведаць, калі іх тэлефон быў уразлівы да гэтага,
 і гэта было бясплатнае прыкладанне, якое адчувалі што.
 Ну, вядома, тое, што гэта дадатак сапраўды быў ён паслаў Прэміум SMS тэкставыя паведамленні,
 так, правяраючы, каб убачыць, калі вы заражаныя шпіёнскім ПА
 Вы толькі што спампавалі шкоднаснага ПА на вашым прыладзе.
 Мы бачылі тое ж самае адбудзецца ў апошні Super Bowl.
 Быў фіктыўны версія футбольны матч Madden
 што паслаў Прэміум SMS тэкставых паведамленняў.
 Гэта на самай справе спрабавалі стварыць сетку бот занадта на прыладзе.
 Тут у мяне ёсць некалькі прыкладаў.
 Цікава, што Apple, быў вельмі разумны,
 і яны не дазваляюць прыкладанням адправіць СМС паведамленні на ўсіх.
 Няма прыкладанне не можа зрабіць гэта.
 Гэта выдатны спосаб пазбавіцца ад цэлага класа уразлівасці,
 а на Android вы можаце зрабіць гэта, і, вядома, на BlackBerry вы таксама можаце гэта зрабіць.
 Цікава, што на BlackBerry ўсё, што вам трэба, гэта дазволу інтэрнэт
 адправіць тэкставае паведамленне SMS.
 

Іншая рэч сапраўды, што мы шукаем
 калі мы глядзім, каб убачыць, калі нешта з'яўляецца шкоднасным з'яўляецца, для любога тыпу
 несанкцыянаванае сеткавай актыўнасці, як глядзець на сеткавай актыўнасці
 дадатак, як мяркуецца, павінны мець сваю функцыянальнасць,
 і глядзець на гэтай другой сеткавай актыўнасці.
 Магчыма, прыкладанне, каб працаваць, павінен атрымаць дадзеныя па HTTP,
 але калі ён робіць рэчы па электроннай пошце або SMS ці Bluetooth ці нешта накшталт гэтага
 цяпер, калі праграма патэнцыйна можа быць шкоднаснай, так што гэта яшчэ адна рэч, вы можаце праверыць на.
 І на гэтым слайдзе тут у мяне ёсць некаторыя прыклады гэтага.
 Яшчэ адна цікавая рэч, якую мы бачылі з шкоднаснымі адбылося яшчэ ў 2009 годзе,
 і гэта адбылося ў вялікі шлях.
 Я не ведаю, калі гэта адбылося так шмат з тых часоў, але гэта было дадатак
 што увасабленне іншага прыкладання.
 Быў набор прыкладанняў, і гэта было названа напад 09Droid,
 і хто-то вырашыў, што там было шмат дробных, рэгіянальных, сярэдняга банкаў
 што не маюць он-лайн банкаўскіх прыкладанняў,
 так, што яны зрабілі менавіта яны пабудавалі каля 50 онлайн-банкінгу прыкладанняў
 што ўсе яны зрабілі, было ўзяць імя карыстальніка і пароль
 і перанакіраваць вас на сайце.
 І таму, яны размясцілі гэтыя ўсе ўверх у Google Marketplace,
 ў Android Marketplace, і калі хтосьці шукаў, каб убачыць, калі іх банк
 было дадатак яны знойдуць фіктыўныя дадатак,
 у якім сабраны свае паўнамоцтвы, а затым перанакіроўваецца іх на свой сайт.
 Такім чынам, што гэта на самай справе стаў-Прыкладанні былі там на працягу некалькіх тыдняў,
 і было тысячы і тысячы загрузак.
 

Як гэта з'явілася на свет быў хтосьці ўзніклі праблемы
 з адным з прыкладанняў, і яны называлі свой банк,
 і яны назвалі падтрымкі кліентаў лінію свайго банка і сказаў,
 "У мяне паўсталі праблемы з мабільнай банкаўскага прыкладання."
 "Ці можаце вы мне дапамагчы?"
 І яны сказалі: "У нас няма мабільнага банкаўскага прыкладання."
 Гэта пачалося расследаванне.
 Гэты банк называецца Google, а затым Google паглядзеў і сказаў,
 "Нічога сабе, той жа аўтар напісаў 50 банкаўскіх прыкладанняў», і ўзяў іх усіх.
 Але, вядома, гэта можа адбыцца зноў.
 Там у спіс усіх розных банкаў тут
 што былі часткаю гэтай афёру.
 Іншая рэч, дадатак можа зрабіць прысутнічае карыстацкі інтэрфейс з іншага прыкладання.
 У той час як ён працуе яна можа выскачыць Facebook UI.
 Гэта кажа, што вы павінны паставіць на ваша імя карыстальніка і пароль, каб працягнуць
 або пакласці любое імя карыстальніка і інтэрфейс пароль для сайта
 што, магчыма, карыстальнік выкарыстоўвае толькі, каб паспрабаваць падмануць карыстальніка
 ў пакласці свае паўнамоцтвы цалі
 Гэта сапраўды прама паралельна з электроннай пошты фішынг-нападаў
 дзе хтосьці пасылае вам паведамленне па электроннай пошце
 і дае вам у асноўным падробленыя карыстацкі інтэрфейс для вэб-сайта
 што ў вас ёсць доступ.
 

Іншая рэч мы шукаем у шкоднаснага кода з'яўляецца мадыфікацыя сістэмы.
 Вы можаце паглядзець на ўсіх API выклікаў, якія патрабуюць паўнамоцтваў адміністратара
 правільна выконваць.
 Змена вэб-проксі прылады будзе тое, што прыкладанне
 не павінны быць у стане зрабіць.
 Але калі прыкладанне мае код у там, каб зрабіць гэта
 Вы ведаеце, што гэта, верагодна, шкоднаснае прыкладанне
 або вельмі высока верагодна, будзе шкоднаснае прыкладанне,
 і так, што адбудзецца тое, што прыкладанне будзе мець нейкі спосаб эскалацыі прывілеяў.
 Гэта павінна было б некаторыя прывілеяў эксплуатаваць
 у дадатку, а затым, як толькі гэта прывілеі
 ён будзе рабіць гэтыя мадыфікацыі сістэмы. Вы можаце знайсці шкоднасныя праграмы, якія мае прывілеяў
 у ім нават не ведаючы, як працуе прывілеяў
 эксплуатаваць адбудзецца, і гэта добры і просты спосаб
 глядзець на наяўнасць шкоднасных праграм.
 DroidDream быў, верагодна, самы вядомы кавалак Android шкоднасных праграм.
 Я думаю, што пацярпела каля 250 000 карыстальнікаў на працягу некалькіх дзён
 , Перш чым ён быў знойдзены.
 Яны спакаваць 50 фіктыўных прыкладанняў,
 змясціць іх у Android крама прыкладанняў,
 і, па сутнасці гэта было раней Android код джейлбрейка падвысіць прывілеі
 а затым ўсталяваць каманду і кіраваць і ператварыць ўсіх ахвяраў
 ў бот сеткі, але вы маглі б выявіць гэта
 калі вы сканавалі прыкладанне і проста шукаеце
 API выклікі, што шуканы корань дазвол правільна выканаць.
 

А ёсць прыклад тут у мяне ёсць, якія мяняе проксі,
 і гэта на самай справе даступны толькі на Android.
 Вы можаце бачыць, я даю вам шмат прыкладаў на Android
 таму што менавіта тут найбольш актыўным шкоднасным кодам экасістэма
 таму што гэта вельмі лёгка для зламысніка, каб атрымаць шкоднасны код
 ў Android Marketplace.
 Гэта не так лёгка зрабіць, што ў Apple App Store
 таму што Яблык патрабуе ад распрацоўшчыкаў, каб ідэнтыфікаваць сябе
 і падпісаць код.
 Яны на самай справе праверыць, хто вы ёсць, і Apple, на самай справе ўглядацца прыкладанняў.
 Мы не бачым шмат праўдзівага шкоднасных праграм, калі прылада становіцца скампраметаванай.
 Я буду казаць аб некаторых прыкладах, дзе гэта сапраўды прыватнасці, што становіцца пад пагрозу,
 і вось што на самой справе адбываецца на прыладзе Apple.
 Іншая рэч, каб паглядзець на наяўнасць шкоднаснага кода, рызыкоўна код у прыладах
 з'яўляецца лагічныя або бомбы з гадзінным механізмам, і бомбы з гадзінным механізмам, верагодна,
 значна прасцей шукаць, чым лагічныя бомбы.
 Але з часам бомбаў, што вы можаце зрабіць, гэта вы можаце паглядзець на
 месцаў у кодзе, дзе тэстуецца час або абсалютная час шукаецца
 да пэўная функцыянальнасць у дадатку адбываецца.
 І гэта можа быць зроблена, каб схаваць, што актыўнасць ад карыстальніка,
 так гэта адбываецца позна ўвечары.
 DroidDream зрабіў усю сваю дзейнасць у перыяд з 11 гадзін вечара да 8 раніцы па мясцовым часе
 каб паспрабаваць зрабіць гэта ў той час як карыстальнік можа не выкарыстоўваць свае прылады.
 

Іншая прычына зрабіць гэта, калі людзі выкарыстоўваюць паводніцкі аналіз прыкладання,
 запуску прыкладання ў ізаляванай асяроддзі, каб бачыць тое, што паводзіны прыкладання з'яўляецца,
 яны могуць выкарыстоўваць логіку пачасовай зрабіць дзейнасць
 калі праграма не ў пясочніцы.
 Напрыклад, крама прыкладанняў, як Apple,
 запускае прыкладанне, але яны, верагодна, не запускаць ўсе прыкладання, скажам, 30 дзён
 перш чым ўхваліць яго, так што вы можаце змясціць
 Логіка ў вашым дадатку, які сказаў, добра, толькі рабіць дрэнна
 пасля 30 дзён прайшло, або праз 30 дзён пасля даты публікацыі заяўкі,
 і што можа дапамагчы шкоднасны код шкуру ад людзей правяраючых для яго.
 Калі антывірусныя кампаніі працуюць рэчы ў пясочніцы
 або дадатак самі крамы гэта можа дапамагчы
 схаваць гэта ад гэтай інспекцыі.
 Цяпер, адваротны бок, што гэта лёгка знайсці пры дапамозе статычнага аналізу,
 так на самой справе праверкі код, які вы можаце паглядзець на ўсіх месцах,
 дзе дадатак правярае час і праверыць, што шлях.
 А вось у мяне ёсць некалькі прыкладаў на гэтых 3-х розных платформаў
 як раз могуць быць правераны на на дадатак вытворцы
 так што вы ведаеце, што шукаць, калі вы агляду дадатак статычна.
 

Я толькі што прайшоў праз цэлую кучу розных шкоднасных дзеянняў
 што мы бачылі ў дзікай прыродзе, але якія з іх з'яўляюцца найбольш распаўсюджанымі?
 У тым жа даследаванні ад штата Паўночная Караліна Мабільная Genome Project
 апублікаваў некаторыя дадзеныя, і былі ў асноўным 4 зоны
 што яны бачылі там, дзе было шмат актыўнасці.
 37% з прыкладанняў зрабіў прывілеяў,
 таму ім давялося некаторы тып джейлбрейка кода там
 дзе яны спрабавалі падвысіць прывілеі так, каб яны маглі
 у каманды API працуе ў якасці аперацыйнай сістэмы.
 45% з прыкладанняў там зрабіў прэміум SMS,
 так што гэта велізарны адсотак, які спрабуе наўпрост манетызаваць.
 93% зрабілі пульт дыстанцыйнага кіравання, так што яны спрабавалі стварыць бот сетку, мабільны бот сетку.
 І 45% збіраюць інфармацыю ідэнтыфікацыі
 як нумары тэлефонаў, UUID,, GPS месцазнаходжанне, уліковыя запісы карыстальнікаў,
 і гэта дадае да больш чым 100, таму што большасць шкоднасных праграм спрабуе зрабіць некаторыя з гэтых рэчаў.
 

Я збіраюся пераключыцца на другую палову і казаць пра уразлівасцяў кода.
 Гэта другая палова рызыкоўнымі відамі дзейнасці.
 Гэта дзе істотна распрацоўшчык робіць памылкі.
 Законным распрацоўшчык, пішучы законную дадатак
 робіць памылкі або не ведае пра рызыкі, звязаных з мабільнай платформы.
 Яны проста не ведаюць, як зрабіць бяспечнае мабільнае прыкладанне,
 а часам распрацоўшчык не клапоціцца аб памяшканні карыстальніка рызыцы.
 Часам частка іх бізнэс-мадэлі можа быць
 збору асабістай інфармацыі карыстальніка.
 Гэта свайго роду іншай катэгорыі, і менавіта таму некаторыя з гэты шкоднасны
 супраць законных пачынае сыходзіць крывёй над таму што ёсць розніца меркаванняў
 між тым, што карыстальнік хоча і што карыстальнік лічыць рызыкоўным
 і тое, што распрацоўнік прыкладання лічыць рызыкоўным. Вядома, гэта не дадзеныя распрацоўшчык прыкладання ў большасці выпадкаў.
 

І, нарэшце, яшчэ адзін спосаб гэта адбываецца, распрацоўшчык можа звязаць у
 падзяляная бібліятэка, якая мае ўразлівасці або гэты рызыкоўных паводзінаў у ім
 незаўважна для іх.
 Першая катэгорыя адчувальны ўцечкі дадзеных,
 і гэта, калі праграма збірае інфармацыю
 месцазнаходжанне, інфармацыю адраснай кнігі, інфармацыі ўладальніка, як
 і пасылае, што выключэнне прылады.
 І як толькі гэта ад прылады, мы не ведаем, што адбываецца з гэтай інфармацыяй.
 Гэта можна было б захоўваць небяспечна распрацоўшчыкам прыкладання.
 Мы бачылі распрацоўшчыкі прыкладанняў атрымаць пад пагрозу,
 і дадзеныя, якія яны захоўвання атрымлівае прынятыя.
 Гэта адбылося некалькі месяцаў таму, каб распрацоўшчык ўніз ў Фларыдзе
 дзе вялікая колькасць-гэта было Ipad UUID, і імёны прылад
 пратачыліся таму, што хто-то, я думаю, што гэта было ананімным,
 сцвярджаў, зрабіць гэта, уварваліся ў серверах гэтага распрацоўніка
 і скраў мільёны Ipad UUID,
 і імёны кампутараў.
 Не самы рызыкоўны інфармацыя,
 але тое, што калі б гэта было захоўванне імёнаў карыстальнікаў і пароляў
 і хатнія адрасы?
 Там шмат прыкладанняў, якія захоўваюць такую ​​інфармацыю.
 Рызыка ёсць.
 

Іншая рэч, якая можа адбыцца, гэта калі распрацоўшчык не клапоціцца
 для забеспячэння канала перадачы дадзеных, і гэта яшчэ адзін вялікі уразлівасці Я збіраюся казаць пра,
 што дадзеныя адпраўляюцца ў адкрытым выглядзе.
 Калі карыстальнік знаходзіцца ў сетцы агульнага карыстання Wi-Fi
 або нехта нюхае Інтэрнэт дзесьці
 па шляху, што дадзеныя выкрыцця.
 Адзін вельмі вядомы выпадак гэтага ўцечкі інфармацыі адбылося з Pandora,
 і гэта тое, што мы даследавалі на Veracode.
 Мы чулі, што была-Я думаю, што гэта быў Федэральная гандлёвая камісія
 Расследаванне адбываецца з Пандоры.
 Мы сказалі: «Што там адбываецца? Давайце пачнем капацца ў дадатку Pandora."
 І тое, што мы вызначылі было ўжыванне Пандора сабраны
 Ваш пол і ўзрост
 і гэта таксама даступныя ваша месцазнаходжанне GPS, а таксама прымяненне Pandora
 зрабіў гэта для таго, што яны сказалі, былі законныя падставы.
 Музыка, якую яны гралі-Pandora з'яўляецца струменевай музыкі прыкладанне-
 музыка, якую яны гулялі толькі ліцэнзаваць ў Злучаных Штатах,
 такім чынам, яны павінны былі праверыць, каб выконваць свае ліцэнзійныя пагаднення, якія яны мелі
 за музыку, што карыстач быў у Злучаных Штатах.
 Яны таксама хацелі выконваць Parental Advisory
 вакол мовы для дарослых у музыцы,
 і так што гэта добраахвотная праграма, але яны хацелі, каб адпавядаць, што
 а не граць відавочныя лірыку дзяцей 13 гадоў і маладзейшым.
 

У іх былі законныя падставы для збору гэтых дадзеных.
 Іх прыкладанне было дазволу, каб зрабіць гэта.
 Карыстальнікі думаў, што гэта было законна. Але што здарылася?
 Яны звязаны ў 3 ці 4 розных бібліятэках аб'яваў.
 Зараз усе раптам ўсіх гэтых рэкламных бібліятэк
 атрымліваюць доступ да гэтай жа інфармацыі.
 Бібліятэкі аб'яву, калі вы паглядзіце на код у рэкламных бібліятэк
 што яны робяць, у кожным аб'яўленні бібліятэка кажа
 "Хіба маё дадатак дазвол на атрыманне GPS месцазнаходжанне?"
 "О, гэта? Добра, скажыце мне размяшчэнне GPS."
 Кожны бібліятэка аб'яву робіць гэта,
 і калі дадатак не мае дазволу GPS
 ён не будзе мець магчымасць атрымаць яго, але калі гэта адбудзецца, гэта будзе атрымаць яго.
 Гэта дзе бізнэс-мадэль з рэкламы бібліятэк
 выступае супраць прыватнай жыцця карыстальніка.
 І там было даследаванні, што там будзе казаць, калі вы ведаеце, узрост
 чалавека, і вы ведаеце іх размяшчэнне
 дзе яны спяць па начах, таму што ў вас ёсць іх каардынаты GPS
 у той час як яны, магчыма, спіце, вы сапраўды ведаеце, хто гэты чалавек
 таму што вы можаце вызначыць, якія сябрам гэтай сям'і з'яўляецца тое, што чалавек.
 Сапраўды гэта вызначэнне для рэкламадаўцаў
 дакладна, хто вы ёсць, і, падобна, гэта было законна.
 Я проста хачу, каб мой струменевай музыкі, і гэта адзіны спосаб атрымаць яго.
 

Ну, мы схільныя гэтага.
 Мы напісалі гэта ў некалькіх паведамленняў у блогу,
 і аказалася, што хтосьці з часопіса Rolling Stone
 прачытаць адну з нашых блогах і напісаў свой уласны блог у Rolling Stone аб гэтым,
 і ўжо на наступны дзень Пандора думаў, што гэта была добрая ідэя
 для выдалення рэкламных бібліятэкі з іх прымянення.
 Наколькі я ведаю, што яны-яны толькі павінны рэкамендаваць.
 Я думаю, што яны толькі Freemium тып прыкладанне, якое зрабіў гэта.
 Усе астатнія Freemium прыкладанні маюць такое ж паводзіны,
 так што вы павінны думаць пра тое, якія дадзеныя вы даяце
 гэтыя Freemium прыкладання, таму што гэта ўсё збіраецца рэкламадаўцаў.
 Прэтарыянскай таксама правёў даследаванне аб падзяляем бібліятэк і сказаў:
 "Давайце паглядзім на тое, што дынамічныя бібліятэкі топ падзяляем бібліятэкі," і гэта было дадзеныя.
 

Яны прааналізавалі 53000 прыкладанняў,
 а лік 1 агульная бібліятэка была Admob.
 Гэта было на самай справе ў 38% прыкладанняў там,
 так 38% заявак, якія вы карыстаецеся
 , Верагодна, збіраючы вашу асабістую інфармацыю
 і адправіўшы яго на рэкламных сетак. Apache і Android былі 8% і 6%,
 а потым гэтыя астатнія ўніз, на дно, Аб'явы Google, Flurry,
 Моб Горад і тысячагадовай СМІ,
 усе гэтыя рэкламныя кампаніі, а затым, што цікава,
 4% звязана ў бібліятэцы Facebook
 верагодна, зрабіць аўтэнтыфікацыю праз Facebook
 так што прыкладанне можа ідэнтыфікаваць Facebook.
 Але гэта таксама азначае карпарацыю Facebook кантралюе код
 які працуе ў 4% Android мабільных прыкладанняў там,
 і яны маюць доступ да ўсіх дадзеных, што, што прыкладанне мае дазвол на атрыманне ст.
 Facebook сутнасці спрабуе прадаць месца для рэкламы.
 Гэта іх бізнес-мадэль.
 

Калі вы паглядзіце на ўсю гэтую экасістэму з гэтых дазволаў
 і падзяляем бібліятэкі вы пачынаеце бачыць, што
 ў вас ёсць шмат рызык у нібыта легітымнага прыкладання.
 Тое ж падобныя, што здарылася з Пандоры
 адбылося з дадаткам пад назвай Шлях,
 і Шлях думалі, што яны быўшы папераджальныя, добразычлівыя распрацоўшчыкі.
 Яны проста спрабавалі даць вам вялікае зручнасць для карыстальнікаў,
 і аказалася, што без запыту карыстальніка або інфармацыю карыстальніку, нічога-
 і гэта адбылося на мабільны і на Android,
 Пандора прыкладанне было на мабільны і Android-
 што ўжыванне Шлях схапіў ўсю вашу адрасную кнігу
 і загружаць яго на шляху, калі вы проста ўсталёўваецца і запуску прыкладання,
 і яны не расказаць вам пра гэта.
 Яны думалі, што гэта было сапраўды карысна для вас
 , Каб мець магчымасць падзяліцца з усімі людзьмі ў вашай адраснай кнізе
 што вы карыстаецеся дадатак Path.
 

Ну, відавочна Шлях думаў, што гэта было выдатным для сваёй кампаніі.
 Не настолькі выдатны для карыстальніка.
 Вы павінны думаць, што гэта адна справа, калі магчыма, падлетак
 выкарыстоўвае гэта дадатак і іх дзясяткі сяброў знаходзяцца там,
 але што, калі гэта генеральны дырэктар кампаніі, якая ўсталёўвае шлях
 а затым раптам іх ўсёй адраснай кнігі там?
 Вы збіраецеся атрымаць шмат патэнцыйна каштоўнага кантактную інфармацыю
 для многіх людзей.
 Рэпарцёр з New York Times, вы можаце быць у стане атрымаць нумар тэлефона
 для былых прэзідэнтаў з іх адраснай кнігі,
 так відавочна, шмат канфідэнцыйнай інфармацыі атрымлівае перадаюцца нешта накшталт гэтага.
 Быў такі вялікі лапік пра гэта, што шлях папрасіў прабачэння.
 Яны змянілі сваё прыкладанне, і гэта нават паўплывала Apple.
 Яблык сказаў: "Мы збіраемся, каб прымусіць прадаўцоў дадатак запытваць карыстальнікаў
 калі яны збіраюцца сабраць усю сваю адрасную кнігу ".
 

Падобна на тое, што адбываецца тут
 калі ёсць адна вялікая парушэнне прыватнасці, і гэта робіць прэсу
 мы бачым змены там.
 Але, вядома, ёсць іншыя рэчы там.
 Дадатак LinkedIn збірае запісаў календара,
 Але Apple не робіць карыстальнік будзе прапанавана пра гэта.
 Запісы календара можа мець канфідэнцыйную інфармацыю ў іх таксама.
 Дзе вы збіраецеся правесці рысу?
 Гэта сапраўды збольшага развіваецца месца
 дзе на самай справе няма дастаткова высокага ўзроўню там
 для карыстальнікаў, каб зразумець, калі іх інфармацыя будзе ў небяспецы
 і калі яны збіраюцца ведаю, што гэта вязуць.
 Мы напісалі дадатак на Veracode назвай Бывайце,
 і, па сутнасці гэта дазволіла вам паказаць прыкладанне ў каталогу ITunes
 і глядзець на ўсіх прыкладанняў, якія былі на зборы свой поўны адрасную кнігу.
 І як вы можаце бачыць у гэтым спісе тут, Angry Birds,
 AIM, AroundMe.
 Чаму Angry Birds каб адрасная кніга?
 Я не ведаю, але гэта робіць як-то.
 

Гэта тое, што многія, многія прыкладання зрабіць.
 Вы можаце праверыць код для гэтага.
 Там ў выразна пэўныя API-інтэрфейсы для IPhone, Android і BlackBerry
 каб атрымаць у адраснай кнізе.
 Вы сапраўды можаце лёгка праверыць для гэтага, і гэта тое, што мы зрабілі ў нашым дадатку Бывайце.
 Наступная катэгорыя, небяспечны Адчувальная захоўванне дадзеных,
 гэта тое, дзе распрацоўшчыкі ўзяць нешта накшталт штыфта або нумар рахунку
 або пароль і захоўваеце яго ў адкрытым выглядзе на прыладзе.
 Што яшчэ горш, яны могуць захоўваць гэта ў раёне, па тэлефоне
 якія глабальна даступны, як і SD-карты.
 Вы бачыце гэта часцей на Android, таму што Android дазваляе для SD-карты.
 Прылады IPhone няма.
 Але мы нават бачылі гэта адбылося ў дадатку Citigroup.
 Іх онлайн-банкінгу дадатак захоўваецца нумары рахункаў небяспечным,
 проста ў адкрытым выглядзе, так што калі вы страцілі ваш прыбор,
 па сутнасці вы страцілі ваш банкаўскі рахунак.
 Вось чаму я асабіста не рабіць стаўку на мой мабільны.
 Я думаю, што гэта занадта рызыкоўна прама зараз, каб зрабіць гэтыя віды дзейнасці.
 

Skype зрабіў тое ж самае.
 Skype, вядома, мае рэшту на рахунку, імя карыстальніка і пароль
 што доступ да гэтай баланс.
 Яны захоўвалі ўсю гэтую інфармацыю ў адкрытым выглядзе на мабільным прыладзе.
 У мяне ёсць некалькі прыкладаў тут стварэння файлаў
 , Якія не маюць права доступу або запісу на дыск
 а якія не маюць любую шыфравання здарыцца за гэта.
 Наступны вобласць, небяспечны Адчувальная Перадача дадзеных,
 Я намякнуў на гэта некалькі разоў, і з-за грамадскага Wi-Fi
 гэта тое, што прыкладанні абсалютна неабходна зрабіць,
 і гэта, верагодна, што мы бачым пайсці не так больш за ўсё. Я б сказаў,-на самай справе, я думаю, у мяне ёсць фактычныя дадзеныя,
 але гэта блізка да палове мабільных прыкладанняў
 завінціць робіць SSL.
 Яны проста не выкарыстоўваць API-інтэрфейсы правільна.
 Я маю на ўвазе, усё, што вам трэба зрабіць, гэта прытрымлівацца інструкцыям і выкарыстоўваць API-інтэрфейсы,
 але яны такія рэчы, як ня праверыць, ці ёсць несапраўдным пасведчанне на іншым канцы,
 ня праверыць, калі іншы канец спрабуе зрабіць пратакол нападаў на састарэлыя версіі.
 

Распрацоўнікі, яны хочуць, каб іх сцяжок, ці не так?
 Іх патрабаванне выкарыстоўваць гэта, каб прадаць. Яны выкарысталі гэта, каб прадаць.
 Патрабаванне не выкарыстоўваць гэта, каб прадаць надзейна,
 і вось чаму ўсё прыкладанні, якія выкарыстоўваюць SSL для абароны дадзеных
 як гэта перадаецца выключыць прыладу сапраўды павінны быць правераны
 каб пераканацца, што быў рэалізаваны правільна.
 А вось у мяне ёсць некалькі прыкладаў, дзе можна ўбачыць дадатак
 Магчыма, выкарыстоўваецца HTTP замест HTTPS.
 У некаторых выпадках прыкладання вернецца да HTTP
 калі HTTPS не працуе.
 У мяне ёсць яшчэ адзін выклік тут, на Android, дзе яны адключаная праверку сертыфіката,
 так атака чалавек-в-сярэдзіне можа здарыцца.
 Несапраўдны сертыфікат будзе прыняты.
 Усе гэтыя выпадкі, калі зламыснікі збіраюцца, каб мець магчымасць трапіць на
 тое ж самае Wi-Fi злучэнне, як карыстальніка і доступ да ўсіх дадзеных
 які адпраўляецца праз Інтэрнэт.
 

І, нарэшце, апошняя катэгорыя ў мяне ёсць вось жорстка пароль і ключы.
 Мы фактычна бачым шмат распрацоўнікаў выкарыстоўваць той жа стыль кадавання
 што яны зрабілі, калі яны будавалі прыкладанняў вэб-сервера,
 так яны будуюць сервернае прыкладанне Java, і яны кадуюцца ключ.
 Ну, калі вы ствараеце сервернае прыкладанне, ды,
 кадуюцца ключ з'яўляецца не вельмі добрая ідэя.
 Гэта робіць яго цяжка змяніць.
 Але гэта не так ужо дрэнна на боку сервера, таму што, хто мае доступ да баку сервера?
 Толькі адміністратары.
 Але калі ўзяць той жа код, і вы выліў яго на мабільным дадатку
 Цяпер кожны, хто мае, што мабільнае прыкладанне мае доступ да гэтага жорстка ключа,
 і мы сапраўды бачым гэта шмат разоў, і ў мяне ёсць некаторыя статыстычныя дадзеныя
 пра тое, як часта мы бачым гэта адбылося.
 Гэта на самай справе было ў прыкладзе кода, MasterCard, апублікаванай
 аб тым, як выкарыстоўваць свае паслугі.
 У прыкладзе кода паказаў, як вы б проста ўзяць пароль
 і пакласці яго ў жорстка радок прама там,
 і мы ведаем, як распрацоўшчыкі любяць капіяваць і ўстаўляць фрагменты кода
 калі яны спрабуюць нешта зрабіць, так што вы скапіяваць і ўставіць фрагмент кода
 што яны далі як прыклад кода, і ў вас ёсць небяспечны прыкладання.
 

А тут у нас ёсць некалькі прыкладаў.
 Гэта першы з'яўляецца адным мы бачым шмат, дзе яны жорстка
 права дадзеных у URL, які атрымлівае адпраўленыя.
 Часам мы бачым радок пароль = пароль.
 Гэта даволі лёгка выявіць, ці радок пароля на BlackBerry і Android.
 Гэта на самай справе даволі лёгка праверыць, таму што амаль заўсёды
 імёны распрацоўшчыкаў зменнай, трымае пароль
 некаторую змену пароля.
 Я згадаў, што мы робім статычны аналіз у Veracode,
 таму мы прааналізавалі некалькі сотняў Android і IOS прыкладанняў.
 Мы стварылі поўныя мадэлі іх, і мы ў стане сканаваць іх
 для розных уразлівасцяў, асабліва уразлівасцяў якіх я казаў,
 і ў мяне ёсць некаторыя дадзеныя тут.
 68,5% з праграмы, мы глядзелі на
 парушыў крыптаграфічны код,
 што для нас, мы не можам выявіць, калі вы зрабілі свой уласны працэдуру шыфравання,
 не тое што гэта добрая ідэя, але гэта на самай справе выкарыстоўвае апублікаваныя API,
 што на платформе, але робіць іх такім чынам
 што крыпта будуць ўразлівыя, 68.5.
 І гэта для людзей, якія пасылаюць нам свае заяўкі фактычна, таму што
 яны думаюць, што гэта добрая ідэя, каб зрабіць тэставанне бяспекі.
 Гэта ўжо людзі, якія, верагодна, думаў надзейна,
 так што, верагодна, нават горш.
 

Я не казаў аб кантрольнай лініі ўводу сыравіны.
 Гэта тое, што мы правяраем, але гэта не так рызыкоўна праблемай.
 Уцечка інфармацыі, гэта дзе канфідэнцыйныя дадзеныя адпраўкай прылада.
 Мы выявілі, што ў 40% прыкладанняў.
 Час і дзяржава, тыя пытанні, тыпу стан гонкі, як правіла, даволі жорсткія, каб эксплуатаваць,
 так што я не казаў пра гэта, але мы глядзелі на яго.
 23% былі праблемы SQL Injection.
 Шмат людзей не ведаюць, што шмат прыкладанняў
 выкарыстоўваць невялікую мала дадзеных SQL на іх задняй часткі для захоўвання дадзеных.
 Ну, калі дадзеныя, якія вы захопу па сетцы
 мае радкі атакі ін'екцыі SQL ў ім
 хто-то можа паставіць пад пагрозу прылада праз гэта,
 і таму я думаю, што мы знаходзім каля 40% вэб-прыкладанняў маюць гэтай праблемы,
 якая з'яўляецца велізарнай праблемай эпідэміі.
 Мы знаходзім яго 23% часу ў мабільных прыкладаннях
 і гэта, верагодна, таму, што многія іншыя вэб-прыкладанні выкарыстаюць SQL, чым з мабільнага.
 

А потым мы ўсё яшчэ бачым некаторыя межсайтовый скріптінга, пытанні аўтарызацыі,
 а затым Кіраваць рэгістрацыйнымі дадзенымі, вось дзе ў вас ёсць свой жорстка пароль.
 У 5% прыкладанняў мы бачым, што.
 А потым у нас ёсць некаторыя дадзеныя аб прашыўкай.
 81% былі праблемы апрацоўкі памылак. Гэта больш сур'ёзная праблема якасці кода,
 але 67% з іх крыптаграфічныя праблемы, таму не так дрэнна, як Android.
 Можа быць, API-інтэрфейсы з'яўляюцца крыху лягчэй, назвы коды трохі лепш на МА.
 Але ўсё роўна вельмі высокі адсотак.
 У нас было 54% ​​з ўцечкі інфармацыі,
 каля 30% з памылкамі кіравання буферам.
 Гэта месцы, дзе ёсць патэнцыйна можа быць пашкоджанне памяці.
 Аказваецца, гэта не так ужо вялікая праблема для эксплуатацыі
 на прашыўкай таму ўвесь код павінен быць падпісаны,
 так што цяжка зламысніку выканаць адвольны код на МА.
 Якасць код, праходжання каталогаў, але потым паўнамоцтвы кіравання тут, у 14,6%,
 так горш, чым на Android.
 У нас ёсць людзі, правільна не з дапамогай пароля.
 А потым лічбавыя памылкі і перапаўненне буфера,
 тыя больш будзе пытанні якасці кода на IOS.
 

Што гэта было для маёй прэзентацыі. Я не ведаю, калі мы па-за часам ці не.
 Я не ведаю, ці ёсць якія-небудзь пытанні.
 [Мужчына] хуткі пытанне вакол фрагментацыі і Android Market.
 Яблык, па меншай меры валодае выпраўленняў.
 Яны робяць добрую працу па атрыманні яго там, у той час як у меншай ступені, у Android прасторы.
 Вы амаль павінны зрабіць джейлбрейк вашага тэлефона каб быць у курсе
 з бягучай версіяй Android.
 Так, гэта велізарная праблема і таму, калі вы думаеце пра-
 [Мужчына] Чаму вы не можаце паўтарыць?
 

О, дакладна, так што пытанне было наконт фрагментацыі
 аперацыйнай сістэмы на платформе Андроід?
 Як гэта ўплывае на рызыкоўнасць гэтых прылад?
 І на самай справе гэта велізарная праблема, таму што тое, што адбываецца,
 старэйшыя прылады, калі хтосьці прыходзіць з джейлбрейк для гэтага прылады,
 па сутнасці, гэта павышэнне прывілеяў, і, пакуль што аперацыйная сістэма не абнаўляецца
 любая шкоднасная праграма можа выкарыстоўваць гэтую ўразлівасць, каб цалкам скампраметаваць прылада,
 і што мы бачым на Android з'яўляецца, каб атрымаць новую аперацыйную сістэму
 Google мае патушыць аперацыйную сістэму, а затым да вытворцы абсталявання
 павінен наладзіць яго, а затым перавозчык павінен наладзіць яго і даставіць яго.
 У вас ёсць у асноўным 3 рухаюцца частак тут,
 і гэта, аказваецца, што носьбіты не хвалюе,
 і вытворцы абсталявання не хвалюе, і Google не падштурхоўваючы іх досыць
 нічога рабіць, таму па сутнасці больш за палову прылад там
 ёсць аперацыйныя сістэмы, якія маюць гэтыя прывілеяў ўразлівасці ў іх,
 і таму, калі вы атрымліваеце шкоднасных праграм на вашым Android прыладзе гэта значна больш сур'ёзная праблема.
 

Добра, дзякуй вам вялікае.
 [Апладысменты]
 [CS50.TV]