1
00:00:00,000 --> 00:00:02,610
>> [সেমিনার] [ডিভাইস বিহাইন্ড রক্ষার: মোবাইল এপ্লিকেশন নিরাপত্তা]

2
00:00:02,610 --> 00:00:04,380
[ক্রিস Wysopal] [হার্ভার্ড বিশ্ববিদ্যালয়]

3
00:00:04,380 --> 00:00:07,830
[এটি CS50.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> গুড বিকালে. আমার নাম ক্রিস Wysopal হয়.

5
00:00:10,360 --> 00:00:13,360
আমি CTO এবং Veracode এর সহ প্রতিষ্ঠাতা আছি.

6
00:00:13,360 --> 00:00:15,880
Veracode একটি আবেদন নিরাপত্তা কোম্পানী.

7
00:00:15,880 --> 00:00:18,230
আমরা বিভিন্ন অ্যাপ্লিকেশন সব ধরণের পরীক্ষা,

8
00:00:18,230 --> 00:00:25,060
এবং কি আমি আজ কথা বলার যাচ্ছি মোবাইল অ্যাপ্লিকেশন নিরাপত্তার হয়.

9
00:00:25,060 --> 00:00:28,630
আমার ব্যাকগ্রাউন্ড আমি নিরাপত্তা গবেষণার কাজ করছি হয়

10
00:00:28,630 --> 00:00:31,970
একটি খুব দীর্ঘ সময়ের জন্য, সম্ভবত যতদিন কেহ হিসাবে প্রায়.

11
00:00:31,970 --> 00:00:35,000
আমি মধ্য 90s মধ্যে শুরু,

12
00:00:35,000 --> 00:00:37,370
এবং এটি বেশ আকর্ষণীয় ছিল যে একটা সময় ছিল, কারণ

13
00:00:37,370 --> 00:00:39,220
আমরা মধ্য 90s একটি দৃষ্টান্ত পরিবর্তন ছিল.

14
00:00:39,220 --> 00:00:43,520
হঠাৎ সকলের কম্পিউটারে সকল ইন্টারনেটের সাথে লাগানো ছিল,

15
00:00:43,520 --> 00:00:46,550
এবং তারপর আমরা ওয়েব অ্যাপ্লিকেশন এর সূত্রপাত হয়েছে,

16
00:00:46,550 --> 00:00:49,330
এবং যে আমি তখন অনেক উপর নিবদ্ধ কি.

17
00:00:49,330 --> 00:00:51,160
এটা আকর্ষণীয়.

18
00:00:51,160 --> 00:00:53,930
এখন আমরা, কম্পিউটিং সঙ্গে ঘটছে আরেকটি দৃষ্টান্ত পরিবর্তন আছে

19
00:00:53,930 --> 00:00:58,710
যা মোবাইল অ্যাপ্লিকেশন থেকে স্থানান্তর করে.

20
00:00:58,710 --> 00:01:03,680
>> আমি এটা তাহলে এটি দেরী 90s মধ্যে ছিল একটি অনুরূপ সময়ের ধরনের বোধ

21
00:01:03,680 --> 00:01:07,650
আমরা ওয়েব অ্যাপ্লিকেশন তদন্ত ও মত অপূর্ণতা ফাইন্ডিং ছিল

22
00:01:07,650 --> 00:01:11,800
সেশন ব্যবস্থাপনা ত্রুটি এবং এসকিউএল ইনজেকশন

23
00:01:11,800 --> 00:01:14,940
যা সত্যিই আগে অস্তিত্ব ছিলো না, এবং হঠাৎ সব তারা সর্বত্র ছিল

24
00:01:14,940 --> 00:01:19,360
ওয়েব অ্যাপ্লিকেশনের ক্ষেত্রে, এবং এখন আমি ব্যয় অনেক সময়

25
00:01:19,360 --> 00:01:27,950
মোবাইল অ্যাপ্লিকেশন এ খুঁজছেন এবং বন্য মধ্যে আউট আছে কি করছেন এ খুঁজছেন হয়.

26
00:01:27,950 --> 00:01:32,060
মোবাইল অ্যাপ্লিকেশন সত্যিই প্রভাবশালী কম্পিউটিং প্ল্যাটফর্ম হতে যাচ্ছে,

27
00:01:32,060 --> 00:01:35,060
তাই আমরা সত্যিই আপনি নিরাপত্তা শিল্পে হন তাহলে অনেক সময় ব্যয় করতে হবে

28
00:01:35,060 --> 00:01:39,280
ওয়েব অ্যাপ্লিকেশন উপর মনোযোগ নিবদ্ধ করে.

29
00:01:39,280 --> 00:01:43,420
2011 সালে ডাউনলোড করা 29 বিলিয়ন মোবাইল অ্যাপস ছিল.

30
00:01:43,420 --> 00:01:47,920
এটা 2014 দ্বারা 76 বিলিয়ন অ্যাপ্লিকেশান হতে পূর্বাভাস এর.

31
00:01:47,920 --> 00:01:54,040
এই বছর ক্রয় করা যাচ্ছে যে 686 মিলিয়ন ডিভাইস আছে,

32
00:01:54,040 --> 00:01:57,060
মানুষ কাজ করা যাচ্ছে যেখানে তাই এই হল

33
00:01:57,060 --> 00:01:59,600
 তাদের ক্লায়েন্ট কম্পিউটিং সংখ্যাগরিষ্ঠ এগিয়ে নিয়ে যাওয়া.

34
00:01:59,600 --> 00:02:04,220
>> আমি বিশ্বস্ততা বিনিয়োগ এ ভাইস প্রেসিডেন্ট করার কথা বলা হয়েছিল

35
00:02:04,220 --> 00:02:08,780
কয়েক মাস আগে, এবং তিনি শুধু তারা আরো ট্রাফিক দেখেছি বলেন

36
00:02:08,780 --> 00:02:12,610
তাদের গ্রাহক বেস থেকে আর্থিক লেনদেন করছেন

37
00:02:12,610 --> 00:02:16,230
তাদের ওয়েবসাইটে তুলনায় তাদের মোবাইল অ্যাপ্লিকেশন উপর,

38
00:02:16,230 --> 00:02:20,610
তাই অতীতে ওয়েব জন্য সাধারণ ব্যবহারের হয়েছে

39
00:02:20,610 --> 00:02:23,800
,, আপনার স্টক কোট চেক আপনার পোর্টফোলিও ব্যবস্থাপনা

40
00:02:23,800 --> 00:02:28,060
এবং আসলে আমরা ধরে 2012 সুইচ এ যে দেখছি

41
00:02:28,060 --> 00:02:30,960
মোবাইল প্ল্যাটফর্মে আরো প্রভাবশালী হতে.

42
00:02:30,960 --> 00:02:34,530
কোনো অপরাধমূলক কার্যকলাপ করা আছে যাচ্ছে অবশ্যই যদি,

43
00:02:34,530 --> 00:02:38,900
কোনো অনিষ্টকারী কার্যকলাপ, এটা মোবাইল প্ল্যাটফর্মের উপর নিবদ্ধ করা শুরু করতে যাচ্ছে

44
00:02:38,900 --> 00:02:44,210
মানুষ যে উপর সুইচ সময়ের হিসাবে.

45
00:02:44,210 --> 00:02:48,320
আপনি মোবাইল প্ল্যাটফর্ম তাকান,

46
00:02:48,320 --> 00:02:54,380
এটি বিভিন্ন স্তর সেটিকে ভেঙ্গে দরকারী প্ল্যাটফর্ম ঝুঁকি তাকান,

47
00:02:54,380 --> 00:02:59,010
আপনি একটি ডেস্কটপ কম্পিউটারে এটা করতে হবে, ঠিক মত

48
00:02:59,010 --> 00:03:02,860
এবং আপনি বিভিন্ন স্তর, সফটওয়্যার, অপারেটিং সিস্টেম, আমার মনে হয়

49
00:03:02,860 --> 00:03:07,730
নেটওয়ার্ক লেয়ার, হার্ডওয়্যার স্তর, এবং অবশ্যই, ঐ সমস্ত স্তর নেভিগেশন দুর্বলতা আছে.

50
00:03:07,730 --> 00:03:10,510
>> একই জিনিস মোবাইল উপর ঘটবে.

51
00:03:10,510 --> 00:03:14,880
কিন্তু মোবাইল, এটা ঐ স্তর কিছু বন্ধ আরও খারাপ হয় বলে মনে হয়.

52
00:03:14,880 --> 00:03:19,840
কিন্তু, নেটওয়ার্ক লেয়ার মোবাইল উপর আরো সমস্যাযুক্ত

53
00:03:19,840 --> 00:03:25,650
মানুষ অনেক তাদের অফিসে বা বাড়িতে আছে, কারণ

54
00:03:25,650 --> 00:03:30,780
সংযোগ ওয়্যার্ড বা তারা সুরক্ষিত ওয়াই ফাই সংযোগ আছে,

55
00:03:30,780 --> 00:03:36,530
এবং মোবাইল ডিভাইস অনেক সঙ্গে আপনি বাড়ির বাইরে স্পষ্টত করছি

56
00:03:36,530 --> 00:03:40,520
অথবা অনেক অফিসের বাইরে, এবং আপনি ওয়াই ফাই ব্যবহার করছেন সেখানে

57
00:03:40,520 --> 00:03:42,820
আপনি যদি একটি অনিরাপদ ওয়াই ফাই সংযোগ ব্যবহার করা হতে পারে,

58
00:03:42,820 --> 00:03:45,570
একটি পাবলিক ওয়াই ফাই সংযোগ কিছু যে,

59
00:03:45,570 --> 00:03:48,840
আমরা মোবাইল অ্যাপস সম্পর্কে চিন্তা করার সময় তাই আমরা বিবেচনা করতে হবে

60
00:03:48,840 --> 00:03:53,770
নেটওয়ার্ক পরিবেশের ঐ অ্যাপ্লিকেশনের জন্য প্রতিকীভাবে ঝুঁকিপূর্ণ যে

61
00:03:53,770 --> 00:03:57,640
ওয়াই ফাই ব্যবহৃত হচ্ছে না.

62
00:03:57,640 --> 00:04:02,410
এবং আমি মোবাইল অ্যাপ্লিকেশন ঝুঁকি বেশি করে পেতে হলে

63
00:04:02,410 --> 00:04:04,910
যে বেশি গুরুত্বপূর্ণ কেন আপনি দেখতে পাবেন.

64
00:04:04,910 --> 00:04:09,710
মোবাইল ডিভাইসের হার্ডওয়্যার পর্যায়ে ঝুঁকি আছে.

65
00:04:09,710 --> 00:04:11,670
এই চলমান গবেষণার একটি এলাকা.

66
00:04:11,670 --> 00:04:15,910
মানুষ এই ব্রডব্যান্ড আক্রমণ বা baseband হামলার কল

67
00:04:15,910 --> 00:04:21,870
আপনি রেডিওতে শোনা যে ফার্মওয়্যার আক্রমণ করছি যেখানে.

68
00:04:21,870 --> 00:04:25,430
>> এই সত্যিই ভয়ের হামলার কারণ

69
00:04:25,430 --> 00:04:27,280
ব্যবহারকারী কিছু করতে হবে তা নয়.

70
00:04:27,280 --> 00:04:30,760
আপনি আরএফ পরিসীমা মধ্যে ডিভাইস প্রচুর আঘাত করতে পারেন

71
00:04:30,760 --> 00:04:36,690
একযোগে, এবং এটি এই গবেষণা আপ বুদবুদ যখনই মত মনে হয়

72
00:04:36,690 --> 00:04:40,750
এটি দ্রুত যেখানে শ্রেণীবদ্ধ পরার

73
00:04:40,750 --> 00:04:46,600
মানুষ চারপাশে মধ্যে ছোঁ এবং বলে, "এখানে, যে সম্পর্কে আমাদের বলুন, এবং এটি সম্পর্কে কথা বলা বন্ধ করুন."

74
00:04:46,600 --> 00:04:49,460
ব্রডব্যান্ড এলাকায় যাওয়া কিছু গবেষণা আছে,

75
00:04:49,460 --> 00:04:51,980
কিন্তু এটা খুবই নিস্তব্ধতা নিস্তব্ধতা বলে মনে হয়.

76
00:04:51,980 --> 00:04:56,910
আমি এটা ঘটছে যে গবেষণার একটি জাতি রাষ্ট্র ধরনের আরো মনে করি.

77
00:04:56,910 --> 00:05:02,140
সক্রিয় গবেষণা এলাকা, যদিও, অপারেটিং সিস্টেম স্তর হল,

78
00:05:02,140 --> 00:05:08,910
এবং আবার, এই ডেস্কটপ কম্পিউটিং বিশ্বের চেয়ে ভিন্ন

79
00:05:08,910 --> 00:05:14,840
মোবাইল স্থান আপনি Jailbreakers বলা মানুষের এই দল আছে, কারণ

80
00:05:14,840 --> 00:05:18,670
এবং Jailbreakers নিয়মিত দুর্বলতার গবেষকরা চেয়ে ভিন্ন.

81
00:05:18,670 --> 00:05:21,970
তারা অপারেটিং সিস্টেমে দুর্বলতা খুঁজে বের করার চেষ্টা করছেন

82
00:05:21,970 --> 00:05:27,000
কিন্তু তারা দুর্বলতা খুঁজে বের করার চেষ্টা করছি কারণ হয় না

83
00:05:27,000 --> 00:05:31,810
অন্য কারো মেশিনে বিরতি এবং এটি আপোষ.

84
00:05:31,810 --> 00:05:34,280
এটা তাদের নিজস্ব কম্পিউটার শ্রেনীবদ্ধ যাও এর.

85
00:05:34,280 --> 00:05:38,820
তারা তাদের নিজস্ব মোবাইল খণ্ড করতে চান >> তাদের নিজস্ব মোবাইল অপারেটিং সিস্টেম পরিবর্তন

86
00:05:38,820 --> 00:05:41,050
তারা তাদের পছন্দের অ্যাপ্লিকেশন চালাতে পারেন যাতে

87
00:05:41,050 --> 00:05:44,510
এবং পূর্ণ প্রশাসনিক অনুমতিসহ জিনিস পরিবর্তন,

88
00:05:44,510 --> 00:05:49,050
এবং তারা এই বিষয়ে বিক্রেতা বলতে চাই না.

89
00:05:49,050 --> 00:05:52,960
তারা একটি সাদা টুপি নিরাপত্তা গবেষক যা একটি নিরাপত্তা গবেষক পছন্দ করছি না

90
00:05:52,960 --> 00:05:56,600
দায়ী প্রকাশ করবেন এবং তা সম্পর্কে বিক্রেতার বলতে যাচ্ছে যা.

91
00:05:56,600 --> 00:06:01,270
তারা এই গবেষণা কাজ করতে চান, এবং তারা আসলে প্রকাশ করলাম চাই

92
00:06:01,270 --> 00:06:06,400
একটি কাজে লাগান বা একটি rootkit অথবা একটি Jailbreak কোড,

93
00:06:06,400 --> 00:06:10,010
এবং তারা ডান পরে মত, কৌশলগতভাবে এটি কাজ করতে চান

94
00:06:10,010 --> 00:06:13,570
বিক্রেতা জাহাজ নতুন অপারেটিং সিস্টেম.

95
00:06:13,570 --> 00:06:16,350
আপনি এই adversarial সম্পর্ক আছে

96
00:06:16,350 --> 00:06:19,000
মোবাইল ওএস পর্যায়ের দুর্বলতা সঙ্গে,

97
00:06:19,000 --> 00:06:23,150
আমি বেশ আকর্ষণীয় মনে হয়, এবং এক জায়গায় আমরা এটি দেখতে যা

98
00:06:23,150 --> 00:06:29,210
ভাল কাজে লাগান প্রকাশিত কোড আছে আছে যাতে এটা তোলে হয়

99
00:06:29,210 --> 00:06:31,750
কার্নেল পর্যায়ের দুর্বলতা জন্য,

100
00:06:31,750 --> 00:06:35,040
এবং আমরা আসলে ম্যালওয়্যার লেখক দ্বারা ব্যবহার করা ঐ দেখা করেছি.

101
00:06:35,040 --> 00:06:38,450
এটা পিসি বিশ্বের তুলনায় সামান্য কিছুটা আলাদা.

102
00:06:38,450 --> 00:06:42,530
এবং তারপর চূড়ান্ত স্তর উপরের স্তর, আবেদন স্তর.

103
00:06:42,530 --> 00:06:45,250
আমি আজ কথা বলার যাচ্ছি কি.

104
00:06:45,250 --> 00:06:48,970
>> অন্যান্য স্তর বিদ্যমান, এবং অন্যান্য পরত তা বাজাতে

105
00:06:48,970 --> 00:06:53,310
কিন্তু আমি বেশিরভাগ অ্যাপ্লিকেশন লেয়ার এ কি করছেন সম্পর্কে কথা বলতে যাচ্ছি

106
00:06:53,310 --> 00:06:55,560
কোড স্যান্ডবক্স চলমান যেখানে.

107
00:06:55,560 --> 00:06:58,670
এটা প্রশাসনিক বিশেষাধিকার নেই.

108
00:06:58,670 --> 00:07:02,170
এটা ডিভাইসের API গুলি ব্যবহার করা হয়েছে,

109
00:07:02,170 --> 00:07:06,970
কিন্তু এখনও, দূষিত কার্যকলাপের অনেক এবং ঝুঁকি অনেক যে লেয়ার এ ঘটতে পারে

110
00:07:06,970 --> 00:07:09,220
যে সমস্ত তথ্য যেখানে স্তর কারণ.

111
00:07:09,220 --> 00:07:12,330
এপস ডিভাইসের সকল তথ্য অ্যাক্সেস করতে পারেন

112
00:07:12,330 --> 00:07:15,390
তারা সঠিক অনুমতি আছে,

113
00:07:15,390 --> 00:07:17,540
এবং তারা ডিভাইসে বিভিন্ন সেন্সর ব্যবহার করতে পারবেন,

114
00:07:17,540 --> 00:07:23,950
জিপিএস সেন্সর, মাইক্রোফোন, ক্যামেরা, আপনি কি.

115
00:07:23,950 --> 00:07:27,380
আমরা শুধুমাত্র অ্যাপ্লিকেশন লেয়ার এ বিষয়ে কথা বলছি যদিও

116
00:07:27,380 --> 00:07:33,700
আমরা সেখানে ঝুঁকি অনেক আছে.

117
00:07:33,700 --> 00:07:38,450
মোবাইল পরিবেশ সম্পর্কে আলাদা যে অন্যান্য জিনিস

118
00:07:38,450 --> 00:07:45,060
সব অপারেটিং সিস্টেম খেলোয়াড়, এটা হতে হয় ব্ল্যাকবেরি বা অ্যান্ড্রয়েড

119
00:07:45,060 --> 00:07:53,410
বা iOS বা উইন্ডোজ মোবাইল, তারা সব, একটি সূক্ষ্ম খসখসে অনুমতি মডেল আছে

120
00:07:53,410 --> 00:07:56,990
এবং এই তারা অপারেটিং সিস্টেমের মধ্যে নির্মিত উপায় যে এক

121
00:07:56,990 --> 00:08:01,230
এটা আপনার মনে যত ঝুঁকিপূর্ণ নয় যে ধারণা.

122
00:08:01,230 --> 00:08:04,550
আপনি সেখানে আপনার সব পরিচিতি আছে যদিও, আপনার সকল ব্যক্তিগত তথ্য,

123
00:08:04,550 --> 00:08:09,080
আপনি আপনার ছবি আছে, আপনি সেখানে আপনার অবস্থান আছে

124
00:08:09,080 --> 00:08:14,820
আপনি সেখানে নেভিগেশন অটো লগইন জন্য আপনার ব্যাংক পিন সংরক্ষণ করছেন, এটি নিরাপদ, কারণ

125
00:08:14,820 --> 00:08:19,430
অ্যাপ্লিকেশান নির্দিষ্ট অংশে এ পেতে নির্দিষ্ট অনুমতি আছে

126
00:08:19,430 --> 00:08:25,080
ডিভাইসের তথ্য, এবং ব্যবহারকারীর প্রদর্শন করা হয়েছে

127
00:08:25,080 --> 00:08:29,230
এই অনুমতি ও অনুমোদন না.

128
00:08:29,230 --> 00:08:32,590
>> এটি দিয়ে সমস্যা সবসময় ব্যবহারকারী হল ঠিক বলেছেন.

129
00:08:32,590 --> 00:08:35,240
একটি নিরাপত্তা ব্যক্তি হিসাবে, আমি আপনার ব্যবহারকারী অনুরোধ জানানো যাবে জানি,

130
00:08:35,240 --> 00:08:40,100
খুব খারাপ কিছু ঘটতে যাচ্ছে বলে, আপনি এটা ঘটতে করতে চান?

131
00:08:40,100 --> 00:08:44,680
এবং তারা একটি ব্যস্ত থাকেন বা যে অন্য দিকে সত্যিই enticing কিছু আছে যদি,

132
00:08:44,680 --> 00:08:47,760
মত একটি খেলা, তারা জন্য অপেক্ষা করেছি যে ইনস্টল করা হবে

133
00:08:47,760 --> 00:08:50,860
তারা ঠিক আছে ক্লিক করুন চলুন.

134
00:08:50,860 --> 00:08:56,630
আমি শুধু আমার ইতিমধ্যে শূকর এ পাখি ছুড়ে ফেলা যাক এখানে আমার স্লাইডে বলতে এটা কেন, এর

135
00:08:56,630 --> 00:09:03,150
এবং আপনি একটি ব্ল্যাকবেরি অনুমতি বাক্সের উদাহরণ আছে এখানে স্লাইডে দেখতে পারেন.

136
00:09:03,150 --> 00:09:05,990
এটা "ব্ল্যাকবেরি পর্যটন আবেদন অনুমতি সেট করুন বলছেন

137
00:09:05,990 --> 00:09:09,720
, নিচের বাটনে ক্লিক করে "এবং মূলত ব্যবহারকারীর ঠিক বলতে হবে পরে

138
00:09:09,720 --> 00:09:12,240
অনুমতি সেট এবং সংরক্ষণ করুন.

139
00:09:12,240 --> 00:09:18,010
এখানে জিনিষ দেখায় যেখানে একটি Android প্রম্পট আছে,

140
00:09:18,010 --> 00:09:20,260
এবং এটি আসলে প্রায় একটি সতর্কবার্তা মত কিছু রাখে.

141
00:09:20,260 --> 00:09:25,090
এটা সেখানে ফলন সাইন বলছে নেটওয়ার্ক যোগাযোগ, ফোন কল কেমন পেয়েছিলাম

142
00:09:25,090 --> 00:09:28,120
কিন্তু ব্যবহারকারীর অধিকার, ইনস্টল ক্লিক করুন যাচ্ছে?

143
00:09:28,120 --> 00:09:32,940
এবং তারপর আপেল এক সম্পূর্ণ নির্দোষ হয়.

144
00:09:32,940 --> 00:09:34,300
এটা সতর্কবার্তা যে কোন ধরণের দেয় না.

145
00:09:34,300 --> 00:09:37,380
এটা আপেল আপনার বর্তমান অবস্থান ব্যবহার করতে চান ঠিক আছে.

146
00:09:37,380 --> 00:09:39,670
অবশ্যই আপনি ঠিক আছে ক্লিক করুন চলুন.

147
00:09:39,670 --> 00:09:42,260
>> এই সূক্ষ্মভাবে খসখসে অনুমতি মডেল, নেই

148
00:09:42,260 --> 00:09:45,890
এবং Apps তারা ঘোষণা যেখানে একটি তালিকা ফাইল আছে

149
00:09:45,890 --> 00:09:49,410
, অনুমতি তারা প্রয়োজন, এবং যে ব্যবহারকারীকে প্রদর্শন করা হবে

150
00:09:49,410 --> 00:09:53,480
এবং ব্যবহারকারীর আমি এই অনুমতি প্রদান বলার আছে হবে.

151
00:09:53,480 --> 00:09:55,080
কিন্তু এর সৎ হস্তক্ষেপ না করা.

152
00:09:55,080 --> 00:09:58,400
ব্যবহারকারীরা শুধু সবসময় ঠিক আছে বলে যাচ্ছে.

153
00:09:58,400 --> 00:10:04,460
এর এই অ্যাপ্লিকেশনগুলি জন্য জিজ্ঞাসা করা হয় যে অনুমতি সময়ে দ্রুত কটাক্ষপাত

154
00:10:04,460 --> 00:10:06,850
এবং আছে অনুমতি কিছু.

155
00:10:06,850 --> 00:10:09,950
এই কোম্পানী উক্ত ম্যাজিসট্রেটের সমপদমর্যাদাসম্পন্ন গত বছর একটি জরিপ করেছিল

156
00:10:09,950 --> 00:10:14,170
অ্যানড্রইড বাজার এবং 3rd পার্টি বাজারের বিশ্লেষণ 53,000 অ্যাপ্লিকেশন,

157
00:10:14,170 --> 00:10:16,770
তাই এই সব অ্যান্ড্রয়েড হয়.

158
00:10:16,770 --> 00:10:19,670
এবং গড় অ্যাপ্লিকেশন 3 অনুমতির অনুরোধ.

159
00:10:19,670 --> 00:10:23,370
কিছু Apps 117 অনুমতির অনুরোধ,

160
00:10:23,370 --> 00:10:27,480
তাই সম্ভবত এই বোঝার একটি ব্যবহারকারীর জন্য খসখসে এবং উপায় খুব জটিল খুব জরিমানা

161
00:10:27,480 --> 00:10:31,600
তারা এই 117 অনুমতির প্রয়োজন যে এই app এর সঙ্গে উপস্থাপন করছি.

162
00:10:31,600 --> 00:10:37,270
এটা 45 পৃষ্ঠা দীর্ঘ যে এর শেষ ইউজার লাইসেন্স এগ্রিমেন্ট মত.

163
00:10:37,270 --> 00:10:40,240
হয়তো শীঘ্রই তারা এটা মত আছে যেখানে একটি অপশন পাবেন

164
00:10:40,240 --> 00:10:43,100
অনুমতি প্রিন্ট এবং আমাকে একটি ইমেইল পাঠান.

165
00:10:43,100 --> 00:10:45,480
>> কিন্তু আপনি উপরের আকর্ষণীয় অনুমতি কিছু তাকান

166
00:10:45,480 --> 00:10:50,840
তারা 53,000 বাইরে ডাউনলোড করা যে Apps এর 24%

167
00:10:50,840 --> 00:10:57,230
ডিভাইস থেকে অনুরোধ জিপিএস তথ্য.

168
00:10:57,230 --> 00:10:59,810
8% যোগাযোগ পড়া.

169
00:10:59,810 --> 00:11:03,770
4% এসএমএস পাঠানো, এবং 3% এসএমএস পেয়েছি.

170
00:11:03,770 --> 00:11:07,730
2% অডিও রেকর্ড.

171
00:11:07,730 --> 00:11:11,210
1% বহির্গামী কল প্রসেস করা.

172
00:11:11,210 --> 00:11:13,140
আমি জানি না.

173
00:11:13,140 --> 00:11:17,520
আমি অ্যাপ স্টোর Apps এর 4% সত্যিই এসএমএস টেক্সট বার্তা পাঠাতে হবে মনে করি না

174
00:11:17,520 --> 00:11:21,410
তাই আমি যে অপ্রীতিকর কিছু নেভিগেশন যাচ্ছে যে ইঙ্গিত মনে করি.

175
00:11:21,410 --> 00:11:24,350
Apps এর 8% আপনার পরিচিতি তালিকা পড়া প্রয়োজন.

176
00:11:24,350 --> 00:11:26,510
এটা সম্ভবত প্রয়োজনীয় নয়.

177
00:11:26,510 --> 00:11:30,990
অনুমতি সম্পর্কে অন্যান্য আকর্ষণীয় বিষয় হল যে হয়

178
00:11:30,990 --> 00:11:36,740
আপনি আপনার অ্যাপ্লিকেশান এ ভাগ লাইব্রেরি সংযুক্ত আছে, যদি

179
00:11:36,740 --> 00:11:39,780
ঐ আবেদনের অনুমতি উত্তরাধিকারী,

180
00:11:39,780 --> 00:11:46,570
তাই আপনার অ্যাপ্লিকেশন পরিচিতি তালিকা চাহিদা বা ফাংশন GPS অবস্থান প্রয়োজন হলে

181
00:11:46,570 --> 00:11:49,940
এবং আপনি উদাহরণস্বরূপ, একটি বিজ্ঞাপন লাইব্রেরি সংযুক্ত আছে,

182
00:11:49,940 --> 00:11:53,170
যে বিজ্ঞাপন গ্রন্থাগারের এছাড়াও যোগাযোগ অ্যাক্সেস করতে পারবেন

183
00:11:53,170 --> 00:11:57,630
এবং GPS অবস্থান অ্যাক্সেস করতে পারবেন,

184
00:11:57,630 --> 00:12:01,990
এবং অ্যাপ্লিকেশন ডেভেলপার বিজ্ঞাপন লাইব্রেরি চলমান যে কোড সম্পর্কে কিছুই জানেন.

185
00:12:01,990 --> 00:12:05,370
তারা তাদের অ্যাপ্লিকেশন নগদীকরণ করতে চান, কারণ তারা শুধু যে লিঙ্ক করছি.

186
00:12:05,370 --> 00:12:09,820
>> এই যেখানে-ও হল আমার সাথে এই কিছু উদাহরণ সম্পর্কে কথা বলতে পারবেন

187
00:12:09,820 --> 00:12:13,930
আশার নামক একটি অ্যাপ্লিকেশন যেখানে একটি অ্যাপ্লিকেশন ডেভেলপার

188
00:12:13,930 --> 00:12:18,910
অনিচ্ছাকৃতভাবে তথ্য লিক হতে পারে

189
00:12:18,910 --> 00:12:24,580
তাদের ব্যবহারকারীদের কাছ থেকে, কারণ তারা এখনো সদস্য লিঙ্ক করেছি লাইব্রেরি

190
00:12:24,580 --> 00:12:30,110
সব বিভিন্ন অ্যাপ্লিকেশান এ খুঁজছেন, সেখানে আউট আড়াআড়ি সমীক্ষা

191
00:12:30,110 --> 00:12:34,310
দূষিত বা এরকম কিছু ব্যবহারকারীদের চায় নি হিসাবে খবর রিপোর্ট করা হয়েছে

192
00:12:34,310 --> 00:12:39,360
এবং তারপর অনেক পরিদর্শন অ্যাপ্লিকেশান-আমরা, মোবাইল অ্যাপস নেভিগেশন স্ট্যাটিক বাইনারি বিশ্লেষণ অনেক কাজ

193
00:12:39,360 --> 00:12:42,010
তাই আমরা তাদের পরীক্ষা এবং কোড দিকে তাকিয়ে করেছি নিজেই-

194
00:12:42,010 --> 00:12:49,640
আমরা আমরা অ্যাপ্লিকেশনের ক্ষেত্রে ঝুঁকিপূর্ণ আচরণ আমাদের শীর্ষ 10 তালিকা কল কি নিয়ে এসেছেন.

195
00:12:49,640 --> 00:12:54,180
এবং এটা, 2 বিভাগে, অনিষ্টকারী কোড বিভাজিত হচ্ছে

196
00:12:54,180 --> 00:12:57,600
তাই এই অ্যাপ্লিকেশনগুলি করছেন হতে পারে যে খারাপ জিনিস আছে যেগুলি

197
00:12:57,600 --> 00:13:06,520
একটি বিদ্বেষপূর্ণ পৃথক কিছু হতে পারে

198
00:13:06,520 --> 00:13:10,060
বিশেষভাবে আবেদন স্থাপন করা, কিন্তু এটি একটি সামান্য বিট অস্পষ্ট এর করেনি.

199
00:13:10,060 --> 00:13:13,300
এটি একটি ডেভেলপার জরিমানা মনে করে যে কিছু হতে পারে

200
00:13:13,300 --> 00:13:16,350
কিন্তু এটি ব্যবহারকারী দ্বারা হিসাবে দূষিত চিন্তা হচ্ছে শেষ পর্যন্ত.

201
00:13:16,350 --> 00:13:19,830
>> এবং তারপর দ্বিতীয় বিভাগে আমরা দুর্বলতা কোডিং কল কি,

202
00:13:19,830 --> 00:13:24,600
এবং এই ডেভেলপার মূলত ভুল তৈরীর যেখানে জিনিস

203
00:13:24,600 --> 00:13:27,200
বা শুধু নিরাপদভাবে অ্যাপ্লিকেশন লিখতে কিভাবে বুঝতে না,

204
00:13:27,200 --> 00:13:30,260
 এবং যে ঝুঁকির মধ্যে অ্যাপ্লিকেশন ব্যবহারকারী নির্বাণ এর.

205
00:13:30,260 --> 00:13:34,060
আমি বিস্তারিতভাবে এই মধ্য দিয়ে যেতে এবং কিছু উদাহরণ দিতে যাচ্ছি.

206
00:13:34,060 --> 00:13:39,620
রেফারেন্সের জন্য, আমি OWASP মোবাইল শীর্ষ 10 তালিকা পেশ করা চেয়েছিলেন.

207
00:13:39,620 --> 00:13:43,590
এই 10 বিষয় যে OWASP এ একটি গ্রুপ,

208
00:13:43,590 --> 00:13:48,900
ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রকল্প, তারা একটি কাজ গ্রুপ আছে

209
00:13:48,900 --> 00:13:50,620
একটি মোবাইল শীর্ষ 10 তালিকার কাজ.

210
00:13:50,620 --> 00:13:54,600
তারা শীর্ষ 10 যা একটি খুব বিখ্যাত ওয়েব শীর্ষ 10 তালিকা, আছে

211
00:13:54,600 --> 00:13:57,180
riskiest জিনিষ আপনি একটি ওয়েব অ্যাপ্লিকেশন মধ্যে থাকতে পারে.

212
00:13:57,180 --> 00:13:59,090
তারা মোবাইল জন্য একই জিনিস করছেন,

213
00:13:59,090 --> 00:14:01,750
এবং তাদের তালিকা আমাদের চেয়ে একটু ভিন্ন.

214
00:14:01,750 --> 00:14:03,670
10 আউট 6 একই.

215
00:14:03,670 --> 00:14:06,020
তারা বিভিন্ন যে 4 আছে.

216
00:14:06,020 --> 00:14:10,550
আমি মনে করি তারা একটি ভিন্ন নিতে সামান্য বিট আছে মনে

217
00:14:10,550 --> 00:14:14,490
মোবাইল অ্যাপ্লিকেশনের মধ্যে ঝুঁকি যেখানে তাদের সমস্যা অনেক

218
00:14:14,490 --> 00:14:20,490
সত্যিই অ্যাপ্লিকেশনটি একটি ব্যাক শেষ সার্ভারের সাথে যোগাযোগ করা হয় কিভাবে

219
00:14:20,490 --> 00:14:23,100
বা কি ব্যাক শেষ সার্ভারে যাচ্ছে,

220
00:14:23,100 --> 00:14:29,220
শুধু সহজবোধ্য ক্লায়েন্ট অ্যাপ্লিকেশান যে ঝুঁকিপূর্ণ আচরণ আছে এত যে না অ্যাপ্লিকেশান.

221
00:14:29,220 --> 00:14:36,640
>> এখানে লাল বেশী 2 তালিকার মধ্যে পার্থক্য রয়েছে.

222
00:14:36,640 --> 00:14:40,740
এবং আমার গবেষণা দলের কিছু আসলে এই প্রকল্পের অবদান রয়েছে,

223
00:14:40,740 --> 00:14:44,570
তাই আমরা সময়ের সঙ্গে কি দেখতে পাবেন, কিন্তু আমি এখানে Takeaway মনে করি

224
00:14:44,570 --> 00:14:47,550
আমরা সত্যিই শীর্ষ 10 তালিকা মোবাইল অ্যাপ্লিকেশনের মধ্যে হয় কি না জানি না, কারণ

225
00:14:47,550 --> 00:14:50,510
তারা সত্যিই শুধুমাত্র এখন, 2 অথবা 3 বছর ধরে প্রায় চলেছি

226
00:14:50,510 --> 00:14:57,750
এবং সত্যিই অপারেটিং সিস্টেম নিয়ে গবেষণা করার যথেষ্ট সময় হয়েছে না

227
00:14:57,750 --> 00:15:00,450
এবং তারা কি করতে সক্ষম হন, এবং যথেষ্ট সময় ছিল না

228
00:15:00,450 --> 00:15:06,870
যদি আপনি হবে দূষিত সম্প্রদায়ের জন্য,, যথেষ্ট সময় অতিবাহিত হয়েছে

229
00:15:06,870 --> 00:15:12,910
মোবাইল অ্যাপ্লিকেশনের মাধ্যমে ব্যবহারকারীদের আক্রমণ করার চেষ্টা করছে, তাই আমি এই তালিকা অল্প পরিবর্তন আশা.

230
00:15:12,910 --> 00:15:18,720
কিন্তু এখন জন্য, এই চিন্তা করতে শীর্ষ 10 জিনিস.

231
00:15:18,720 --> 00:15:24,150
আপনি মোবাইল দিকে আশ্চর্য হতে পারে যেখানে আছে দূষিত মোবাইল কোড-

232
00:15:24,150 --> 00:15:28,880
কিভাবে এটা ডিভাইস থেকে পেতে পারে?

233
00:15:28,880 --> 00:15:35,210
উত্তর ক্যারোলিনা রাজ্য মোবাইল দূষিত জিনোম প্রজেক্ট নামে একটি প্রকল্প রয়েছে

234
00:15:35,210 --> 00:15:39,520
যেখানে তারা, তারা যতটা সম্ভব মোবাইল ম্যালওয়্যার সংগ্রহ এবং তা বিশ্লেষণ করা হয়

235
00:15:39,520 --> 00:15:45,270
এবং তারা, মোবাইল ম্যালওয়্যার ব্যবহার করে যে ইনজেকশন ভেক্টর ভাগ করেছি

236
00:15:45,270 --> 00:15:51,490
এবং 86%, কারিনা স্পিলবার্গের ছবিতে নামক একটি কৌশল ব্যবহার

237
00:15:51,490 --> 00:15:54,160
এবং এই অ্যান্ড্রয়েড প্ল্যাটফর্মে শুধুমাত্র হয়

238
00:15:54,160 --> 00:15:56,720
আপনি কি সত্যিই এই কারিনা স্পিলবার্গের ছবিতে কাজ করতে পারেন.

239
00:15:56,720 --> 00:16:03,100
>> কারণে অ্যান্ড্রয়েড কোড দিয়ে নির্মিত হয়

240
00:16:03,100 --> 00:16:08,130
সহজে decompilable যা Dalvik নামক একটি জাভা বাইট কোড.

241
00:16:08,130 --> 00:16:12,460
কি খারাপ লোক কিছু করতে পারি হয়

242
00:16:12,460 --> 00:16:16,590
একটি অ্যান্ড্রয়েড আবেদন গ্রহণ করা, এটা decompile,

243
00:16:16,590 --> 00:16:20,120
তাদের অনিষ্টকারী কোড সন্নিবেশ, এটা পুনরায় কম্পাইল,

244
00:16:20,120 --> 00:16:28,070
এবং তারপর যে অ্যাপ্লিকেশনের নতুন সংস্করণ হতে purporting অ্যাপ্লিকেশন বাজারের এটি পেশ করা হোক,

245
00:16:28,070 --> 00:16:30,330
বা শুধু হয়তো অ্যাপ্লিকেশনের নাম পরিবর্তন.

246
00:16:30,330 --> 00:16:35,140
এটা খেলা কিছু বাছাই ছিল, সামান্য নাম পরিবর্তন

247
00:16:35,140 --> 00:16:42,860
এবং তাই এই কারিনা স্পিলবার্গের ছবিতে মোবাইল ম্যালওয়ার 86% বিতরণ পরার কিভাবে হয়.

248
00:16:42,860 --> 00:16:45,810
যা অন্য পন্থা বলা আপডেট নেই

249
00:16:45,810 --> 00:16:50,030
কারিনা স্পিলবার্গের ছবিতে অনুরূপ, কিন্তু আপনি আসলে ইন অনিষ্টকারী কোড করা না

250
00:16:50,030 --> 00:16:52,870
আপনি কি যদি আপনি একটি ছোট আপডেট প্রক্রিয়া স্থাপন করা হয়.

251
00:16:52,870 --> 00:16:56,660
আপনি decompile, আপনি একটি আপডেট প্রক্রিয়া স্থাপন করা, এবং আপনি তা পুনরায় কম্পাইল,

252
00:16:56,660 --> 00:17:02,360
এবং তারপর অ্যাপ্লিকেশন এটি ডিভাইস সম্মুখের ম্যালওয়ার নামিয়ে pulls চালানো সম্ভব না.

253
00:17:02,360 --> 00:17:06,300
>> দ্বারা পর্যন্ত সংখ্যাগরিষ্ঠ যারা 2 কৌশল হয়.

254
00:17:06,300 --> 00:17:12,710
মোবাইলের সত্যিই অনেক ডাউনলোডের ড্রাইভ-bys বা ড্রাইভ বাই ডাউনলোড, নেই

255
00:17:12,710 --> 00:17:15,890
একটি ফিশিং আক্রমণ মত হতে পারে, যা.

256
00:17:15,890 --> 00:17:18,200
আরে, এই সত্যিই শীতল ওয়েবসাইট চেক আউট,

257
00:17:18,200 --> 00:17:21,020
অথবা আপনি এই ওয়েবসাইটে যান এবং এই ফর্ম পূরণ করতে হবে

258
00:17:21,020 --> 00:17:24,420
কিছু কাজ অব্যাহত রাখা.

259
00:17:24,420 --> 00:17:26,230
যারা আক্রমণ ফিশিং হয়.

260
00:17:26,230 --> 00:17:28,160
একই জিনিস মোবাইল প্ল্যাটফর্মে ঘটতে পারে যেখানে তারা

261
00:17:28,160 --> 00:17:33,830
, ডাউনলোড বলার একটি মোবাইল অ্যাপ্লিকেশন নির্দেশ "হাই, এই ব্যাঙ্ক অফ আমেরিকা হল."

262
00:17:33,830 --> 00:17:36,070
"আমরা আশা করি আপনি এই অ্যাপ্লিকেশন ব্যবহার করছেন দেখতে."

263
00:17:36,070 --> 00:17:38,540
"আপনি এই অন্যান্য অ্যাপ্লিকেশন ডাউনলোড করা উচিত."

264
00:17:38,540 --> 00:17:41,170
তাত্ত্বিকভাবে, যে কাজ করতে পারেন.

265
00:17:41,170 --> 00:17:48,610
হয়তো এটা ঠিক, এটা সফল হচ্ছে না তা নির্ধারণ করার জন্য পর্যাপ্ত ব্যবহৃত হচ্ছে না

266
00:17:48,610 --> 00:17:51,680
কিন্তু তারা সময় যে প্রযুক্তিটির কম 1% ব্যবহার করা হয় যে পাওয়া যায় নি.

267
00:17:51,680 --> 00:17:56,130
সময় সংখ্যাগরিষ্ঠ এটা সত্যিই একটি repackaged কোড এর.

268
00:17:56,130 --> 00:17:58,710
>> অন্য বিষয়শ্রেণীতে নামক একা দাড়িয়ে আছে

269
00:17:58,710 --> 00:18:01,420
কেউ শুধু একটি সম্পূর্ণ নতুন আবেদন তৈরী করে যেখানে.

270
00:18:01,420 --> 00:18:04,020
তারা কিছু হতে purports একটি অ্যাপ্লিকেশন নির্মাণ.

271
00:18:04,020 --> 00:18:07,360
এটা অন্য কিছু একটি কারিনা স্পিলবার্গের ছবিতে নয়, এবং যে দূষিত কোড আছে.

272
00:18:07,360 --> 00:18:11,230
যে সময় 14% ব্যবহৃত হচ্ছে.

273
00:18:11,230 --> 00:18:17,880
এখন আমি অনিষ্টকারী কোড কি করছে সম্পর্কে কথা বলতে চান?

274
00:18:17,880 --> 00:18:23,070
সেখানে প্রথম ম্যালওয়্যার, তা হল

275
00:18:23,070 --> 00:18:25,490
আপনি একটি স্পাইওয়্যার বিবেচনা করতে পারে.

276
00:18:25,490 --> 00:18:27,620
এটি মূলত ইউজার নেভিগেশন চর.

277
00:18:27,620 --> 00:18:30,470
এটি ইমেল, এসএমএস বার্তা সংগ্রহ করা.

278
00:18:30,470 --> 00:18:32,340
এটা মাইক্রোফোন সক্রিয়.

279
00:18:32,340 --> 00:18:37,330
এটি পরিচিতি বই ফলনের, এবং এটা অন্য কেউ এটা বন্ধ পাঠায়.

280
00:18:37,330 --> 00:18:40,870
স্পাইওয়্যার এই ধরনের পিসিতে বিদ্যমান,

281
00:18:40,870 --> 00:18:46,200
মানুষ মোবাইল ডিভাইসের উপর এটি করার চেষ্টা জন্য তাই এটা নির্ভুল জ্ঞান করে তোলে.

282
00:18:46,200 --> 00:18:53,230
>> এই প্রথম উদাহরণ, তা হল গোপন এসএমএস Replicator নামক একটি প্রোগ্রাম ছিল.

283
00:18:53,230 --> 00:18:56,250
এটা, বছর দুয়েক আগে অ্যান্ড্রয়েড বাজার মধ্যে ছিল

284
00:18:56,250 --> 00:18:59,960
আপনি কাউকে অ্যান্ড্রয়েড ফোন ব্যবহার করার সুযোগ ছিল এবং ধারণা

285
00:18:59,960 --> 00:19:03,450
আপনি গুপ্তচর চেয়েছিলেন, তাই হয়ত এটা আপনার স্ত্রী যে

286
00:19:03,450 --> 00:19:07,600
অথবা আপনার অন্যান্য উল্লেখযোগ্য এবং আপনি তাদের লিখিত বার্তা গুপ্তচর চান,

287
00:19:07,600 --> 00:19:11,200
যদি আপনি এই অ্যাপ্লিকেশন ডাউনলোড করুন এবং এটি ইনস্টল করা এবং এটি কনফিগার পারে

288
00:19:11,200 --> 00:19:16,540
একটি কপি দিয়ে আপনি একটি এসএমএস টেক্সট বার্তা পাঠানোর জন্য

289
00:19:16,540 --> 00:19:21,710
প্রত্যেক এসএমএস টেক্সট বার্তা তারা পেয়েছেন.

290
00:19:21,710 --> 00:19:27,220
এই স্পষ্টত, সেবার অ্যাপ স্টোর পদ লঙ্ঘনের হয়

291
00:19:27,220 --> 00:19:32,040
এবং এই, এটা হচ্ছে সেখানে 18 ঘণ্টার মধ্যে অ্যান্ড্রয়েড বাজার থেকে সরানো হয়েছে

292
00:19:32,040 --> 00:19:36,760
তাই মানুষ খুব অল্প সংখ্যক এই কারণে ঝুঁকির মধ্যে ছিল.

293
00:19:36,760 --> 00:19:42,510
এখন, আমি মনে করি প্রোগ্রামের কিছু হয়তো একটু কম উত্তেজক বলা হত, যদি

294
00:19:42,510 --> 00:19:48,690
গোপন এসএমএস Replicator মত এটি সম্ভবত অনেক বেশি ভালো কাজ করে.

295
00:19:48,690 --> 00:19:52,870
কিন্তু এটা কোন ধরনের সুস্পষ্ট ছিল.

296
00:19:52,870 --> 00:19:58,680
>> আমরা অ্যাপ্লিকেশান আমরা চাই না যে এই আচরণ যদি নির্ধারণ করতে পারি জিনিস এক

297
00:19:58,680 --> 00:20:01,410
কোড পরিদর্শন করা হয়.

298
00:20:01,410 --> 00:20:06,250
এটি আসলে আমরা অ্যাপ্লিকেশান decompile কারণ Android এর উপর কাজ করতে সত্যিই সহজ.

299
00:20:06,250 --> 00:20:11,050
IOS উপর আপনি IDA প্রো মত একটি disassembler ব্যবহার করতে পারেন

300
00:20:11,050 --> 00:20:17,190
অ্যাপ্লিকেশন আহ্বান করা হয় এবং এটা করছে কি API গুলি কি তাকান.

301
00:20:17,190 --> 00:20:20,680
আমরা আমাদের কোড জন্য আমাদের নিজস্ব বাইনারি স্ট্যাটিক বিশ্লেষক লিখেছেন

302
00:20:20,680 --> 00:20:24,940
এবং আমরা এই কাজ, এবং তাই কি আপনি কাজ করতে পারে আপনাকে বলতে পারে হয়

303
00:20:24,940 --> 00:20:30,490
ডিভাইস মূলত আমার উপর গুপ্তচরবৃত্তি বা আমার নির্ণয় করছে যে কিছু করতে পারে?

304
00:20:30,490 --> 00:20:33,360
এবং আমি এখানে আইফোনের কিছু উদাহরণ আছে.

305
00:20:33,360 --> 00:20:41,440
এই প্রথম উদাহরণ ফোনে UUID অ্যাক্সেস করতে হয় কিভাবে.

306
00:20:41,440 --> 00:20:47,060
এটি আসলে আপেল শুধু নতুন অ্যাপ্লিকেশনের জন্য নিষিদ্ধ করেছে এমন কিছু বিষয় যা,

307
00:20:47,060 --> 00:20:52,540
কিন্তু আপনি আপনার ফোন চলমান থাকতে পারে যে পুরানো অ্যাপ্লিকেশন এখনও এটা করতে পারেন,

308
00:20:52,540 --> 00:20:56,500
এবং তাই যে অনন্য শনাক্তকারী আপনি ট্র্যাক করতে ব্যবহার করা যেতে পারে

309
00:20:56,500 --> 00:21:00,440
বিভিন্ন অ্যাপ্লিকেশনের জুড়ে.

310
00:21:00,440 --> 00:21:07,180
>> অ্যান্ড্রয়েড, আমি এখানে ডিভাইস এর অবস্থান হচ্ছে একটি উদাহরণ আছে.

311
00:21:07,180 --> 00:21:10,310
আপনি, যে এপিআই কল আছে যে যদি অ্যাপ্লিকেশন নির্ণয় করছে দেখতে পারেন

312
00:21:10,310 --> 00:21:15,000
এবং আপনি এটি সূক্ষ্ম অবস্থান বা মোটা অবস্থান হচ্ছে কিনা দেখতে পারেন.

313
00:21:15,000 --> 00:21:18,860
এবং তারপর এখানে নীচে, আমি ব্ল্যাকবেরিতে কিভাবে একটি উদাহরণ আছে

314
00:21:18,860 --> 00:21:25,130
একটি অ্যাপ্লিকেশন আপনার ইনবক্সে ইমেইল বার্তা অ্যাক্সেস করতে পারে.

315
00:21:25,130 --> 00:21:27,660
এই আপনি দেখতে পরিদর্শন করতে পারেন জিনিষ ধরনের হয়

316
00:21:27,660 --> 00:21:32,360
অ্যাপ্লিকেশন ঐ জিনিসগুলি হয়.

317
00:21:32,360 --> 00:21:38,320
দ্বিতীয় বড় বিদ্বেষপূর্ণ আচরণ বিভাগ, এবং এই এখন সম্ভবত সবচেয়ে বড় বিভাগ,

318
00:21:38,320 --> 00:21:43,950
হল অননুমোদিত ডায়ালিং, অননুমোদিত প্রিমিয়াম এসএমএস টেক্সট বার্তা

319
00:21:43,950 --> 00:21:46,080
বা অননুমোদিত পেমেন্ট.

320
00:21:46,080 --> 00:21:48,930
ফোন সম্পর্কে অনন্য যে এর আরেকটি বিষয়

321
00:21:48,930 --> 00:21:52,700
ডিভাইস একটি বিলিং অ্যাকাউন্টে লাগানো হয় হয়,

322
00:21:52,700 --> 00:21:55,960
এবং কার্যক্রম ফোনে ঘটতে যখন

323
00:21:55,960 --> 00:21:58,510
এটি চার্জ তৈরি করতে পারেন.

324
00:21:58,510 --> 00:22:00,700
আপনি ফোনের মাধ্যমে জিনিষ কিনতে পারেন,

325
00:22:00,700 --> 00:22:04,390
আপনি একটি প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠাতে এবং যখন আপনি আসলে টাকা প্রদান করছি

326
00:22:04,390 --> 00:22:11,590
অন্য দিকে ফোন নম্বর অ্যাকাউন্ট ধারক যাও.

327
00:22:11,590 --> 00:22:17,420
এই স্টক কোট বা পেতে আপনার দৈনন্দিন জাতক বা অন্যান্য জিনিস পেতে স্থাপন করা হয়েছে,

328
00:22:17,420 --> 00:22:21,680
কিন্তু তারা একটি SMS টেক্সট পাঠিয়ে একটি পণ্য অর্ডার স্থাপন করা যেতে পারে.

329
00:22:21,680 --> 00:22:26,970
মানুষ একটি টেক্সট মেসেজ পাঠিয়ে রেড ক্রস টাকা দিতে.

330
00:22:26,970 --> 00:22:30,650
আপনি $ 10 যে ভাবে দিতে পারেন.

331
00:22:30,650 --> 00:22:34,190
>> তারা সম্পন্ন করেছি আক্রমণকারীদের, তারা স্থাপন করা হয়

332
00:22:34,190 --> 00:22:38,750
বিদেশী দেশে অ্যাকাউন্ট, এবং তারা ম্যালওয়্যার এম্বেড

333
00:22:38,750 --> 00:22:42,840
ফোন একটি প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠাতে হবে যে,

334
00:22:42,840 --> 00:22:47,700
কয়েক বার দিন, এবং আপনি অতিবাহিত করেছি আপনি বুঝতে মাসের শেষে বলে,

335
00:22:47,700 --> 00:22:52,090
দশ বা হয়তো ডলার এমনকি শত শত, এবং তারা টাকা দিয়ে দূরে পায়চারি করা.

336
00:22:52,090 --> 00:22:57,280
এই এই খুব সর্বপ্রথম যে এত খারাপ না যে অ্যান্ড্রয়েড

337
00:22:57,280 --> 00:23:00,760
মার্কেটপ্লেস বা গুগল জায়গা, এটা সময় অ্যানড্রইড মার্কেটপ্লেস ছিল

338
00:23:00,760 --> 00:23:04,430
এবং এটি গুগল প্লে-গুগল জন্য পরীক্ষণ শুরু প্রথম যে কাজটা এখন এর.

339
00:23:04,430 --> 00:23:08,700
গুগল তাদের অ্যাপ্লিকেশন বাজারের অ্যান্ড্রয়েড Apps বিতরণ শুরু

340
00:23:08,700 --> 00:23:11,350
তারা তারা কিছু জন্য পরীক্ষা করা যাচ্ছে না হয়.

341
00:23:11,350 --> 00:23:15,630
আমরা তারা আমাদের পরিষেবার শর্তাদি বিভক্ত করেছি অবহিত করছি একবার আমরা অ্যাপ্লিকেশান টান করব,

342
00:23:15,630 --> 00:23:17,520
কিন্তু আমরা কিছু জন্য চেক করতে যাচ্ছেন না.

343
00:23:17,520 --> 00:23:24,350
ভাল, প্রায় এক বছর আগে এই প্রিমিয়াম এসএমএস টেক্সট বার্তা ম্যালওয়্যার সঙ্গে যাতে খারাপ না

344
00:23:24,350 --> 00:23:28,030
এই তারা জন্য পরীক্ষণ শুরু খুব সর্বপ্রথম যে.

345
00:23:28,030 --> 00:23:31,770
একটি অ্যাপ্লিকেশন এসএমএস টেক্সট বার্তা পাঠাতে পারেন

346
00:23:31,770 --> 00:23:34,750
তারা আরও নিজে যে আবেদন খুঁটিয়ে.

347
00:23:34,750 --> 00:23:38,770
তারা এই কল যে API গুলি জন্য চেহারা,

348
00:23:38,770 --> 00:23:40,580
এবং এখন তারপর থেকে গুগল প্রসারিত হয়েছে,

349
00:23:40,580 --> 00:23:46,900
কিন্তু এই তারা খুঁজছেন শুরু প্রথম যে কাজটা ছিল.

350
00:23:46,900 --> 00:23:50,690
>> কিছু এসএমএস টেক্সট বার্তা যে কিছু অন্যান্য অ্যাপ্লিকেশন,

351
00:23:50,690 --> 00:23:56,980
এই অ্যান্ড্রয়েড Qicsomos, আমি এটা বলা হয় না.

352
00:23:56,980 --> 00:24:02,670
এই CarrierIQ এসেছেন যেখানে মোবাইল উপর এই বর্তমান ঘটনা ছিল

353
00:24:02,670 --> 00:24:07,720
হিসাবে স্পাইওয়্যার, বাহক দ্বারা ডিভাইসের উপর করা

354
00:24:07,720 --> 00:24:10,820
যাতে মানুষ, তাদের ফোন এই প্রবন ছিল জানতে চেয়েছিলেন

355
00:24:10,820 --> 00:24:13,890
এবং এই যে পরীক্ষিত একটি মুক্ত অ্যাপ্লিকেশন ছিল.

356
00:24:13,890 --> 00:24:17,520
অবশ্যই ভাল,, কি এই অ্যাপ্লিকেশন করেনি, এটা প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠানো হয়েছে

357
00:24:17,520 --> 00:24:20,090
তাই আপনি স্পাইওয়্যার আক্রান্ত করছি কিনা দেখতে পরীক্ষা দ্বারা

358
00:24:20,090 --> 00:24:24,930
আপনি আপনার ডিভাইস সম্মুখের ম্যালওয়ার লোড.

359
00:24:24,930 --> 00:24:27,310
আমরা একই জিনিস শেষ সুপার বোল সময়ে ঘটতে দেখেছি.

360
00:24:27,310 --> 00:24:33,180
খেপান ফুটবল খেলার একটি বাজে সংস্করণ হয়েছে

361
00:24:33,180 --> 00:24:38,320
যে প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠিয়েছেন.

362
00:24:38,320 --> 00:24:45,750
এটা আসলে ডিভাইসে খুব একটা বট নেটওয়ার্ক তৈরি করার চেষ্টা করে.

363
00:24:45,750 --> 00:24:48,090
এখানে আমি কিছু উদাহরণ আছে.

364
00:24:48,090 --> 00:24:52,640
মজার ব্যাপার যে, অ্যাপল, বেশ স্মার্ট ছিল

365
00:24:52,640 --> 00:24:58,470
এবং তারা অ্যাপ্লিকেশন সব সময়ে এসএমএস টেক্সট বার্তা পাঠাতে অনুমতি দেয় না.

366
00:24:58,470 --> 00:25:00,350
কোন অ্যাপ্লিকেশন এটি করতে পারেন.

367
00:25:00,350 --> 00:25:03,530
যে দুর্বলতা সমগ্র বর্গ পরিত্রাণ পাবার একটা বড় উপায়,

368
00:25:03,530 --> 00:25:09,040
কিন্তু Android এর উপর আপনি এটা করতে পারেন, এবং অবশ্যই, ব্ল্যাকবেরিতে আপনি খুব এটা করতে পারেন.

369
00:25:09,040 --> 00:25:13,060
এটা ব্ল্যাকবেরিতে আপনার প্রয়োজন ইন্টারনেট অনুমতি যে আকর্ষণীয়

370
00:25:13,060 --> 00:25:18,370
একটি এসএমএস টেক্সট বার্তা পাঠাতে.

371
00:25:18,370 --> 00:25:21,580
>> আমরা জন্য সন্ধান সত্যিই যে অন্যান্য জিনিস

372
00:25:21,580 --> 00:25:24,780
আমরা কিছু দূষিত কিনা দেখতে খুঁজছেন তা হলে যে কোনও ধরনের হয়

373
00:25:24,780 --> 00:25:28,100
অননুমোদিত নেটওয়ার্ক কার্যকলাপ, মত নেটওয়ার্ক কার্যকলাপ তাকান

374
00:25:28,100 --> 00:25:31,570
অ্যাপ্লিকেশন এর কার্যকারিতা আছে অনুমিত হয়,

375
00:25:31,570 --> 00:25:35,380
এবং এই অন্যান্য নেটওয়ার্ক কার্যকলাপ তাকান.

376
00:25:35,380 --> 00:25:43,380
সম্ভবত কাজ করার একটি অ্যাপ্লিকেশন,, HTTP-র মাধ্যমে তথ্য পেতে আছে,

377
00:25:43,380 --> 00:25:47,500
কিন্তু এটি ইমেল বা এসএমএস বা ব্লুটুথ বা যে ভালো কিছু বেশী জিনিসগুলি যদি

378
00:25:47,500 --> 00:25:52,890
এখন অ্যাপ্লিকেশন যে সম্ভাব্য দূষিত হতে পারে, তাই এই আপনার জন্য পরিদর্শন করা যেতে পারে অন্য জিনিস.

379
00:25:52,890 --> 00:26:00,430
এবং এখানে এই স্লাইডে আমি যে কিছু উদাহরণ আছে.

380
00:26:00,430 --> 00:26:05,950
আমরা ম্যালওয়্যার দিয়ে দেখেছি আরেকটি মজার ব্যাপার হল, 2009 সালে ফিরে ঘটেছে

381
00:26:05,950 --> 00:26:07,600
এবং এটি একটি বড় উপায় ঘটেছে.

382
00:26:07,600 --> 00:26:11,390
এটি তারপর থেকে অনেক কিছু ঘটেছে, যদি আমি জানি না, কিন্তু এটি একটি অ্যাপ্লিকেশন ছিল

383
00:26:11,390 --> 00:26:15,140
অন্য যে আবেদন রুপায়িত.

384
00:26:15,140 --> 00:26:21,700
, এখন পর্যন্ত Apps এর একটি সেট, এবং এটি 09Droid আক্রমণ ডাব ছিল

385
00:26:21,700 --> 00:26:29,770
এবং কেউ ছোট, আঞ্চলিক, midsize ব্যাংকের অনেক ছিল যে সিদ্ধান্ত নিয়েছে

386
00:26:29,770 --> 00:26:32,260
অনলাইন ব্যাংকিং অ্যাপ্লিকেশন আছে কি না,

387
00:26:32,260 --> 00:26:36,870
তাই কি তারা করেনি তারা প্রায় 50 অনলাইন ব্যাংকিং অ্যাপ্লিকেশন নির্মিত হয়েছিল

388
00:26:36,870 --> 00:26:39,410
তারা সব ব্যবহারকারীর নাম এবং পাসওয়ার্ড লাগতে ছিল

389
00:26:39,410 --> 00:26:42,190
এবং ওয়েবসাইট থেকে আপনি পুনর্নির্দেশ.

390
00:26:42,190 --> 00:26:47,470
এবং তাই তারা গুগল মার্কেটপ্লেস এই সব পেশ করা,

391
00:26:47,470 --> 00:26:51,530
অ্যান্ড্রয়েড বাজার মধ্যে, এবং কেউ অনুসন্ধান যখন দেখতে হলে তাদের ব্যাংক

392
00:26:51,530 --> 00:26:56,000
তারা বাজে অ্যাপ্লিকেশন খুঁজতে হবে একটি আবেদন ছিল

393
00:26:56,000 --> 00:27:01,230
তাদের পরিচয়পত্র সংগ্রহ করা এবং তারপর তাদের ওয়েবসাইটে তাদের পুনঃনির্দেশিত যা.

394
00:27:01,230 --> 00:27:06,640
আসলে এই যে ভাবে ওঠে Apps এর, কয়েক সপ্তাহের জন্য ছিল

395
00:27:06,640 --> 00:27:09,050
এবং ডাউনলোড হাজারের এবং হাজার হাজার ছিল.

396
00:27:09,050 --> 00:27:12,910
>> এই হালকা আসেন ভাবে কাউকে একটি সমস্যা চাপ ছিল ছিল

397
00:27:12,910 --> 00:27:15,740
অ্যাপ্লিকেশন এক, এবং তারা তাদের ব্যাংক বলা, সঙ্গে

398
00:27:15,740 --> 00:27:18,390
এবং তারা তাদের ব্যাংক এর গ্রাহকদের সহায়তা রেখা বলা হয় এবং বলেন,

399
00:27:18,390 --> 00:27:21,180
"আমি আপনার মোবাইল ব্যাংকিং আবেদনপত্রের সাথে একটি সমস্যা হচ্ছে."

400
00:27:21,180 --> 00:27:23,460
"আপনি কি আমাকে সাহায্য করতে পারেন?"

401
00:27:23,460 --> 00:27:26,540
এবং তারা "আমরা একটি মোবাইল ব্যাংকিং অ্যাপ্লিকেশন আপনার নেই.", বলেন

402
00:27:26,540 --> 00:27:28,120
যে তদন্ত শুরু করে.

403
00:27:28,120 --> 00:27:31,200
, যে ব্যাংক গুগল বলা, এবং তারপর গুগল তাকিয়ে বলেন

404
00:27:31,200 --> 00:27:37,220
"বাহ, একই লেখক, 50 ব্যাংক অ্যাপ্লিকেশন লিখেছে" এবং তাদের সব নিচে নিয়ে যায়.

405
00:27:37,220 --> 00:27:43,410
কিন্তু অবশ্যই এই আবার ঘটতে পারে.

406
00:27:43,410 --> 00:27:51,790
সব বিভিন্ন ব্যাংকের তালিকা এখানে আছে

407
00:27:51,790 --> 00:27:55,870
যে এই কেলেঙ্কারীতে অংশ.

408
00:27:55,870 --> 00:28:02,050
একটি অ্যাপ্লিকেশন কি করতে পারেন অন্যান্য জিনিস অন্য আবেদন UI 'তে উপস্থিত.

409
00:28:02,050 --> 00:28:06,430
এটা চলমান এর যদিও এটা ফেসবুক UI 'পপ আপ পারে.

410
00:28:06,430 --> 00:28:09,540
এটা আপনি চালিয়ে যেতে আপনার ব্যবহারকারী নাম এবং পাসওয়ার্ড করিয়ে আছে বলেছেন

411
00:28:09,540 --> 00:28:15,090
অথবা কোনো ওয়েবসাইট জন্য কোনো ব্যবহারকারীর নাম এবং পাসওয়ার্ড UI 'তে পেশ করা

412
00:28:15,090 --> 00:28:18,420
যে হয়তো ব্যবহারকারী ব্যবহারকারী রত চেষ্টা মাত্র ব্যবহার করে

413
00:28:18,420 --> 00:28:21,340
এখনো সদস্য না তাদের প্রমাণপত্রাদি নির্বাণ মধ্যে

414
00:28:21,340 --> 00:28:25,590
এই সত্যিই ইমেইল ফিশিং আক্রমণের একটি সোজা সমান্তরাল হয়

415
00:28:25,590 --> 00:28:28,210
কেউ আপনাকে একটি ইমেইল বার্তা পাঠায় যেখানে

416
00:28:28,210 --> 00:28:33,050
এবং আপনি একটি ওয়েব সাইটের জন্য মূলত একটি জাল UI 'তে দেয়

417
00:28:33,050 --> 00:28:37,320
আপনি অ্যাক্সেস আছে যে.

418
00:28:37,320 --> 00:28:41,590
>> আমরা দূষিত কোডের জন্য সন্ধান অন্যান্য জিনিস সিস্টেম পরিবর্তন হয়.

419
00:28:41,590 --> 00:28:48,160
আপনি রুট বিশেষাধিকার প্রয়োজন সব API-কলের জন্য সন্ধান করতে পারেন

420
00:28:48,160 --> 00:28:50,870
সঠিকভাবে চালানো.

421
00:28:50,870 --> 00:28:56,160
ডিভাইস এর ওয়েব প্রক্সি পরিবর্তন একটি অ্যাপ্লিকেশন কিছু হবে

422
00:28:56,160 --> 00:28:59,530
করতে পারা উচিত নয়.

423
00:28:59,530 --> 00:29:03,030
কিন্তু আবেদন যে কি সেখানে কোড হয়েছে থাকে

424
00:29:03,030 --> 00:29:05,960
আপনি সম্ভবত এটি একটি অনিষ্টকারী অ্যাপ্লিকেশনের যে জানি

425
00:29:05,960 --> 00:29:09,620
অথবা খুব অত্যন্ত দূষিত আবেদন হতে পারে,

426
00:29:09,620 --> 00:29:13,910
এবং তাই কি ঘটতে পারে অ্যাপ্লিকেশন বিশেষাধিকার বেড়ে উঠা কিছু উপায় থাকবে না.

427
00:29:13,910 --> 00:29:17,200
এটা কিছু বিশেষাধিকার তীব্রতাবৃদ্ধি কাজে লাগান হবে

428
00:29:17,200 --> 00:29:20,730
এটা অধিকার ছড়ানোর আবেদন, এবং তারপর একবার

429
00:29:20,730 --> 00:29:23,800
এটা এই ব্যবস্থার পরিবর্তন করতে হবে.

430
00:29:23,800 --> 00:29:28,010
আপনি বিশেষাধিকার তীব্রতাবৃদ্ধি আছে ম্যালওয়্যার খুঁজে পেতে পারেন

431
00:29:28,010 --> 00:29:32,550
এটা এমনকি কিভাবে বিশেষাধিকার তীব্রতাবৃদ্ধি জেনে

432
00:29:32,550 --> 00:29:37,960
কাজে লাগান ঘটতে যাচ্ছে, এবং যে একটি সুন্দর, সহজ উপায়

433
00:29:37,960 --> 00:29:41,220
ম্যালওয়্যার জন্য চেহারা.

434
00:29:41,220 --> 00:29:46,030
DroidDream সম্ভবত অ্যান্ড্রয়েড ম্যালওয়্যার সবচেয়ে বিখ্যাত টুকরা ছিল.

435
00:29:46,030 --> 00:29:50,530
আমি এটা কয়েক দিন ধরে প্রায় 250,000 ব্যবহারকারীদের প্রভাবিত মনে করি

436
00:29:50,530 --> 00:29:52,810
এটি পাওয়া যায় নি আগে.

437
00:29:52,810 --> 00:29:56,890
তারা 50 বাজে অ্যাপ্লিকেশন repackaged,

438
00:29:56,890 --> 00:30:00,370
Android এর অ্যাপ্লিকেশন দোকান তাদের করা,

439
00:30:00,370 --> 00:30:10,940
এবং মূলত এটি অধিকার ধাপে ধাপে বৃদ্ধি করতে অ্যানড্রইড Jailbreak কোড ব্যবহৃত

440
00:30:10,940 --> 00:30:16,380
এবং তারপর একটি কমান্ড এবং ইনস্টল সব শিকার এবং নিয়ন্ত্রণ চালু

441
00:30:16,380 --> 00:30:20,690
একটি বট নেট মধ্যে, কিন্তু আপনি এই সনাক্ত করতে পারে

442
00:30:20,690 --> 00:30:24,170
আপনি আবেদন স্ক্যানিং এবং ঠিক করছিলেন যদি

443
00:30:24,170 --> 00:30:32,230
এপিআই প্রয়োজন রুট অনুমতি সঠিকভাবে চালানো যে কল.

444
00:30:32,230 --> 00:30:40,150
>> আমি প্রক্সি পরিবর্তন করা হয় যা আছে এখানে একটি উদাহরণ আছে,

445
00:30:40,150 --> 00:30:46,380
এবং এই আসলে Android এর উপর উপলব্ধ.

446
00:30:46,380 --> 00:30:49,070
আপনি আমি আপনার Android এর উপর উদাহরণ অনেক প্রদান করছি দেখতে পারেন

447
00:30:49,070 --> 00:30:53,990
সবচেয়ে সক্রিয় ম্যালওয়ার বাস্তুতন্ত্র যেখানে এই কারণ

448
00:30:53,990 --> 00:30:58,690
এটি দূষিত কোড পেতে একটি আক্রমণকারী জন্য সত্যিই সহজ, কারণ

449
00:30:58,690 --> 00:31:01,470
অ্যান্ড্রয়েড বাজার মধ্যে.

450
00:31:01,470 --> 00:31:06,480
এটা অ্যাপল অ্যাপ স্টোর মধ্যে যে কি এত সহজ নয়

451
00:31:06,480 --> 00:31:10,250
অ্যাপল নিজেদের চিহ্নিত করতে ডেভেলপারদের প্রয়োজন কারণ

452
00:31:10,250 --> 00:31:12,790
এবং কোড স্বাক্ষর.

453
00:31:12,790 --> 00:31:20,340
তারা আসলে আপনি কে চেক, এবং অ্যাপল আসলে অ্যাপ্লিকেশন scrutinizing হয়.

454
00:31:20,340 --> 00:31:27,450
আমরা ডিভাইস সংকটাপন্ন হচ্ছে যেখানে সত্য ম্যালওয়্যার অনেক দেখতে না.

455
00:31:27,450 --> 00:31:32,250
আমি এটা সত্যিই সংকটাপন্ন হচ্ছে যে গোপনীয়তা যেখানে কিছু উদাহরণ নিয়ে কথা বলতে হবে

456
00:31:32,250 --> 00:31:38,460
এবং যে সত্যিই অ্যাপল ডিভাইসে ঘটছে কি.

457
00:31:38,460 --> 00:31:44,090
অনিষ্টকারী কোড জন্য সন্ধান আরেকটি বিষয়, ডিভাইসের মধ্যে ঝুঁকিপূর্ণ কোড

458
00:31:44,090 --> 00:31:50,300
লজিক বা সময় বোমা, এবং সময় বোমা সম্ভবত হয়

459
00:31:50,300 --> 00:31:53,370
অনেক সহজ লজিক বোমা বেশী জন্য চেহারা.

460
00:31:53,370 --> 00:31:57,030
কিন্তু সময় বোমা সঙ্গে, আপনি কি কি করতে পারেন আপনার জন্য সন্ধান করতে পারেন হয়

461
00:31:57,030 --> 00:32:04,760
সময় পরীক্ষিত যেখানে কোড বা একটি পরম সময়ের মধ্যে জায়গা জন্য লাগছিল হয়

462
00:32:04,760 --> 00:32:08,190
অ্যাপ্লিকেশন নির্দিষ্ট কার্যকারিতা এরকম আগে.

463
00:32:08,190 --> 00:32:14,200
এবং এই, ব্যবহারকারী থেকে যে কার্যকলাপ আড়াল করা যাবে

464
00:32:14,200 --> 00:32:17,510
তাই এটি রাত্রে দেরী ঘটছে.

465
00:32:17,510 --> 00:32:24,350
DroidDream 11 টা ও 8 AM স্থানীয় সময় মধ্যে সব কার্যকলাপ করেনি

466
00:32:24,350 --> 00:32:30,650
ব্যবহারকারী তাদের ডিভাইসে ব্যবহার হতে পারে না, যখন এটা করতে চেষ্টা করুন.

467
00:32:30,650 --> 00:32:38,680
মানুষ একটি অ্যাপ্লিকেশন এর আচরণগত বিশ্লেষণ ব্যবহার করে থাকেন তাহলে >> এই কাজ করতে আরেকটি কারণ হল,

468
00:32:38,680 --> 00:32:43,430
, আবেদন আচরণ কি দেখার জন্য একটি স্যান্ডবক্স মধ্যে অ্যাপ্লিকেশন চলমান

469
00:32:43,430 --> 00:32:51,090
তারা কার্যকলাপ করতে সময় ভিত্তিক যুক্তিবিজ্ঞান ব্যবহার করতে পারেন

470
00:32:51,090 --> 00:32:54,640
অ্যাপ্লিকেশন স্যান্ডবক্স মধ্যে না থাকলে.

471
00:32:54,640 --> 00:33:01,520
আপেল মত উদাহরণস্বরূপ, একটি অ্যাপ স্টোর

472
00:33:01,520 --> 00:33:07,940
আবেদন চালায়, কিন্তু তারা সম্ভবত, অর্থাৎ, 30 দিনের জন্য প্রতি অ্যাপ্লিকেশন সঞ্চালিত না

473
00:33:07,940 --> 00:33:10,550
এটি অনুমোদন হওয়ার আগে, তাই আপনি লাগাতে পারেন

474
00:33:10,550 --> 00:33:14,120
ঠিক আছে, শুধু খারাপ জিনিস করে, বলেন যে আপনার আবেদনপত্রে যুক্তি

475
00:33:14,120 --> 00:33:20,490
30 দিন, আবেদন প্রকাশ তারিখের পরে 30 দিন বা পরে গেছে পরে

476
00:33:20,490 --> 00:33:27,020
এবং যে তার জন্য কার্যদর্শী মানুষ থেকে দূষিত কোড আড়াল সাহায্য করতে পারেন.

477
00:33:27,020 --> 00:33:30,050
এন্টি ভাইরাস কোম্পানি স্যান্ডবক্সে জিনিস দৌড়াচ্ছে যদি

478
00:33:30,050 --> 00:33:36,370
বা অ্যাপ্লিকেশন দোকান নিজেদের এই সাহায্য করতে পারেন হয়

479
00:33:36,370 --> 00:33:39,260
যে পরিদর্শন থেকে যে আড়াল.

480
00:33:39,260 --> 00:33:43,020
এখন, যে এর উল্টানো দিকে, এটা স্ট্যাটিক বিশ্লেষণ সঙ্গে খুঁজে পাওয়া সহজ হয়

481
00:33:43,020 --> 00:33:46,170
তাই আসলে আপনি সব জায়গা জন্য সন্ধান করতে পারেন কোড পরিদর্শন

482
00:33:46,170 --> 00:33:54,010
আবেদনের সময় পরীক্ষা করে এবং যে পথ পরিদর্শন করা হয়.

483
00:33:54,010 --> 00:33:58,850
এবং এখানে আমি এইসব 3 বিভিন্ন প্ল্যাটফর্মের উপর কিছু উদাহরণ আছে

484
00:33:58,850 --> 00:34:05,640
সময় অ্যাপ্লিকেশন সৃষ্টিকর্তা দ্বারা জন্য চেক করা যাবে কিভাবে

485
00:34:05,640 --> 00:34:10,520
তাই আপনি আপনি স্ট্যাটিক্যালি অ্যাপ্লিকেশন পরিদর্শন করছেন জন্য সন্ধান জানি.

486
00:34:10,520 --> 00:34:14,570
>> আমি শুধু বিভিন্ন দূষিত কার্যক্রম আভা মাধ্যমে গিয়েছিলাম

487
00:34:14,570 --> 00:34:18,969
আমরা বন্য দেখা করেছি, কিন্তু কোনটি সবচেয়ে প্রচলিত যে?

488
00:34:18,969 --> 00:34:23,940
উত্তর ক্যারোলিনা রাজ্য মোবাইল জিনোম প্রজেক্ট থেকে একই গবেষণা

489
00:34:23,940 --> 00:34:28,560
কিছু তথ্য প্রকাশিত, এবং 4 এলাকায় মূলত ছিল

490
00:34:28,560 --> 00:34:32,850
কার্যকলাপ অনেক ছিল যেখানে তারা দেখেছি.

491
00:34:32,850 --> 00:34:35,370
Apps এর 37%, বিশেষাধিকার তীব্রতাবৃদ্ধি করেছেন

492
00:34:35,370 --> 00:34:38,429
তাই তারা সেখানে Jailbreak কোড কিছু টাইপ ছিল

493
00:34:38,429 --> 00:34:42,070
তারা অধিকার ধাপে ধাপে বৃদ্ধি করার চেষ্টা করে যেখানে তারা পারে যাতে

494
00:34:42,070 --> 00:34:48,360
এপিআই কমান্ড অপারেটিং সিস্টেম হিসাবে চলমান না.

495
00:34:48,360 --> 00:34:52,520
Apps এর 45% আউট আছে, প্রিমিয়াম এসএমএস করেছেন

496
00:34:52,520 --> 00:34:57,260
তাই যে সরাসরি অর্থ উপার্জন করার চেষ্টা করছে যে বিপুল শতাংশ এর.

497
00:34:57,260 --> 00:35:02,640
93% দূরবর্তী নিয়ন্ত্রণ করেছিল, তাই তারা একটি বট নেট, একটি মোবাইল বট নেট সেট আপ করার চেষ্টা করে.

498
00:35:02,640 --> 00:35:08,990
এবং 45% শনাক্তকরণ তথ্য তোলা

499
00:35:08,990 --> 00:35:16,230
ফোন নম্বর, UUID জানা, GPS অবস্থান, ব্যবহারকারী অ্যাকাউন্ট, ভালো

500
00:35:16,230 --> 00:35:22,870
অধিকাংশ ম্যালওয়্যার এই জিনিস কিছু না করার চেষ্টা করে, কারণ এবং এই আরো 100 পর্যন্ত যোগ করে.

501
00:35:22,870 --> 00:35:27,070
>> আমি দ্বিতীয়ার্ধে সুইচ এবং কোড দুর্বলতা সম্পর্কে কথা বলতে যাচ্ছি.

502
00:35:27,070 --> 00:35:29,480
এই ঝুঁকিপূর্ণ কার্যকলাপ দ্বিতীয়ার্ধে হয়.

503
00:35:29,480 --> 00:35:33,450
ডেভেলপার ত্রুটি তৈরীর যেখানে মূলত এটি.

504
00:35:33,450 --> 00:35:37,210
একটি বৈধ অ্যাপ্লিকেশন লেখার একটি বৈধ ডেভেলপার

505
00:35:37,210 --> 00:35:41,830
ত্রুটি তৈরীর বা হয় মোবাইল প্ল্যাটফর্ম ঝুঁকি জ্ঞানহীন হয়.

506
00:35:41,830 --> 00:35:44,780
তারা শুধু একটি নিরাপদ মোবাইল অ্যাপ্লিকেশন করা কিভাবে জানি না,

507
00:35:44,780 --> 00:35:47,700
বা কখনও কখনও ডেভেলপার ঝুঁকিতে ব্যবহারকারী নির্বাণ যত্নশীল না.

508
00:35:47,700 --> 00:35:50,850
কখনও কখনও তাদের ব্যবসায়িক মডেল অংশ হতে পারে

509
00:35:50,850 --> 00:35:54,610
ব্যবহারকারীর ব্যক্তিগত তথ্য ফসল.

510
00:35:54,610 --> 00:35:58,090
এটা অন্য বিষয়শ্রেণীতে ধরণের, এবং যে কেন এই দূষিত কিছু

511
00:35:58,090 --> 00:36:03,200
মতামত পার্থক্য আছে কারণ বৈধ শুরু বনাম ধরে রক্ত ​​ঝরা

512
00:36:03,200 --> 00:36:10,440
কি ব্যবহারকারী চায় এবং কি ব্যবহারকারী ঝুঁকিপূর্ণ বিবেচনায় মধ্যে

513
00:36:10,440 --> 00:36:13,050
এবং কি অ্যাপ্লিকেশন ডেভেলপার ঝুঁকিপূর্ণ বিবেচনা করে.

514
00:36:13,050 --> 00:36:18,380
অবশ্যই, এটি বেশিরভাগ ক্ষেত্রেই অ্যাপ্লিকেশন ডেভেলপার এর ডাটা না.

515
00:36:18,380 --> 00:36:22,030
>> এবং পরিশেষে, তাহলে এই ঘটনার অন্য উপায় একটি ডেভেলপার মধ্যে সংযুক্ত আছে, হতে পারে হয়

516
00:36:22,030 --> 00:36:28,600
এটা দুর্বলতা অথবা এই ঝুঁকিপূর্ণ আচরণ আছে যা শেয়ার করা লাইব্রেরির

517
00:36:28,600 --> 00:36:32,480
তাদের unbeknownst.

518
00:36:32,480 --> 00:36:37,060
প্রথম শ্রেণীতে সংবেদনশীল তথ্য ফুটো হয়,

519
00:36:37,060 --> 00:36:40,030
অ্যাপ্লিকেশন তথ্য সংগ্রহ করে এবং যখন এই হয়

520
00:36:40,030 --> 00:36:44,980
অবস্থান, ঠিকানা বইয়ের তথ্য, মালিক তথ্য চাই

521
00:36:44,980 --> 00:36:48,000
এবং ডিভাইস বন্ধ করে পাঠায়.

522
00:36:48,000 --> 00:36:53,050
এবং এটা ডিভাইস বন্ধ না হলে আমরা যে তথ্য দিয়ে কি ঘটছে জানি না.

523
00:36:53,050 --> 00:36:57,170
এটি অ্যাপ্লিকেশন ডেভেলপার insecurely সংরক্ষণ করা যায়নি.

524
00:36:57,170 --> 00:37:02,070
আমরা অ্যাপ্লিকেশন ডেভেলপারদের আপোস করতে দেখা করেছি,

525
00:37:02,070 --> 00:37:05,820
এবং তারা সংরক্ষণ করছেন যে তথ্য নেওয়া হয়.

526
00:37:05,820 --> 00:37:10,970
এই ফ্লোরিডার নিচে একটি ডেভেলপার থেকে কয়েক মাস আগে ঘটেছে

527
00:37:10,970 --> 00:37:21,660
এর এটি একটি বিশাল সংখ্যা রহমান UUID জানা এবং ডিভাইসের নাম যেখানে ছিল

528
00:37:21,660 --> 00:37:25,270
কেউ, আমি এটা বেনামী ছিল মনে কারণ, অবাঞ্ছিতভাবে হয়েছে

529
00:37:25,270 --> 00:37:29,460
এই না বলে দাবি করেন, এই বিকাশকারী এর সার্ভারের মধ্যে বিচ্ছেদ

530
00:37:29,460 --> 00:37:34,920
ও iPad UUID জানা লক্ষ লক্ষ চুরি

531
00:37:34,920 --> 00:37:37,390
এবং কম্পিউটার নাম.

532
00:37:37,390 --> 00:37:40,260
নেই সবচেয়ে ঝুঁকিপূর্ণ তথ্য,

533
00:37:40,260 --> 00:37:46,820
কিন্তু কি যে যদি ব্যবহারকারীর নাম এবং পাসওয়ার্ড সঞ্চয় ছিল

534
00:37:46,820 --> 00:37:48,170
এবং বাড়ির ঠিকানা?

535
00:37:48,170 --> 00:37:51,100
তথ্য তজ্জাতীয় সংরক্ষণ Apps যে প্রচুর আছে.

536
00:37:51,100 --> 00:37:53,230
ঝুঁকি রয়েছে.

537
00:37:53,230 --> 00:37:56,620
ডেভেলপার তত্ত্বাবধান করা না হয়, তাহলে >> ঘটতে পারে যে অন্যান্য জিনিস

538
00:37:56,620 --> 00:38:01,370
তথ্য চ্যানেলের নিরাপদ, এবং যে আমি কথা বলার জন্য যাচ্ছি আরেকটি বড় দুর্বলতা এর জন্য,

539
00:38:01,370 --> 00:38:05,160
যে তথ্য পরিষ্কার পাঠানো হচ্ছে.

540
00:38:05,160 --> 00:38:09,040
ব্যবহারকারী একটি সার্বজনীন ওয়াই ফাই নেটওয়ার্কের যদি

541
00:38:09,040 --> 00:38:12,330
বা কেউ কোথাও ইন্টারনেট আঘ্রাণ হয়

542
00:38:12,330 --> 00:38:19,260
পথ বরাবর যে তথ্য উন্মুক্ত করা হচ্ছে.

543
00:38:19,260 --> 00:38:23,790
এই তথ্য ফুটো মধ্যে একজন খুব বিখ্যাত ক্ষেত্রে আশার সঙ্গে ঘটেছে,

544
00:38:23,790 --> 00:38:27,250
এবং এই আমরা Veracode এ গবেষণা কিছু.

545
00:38:27,250 --> 00:38:33,200
আমরা একটি আমি এটি একটি ফেডারেল ট্রেড কমিশন মনে ছিল শুনেছেন

546
00:38:33,200 --> 00:38:35,310
আশার সঙ্গে যাওয়া তদন্ত.

547
00:38:35,310 --> 00:38:39,830
আমরা "সেখানে যাচ্ছে কি? এর আশার অ্যাপ্লিকেশান এ খনন শুরু করা যাক.", বলেন

548
00:38:39,830 --> 00:38:46,690
এবং কি আমরা নির্ধারিত সংগৃহীত আশার আবেদন ছিল

549
00:38:46,690 --> 00:38:51,270
আপনার লিঙ্গ এবং আপনার বয়স,

550
00:38:51,270 --> 00:38:56,660
এবং এটি আপনার GPS অবস্থান, এবং আশার অ্যাপ্লিকেশনটি ব্যবহার

551
00:38:56,660 --> 00:39:00,200
তারা বৈধ কারণ ছিল কি জন্য এই কি.

552
00:39:00,200 --> 00:39:05,360
তারা খেলে-আশার যে সঙ্গীত একটি মিউজিক স্ট্রিমিং অ্যাপ্লিকেশন হয়

553
00:39:05,360 --> 00:39:07,530
তারা বাজানো হয় সঙ্গীত শুধুমাত্র মার্কিন যুক্তরাষ্ট্র লাইসেন্স করা ছিল,

554
00:39:07,530 --> 00:39:13,020
তাই তারা তারা ছিল তাদের লাইসেন্স চুক্তি মেনে চলার পরীক্ষা ছিল

555
00:39:13,020 --> 00:39:17,240
ব্যবহারকারীর মার্কিন যুক্তরাষ্ট্র যে সঙ্গীত জন্য.

556
00:39:17,240 --> 00:39:25,070
তারা পিতামাতার উপদেষ্টা মেনে চলতে চেয়েছিলেন

557
00:39:25,070 --> 00:39:33,790
সঙ্গীতে প্রায় প্রাপ্তবয়স্ক ভাষা,

558
00:39:33,790 --> 00:39:37,500
এবং তাই এটি একটি স্বেচ্ছাসেবী প্রোগ্রাম আছে, কিন্তু তারা যে মেনে চলতে চেয়েছিলেন

559
00:39:37,500 --> 00:39:43,010
এবং শিশুদের 13 এবং অধীন করার স্পষ্ট গানের খেলা না.

560
00:39:43,010 --> 00:39:46,280
>> তারা এই তথ্য সংগ্রহের জন্য বৈধ কারণ ছিল.

561
00:39:46,280 --> 00:39:49,160
তাদের অ্যাপ্লিকেশন এটি করতে অনুমতি ছিল.

562
00:39:49,160 --> 00:39:52,000
ব্যবহারকারীরা এই বৈধ ছিল. কিন্তু কি ঘটেছে?

563
00:39:52,000 --> 00:39:55,810
তারা 3 বা 4 বিভিন্ন বিজ্ঞাপন লাইব্রেরি লিঙ্ক.

564
00:39:55,810 --> 00:39:59,140
এখন হঠাৎ এই সব বিজ্ঞাপন লাইব্রেরি সব

565
00:39:59,140 --> 00:40:02,970
এই একই তথ্য অ্যাক্সেস পাচ্ছেন.

566
00:40:02,970 --> 00:40:05,830
বিজ্ঞাপন লাইব্রেরি, আপনি বিজ্ঞাপন লাইব্রেরি কোড তাকান

567
00:40:05,830 --> 00:40:08,430
কি তারা প্রত্যেক বিজ্ঞাপন লাইব্রেরি বলেছেন হয়

568
00:40:08,430 --> 00:40:11,340
"আমার অ্যাপ্লিকেশন GPS অবস্থান পেতে অনুমতি আছে?"

569
00:40:11,340 --> 00:40:14,890
"ওহ, এটা? ঠিক আছে, আমার GPS অবস্থান বলতে হয় না."

570
00:40:14,890 --> 00:40:16,620
প্রতিটি একক বিজ্ঞাপন গ্রন্থাগারের যে আছে,

571
00:40:16,620 --> 00:40:19,740
এবং অ্যাপ্লিকেশন জিপিএস অনুমতি নেই যদি

572
00:40:19,740 --> 00:40:23,460
এটা এটি পেতে পারবে না, কিন্তু এটা আছে, এটা তা পাবেন.

573
00:40:23,460 --> 00:40:26,240
এই বিজ্ঞাপনটি লাইব্রেরি যেখানে ব্যবসায়িক মডেল

574
00:40:26,240 --> 00:40:31,160
ব্যবহারকারীর গোপনীয়তা বিরোধিতা করা হয়.

575
00:40:31,160 --> 00:40:34,980
এবং যদি আপনি বয়স যদি জানেন বলবে যে সেখানে আউট গবেষণা আছে এর

576
00:40:34,980 --> 00:40:38,430
একজন ব্যক্তির এবং আপনি তাদের অবস্থান জানতে

577
00:40:38,430 --> 00:40:42,530
আপনি তাদের জিপিএস স্থানাঙ্ক আছে, কারণ তারা রাত্রে নিদ্রা যেখানে

578
00:40:42,530 --> 00:40:46,030
তারা সম্ভবত ঘুমের হয় যখন, আপনি যে ব্যক্তি ঠিক কে জানে

579
00:40:46,030 --> 00:40:50,230
আপনি যে পরিবারের সদস্য যে ব্যক্তি যা নির্ধারণ করতে পারেন.

580
00:40:50,230 --> 00:40:54,780
সত্যিই এই খবর Netlog ওপর বিজ্ঞাপণদাতা করার চিহ্নিত করা হয়

581
00:40:54,780 --> 00:40:59,530
আপনি ঠিক আছে, এবং এটা বৈধ ছিল এটা দেখে মনে হচ্ছে যারা.

582
00:40:59,530 --> 00:41:02,800
আমি শুধু আমার স্ট্রিমিং সঙ্গীত চান, এবং এই এটি পেতে একমাত্র উপায়.

583
00:41:02,800 --> 00:41:05,370
>> ভাল, আমরা এই উন্মুক্ত.

584
00:41:05,370 --> 00:41:08,030
আমরা বেশ কিছু ব্লগ পোস্ট এই পর্যন্ত লিখেছেন,

585
00:41:08,030 --> 00:41:13,280
এবং পরিণত যে রোলিং স্টোন ম্যাগাজিনের থেকে কেউ

586
00:41:13,280 --> 00:41:18,810
আমাদের ব্লগ পোস্ট এক পড়া এবং এটি সম্পর্কে রোলিং স্টোন মধ্যে তাদের নিজস্ব ব্লগে লিখেছেন,

587
00:41:18,810 --> 00:41:22,120
এবং খুব পরের দিন আশার এটি একটি ভাল ধারণা ছিল

588
00:41:22,120 --> 00:41:27,600
তাদের অ্যাপ্লিকেশন থেকে বিজ্ঞাপন লাইব্রেরি মুছে ফেলার জন্য.

589
00:41:27,600 --> 00:41:31,270
যতদুর আমি জানি তারা কেবল 'তারা প্রশংসা করা উচিত করছি.

590
00:41:31,270 --> 00:41:35,770
আমি মনে করি তারা এই কাজ করেনি যে অ্যাপ্লিকেশন শুধুমাত্র freemium টাইপ মনে.

591
00:41:35,770 --> 00:41:38,660
অন্যান্য সমস্ত freemium অ্যাপ্লিকেশান এই একই আচরণ আছে,

592
00:41:38,660 --> 00:41:41,780
তাই আপনি আপনি প্রদান করছি তথ্য কি ধরনের সম্পর্কে ভাবতে পেয়েছেন

593
00:41:41,780 --> 00:41:48,330
এটি সব খবর Netlog ওপর বিজ্ঞাপণদাতা যাচ্ছে এই freemium অ্যাপ্লিকেশন কারণ.

594
00:41:48,330 --> 00:41:53,390
উক্ত ম্যাজিসট্রেটের সমপদমর্যাদাসম্পন্ন এছাড়াও ভাগ লাইব্রেরি সম্পর্কে একটি গবেষণা করেছেন এবং বলেছেন,

595
00:41:53,390 --> 00:41:57,100
", এর লাইব্রেরি শীর্ষ শেয়ার করা লাইব্রেরি রয়েছে ভাগ তাকান" এবং এই তথ্য ছিল.

596
00:41:57,100 --> 00:41:59,420
>> তারা 53,000 অ্যাপ্লিকেশান বিশ্লেষণ,

597
00:41:59,420 --> 00:42:01,900
এবং সংখ্যা 1 ভাগ লাইব্রেরি Admob ছিল.

598
00:42:01,900 --> 00:42:06,060
এটা সেখানে আউট অ্যাপ্লিকেশন 38% এর মধ্যে আসলে ছিল

599
00:42:06,060 --> 00:42:08,800
আপনি ব্যবহার করছেন অ্যাপ্লিকেশন তাই 38%

600
00:42:08,800 --> 00:42:11,250
সম্ভবত আপনার ব্যক্তিগত তথ্য ফসল হয়

601
00:42:11,250 --> 00:42:16,650
এবং বিজ্ঞাপন নেটওয়ার্ক থেকে এটি প্রেরণ.

602
00:42:16,650 --> 00:42:19,350
এ্যাপাচি এবং অ্যান্ড্রয়েড 8% এবং 6% ছিল,

603
00:42:19,350 --> 00:42:22,960
এবং তারপর নীচে, গুগল বিজ্ঞাপন, দমক এ এই অন্যান্য বেশী নিচে,

604
00:42:22,960 --> 00:42:26,600
মব সিটি এবং Millennial মিডিয়া,

605
00:42:26,600 --> 00:42:30,500
এই তারপর, মজার যথেষ্ট সকল বিজ্ঞাপন কোম্পানি, এবং

606
00:42:30,500 --> 00:42:33,500
4% ফেসবুক লাইব্রেরি লিঙ্ক

607
00:42:33,500 --> 00:42:38,870
সম্ভবত ফেসবুকের মাধ্যমে পরিচয় প্রমাণ করতে

608
00:42:38,870 --> 00:42:40,810
তাই অ্যাপ্লিকেশন ফেসবুক প্রমাণীকরণ পারে.

609
00:42:40,810 --> 00:42:44,660
কিন্তু যে এছাড়াও ফেসবুক কোড নিয়ন্ত্রণ করে নিগম মানে

610
00:42:44,660 --> 00:42:49,010
যে, সেখানে আউট অ্যান্ড্রয়েড মোবাইল Apps এর 4% মধ্যে চলমান

611
00:42:49,010 --> 00:42:53,490
এবং তারা যে অ্যাপ্লিকেশন এ পেতে অনুমতি রয়েছে যে সব তথ্য অ্যাক্সেস থাকবে.

612
00:42:53,490 --> 00:42:57,170
ফেসবুক মূলত বিজ্ঞাপন স্পেস বিক্রি করার চেষ্টা করে.

613
00:42:57,170 --> 00:43:00,120
যে তাদের ব্যবসা মডেল এর.

614
00:43:00,120 --> 00:43:02,920
>> আপনি এই অনুমতিসহ এই পুরো বাস্তুতন্ত্র তাকান

615
00:43:02,920 --> 00:43:07,740
এবং আপনি যে দেখতে শুরু শেয়ার্ড লাইব্রেরি

616
00:43:07,740 --> 00:43:13,850
আপনি একটি কল্পনানুসারে বৈধ আবেদন ঝুঁকি অনেক আছে.

617
00:43:13,850 --> 00:43:19,360
আশার সঙ্গে ঘটেছে একই ধরনের জিনিস

618
00:43:19,360 --> 00:43:22,340
, পথ নামক একটি অ্যাপ্লিকেশন সঙ্গে ঘটেছে

619
00:43:22,340 --> 00:43:27,660
এবং পথ তারা সহায়ক, বন্ধুত্বপূর্ণ ডেভেলপারদের হচ্ছে ছিল.

620
00:43:27,660 --> 00:43:32,160
তারা শুধু আপনি একটি মহান ব্যবহারকারীর অভিজ্ঞতা দিতে চেষ্টা করছেন,

621
00:43:32,160 --> 00:43:37,810
এবং পরিণত যে ব্যবহারকারী প্ররোচনা বা ব্যবহারকারী কহন ছাড়া কিছুই-

622
00:43:37,810 --> 00:43:40,400
এবং এই, আইফোন এবং অ্যান্ড্রয়েড উপর ঘটেছে

623
00:43:40,400 --> 00:43:44,420
আশার অ্যাপ্লিকেশন আইফোন এবং ছিল অ্যান্ড্রয়েড-

624
00:43:44,420 --> 00:43:48,890
পথ আবেদন আপনার সম্পূর্ণ ঠিকানা বই দখল ছিল

625
00:43:48,890 --> 00:43:52,830
এবং আপনি ইনস্টল এবং অ্যাপ্লিকেশন দৌড়ে ঠিক যখন পথ থেকে এটি আপলোড,

626
00:43:52,830 --> 00:43:55,840
এবং তারা এই সম্পর্কে বলতে হয়নি.

627
00:43:55,840 --> 00:43:58,750
তারা এটা আপনার জন্য সত্যিই সহায়ক ছিল

628
00:43:58,750 --> 00:44:04,040
আপনার ঠিকানা বই সব মানুষের সঙ্গে ভাগ পাবে

629
00:44:04,040 --> 00:44:06,920
আপনি পথ অ্যাপ্লিকেশন ব্যবহার করছি.

630
00:44:06,920 --> 00:44:09,490
>> ভাল, সম্ভবত পাথ তাদের কোম্পানির জন্য মহান ছিল.

631
00:44:09,490 --> 00:44:13,510
ব্যবহারকারী যাও তাই মহান নয়.

632
00:44:13,510 --> 00:44:19,020
আপনি এটা যদি হয়তো একটি কিশোর এক জিনিস যে মনে আছে

633
00:44:19,020 --> 00:44:23,700
এই অ্যাপ্লিকেশন ব্যবহার করে এবং বন্ধুদের তাদের অত্যাধিক আছে হয় হয়

634
00:44:23,700 --> 00:44:29,360
কিন্তু পথ ইনস্টল একটি কোম্পানির প্রধান নির্বাহী কর্মকর্তা কি যদি

635
00:44:29,360 --> 00:44:33,170
এবং তারপর হঠাৎ তাদের পুরো ঠিকানা বই সব আপ আছে?

636
00:44:33,170 --> 00:44:38,310
আপনি সম্ভাব্য মূল্যবান যোগাযোগের তথ্য অনেক পেতে যাচ্ছেন

637
00:44:38,310 --> 00:44:40,920
মানুষ অনেক জন্য.

638
00:44:40,920 --> 00:44:44,500
নিউ ইয়র্ক টাইমস থেকে একটি প্রতিবেদক, আপনি ফোন নম্বর পেতে পারে

639
00:44:44,500 --> 00:44:47,380
তাদের ঠিকানা বই থেকে প্রাক্তন রাষ্ট্রপ্রধান জন্য,

640
00:44:47,380 --> 00:44:54,780
তাই অবশ্যই সংবেদনশীল তথ্য অনেক ভালো কিছু সঙ্গে স্থানান্তরিত হয়.

641
00:44:54,780 --> 00:44:58,090
যে পথ ক্ষমা চেয়ে এই বিষয়ে যেমন একটি বড় পক্ষবিধুনন ছিল.

642
00:44:58,090 --> 00:45:01,610
তারা তাদের অ্যাপ্লিকেশন পরিবর্তন, এবং এটা এমনকি অ্যাপল প্রভাব.

643
00:45:01,610 --> 00:45:06,950
অ্যাপল আমরা ব্যবহারকারীদের অনুরোধ জানানো অ্যাপ্লিকেশন বিক্রেতারা বাধ্য চলুন বলেন, "

644
00:45:06,950 --> 00:45:12,650
তারা তাদের সম্পূর্ণ ঠিকানা বই সংগ্রহ করতে যাচ্ছেন না. "

645
00:45:12,650 --> 00:45:15,360
>> এটা হয় এখানে ঘটছে বলে মনে হচ্ছে

646
00:45:15,360 --> 00:45:19,430
সেখানে এক বড় গোপনীয়তা লঙ্ঘন এবং এটি প্রেস করে যখন

647
00:45:19,430 --> 00:45:21,680
আমরা সেখানে একটি পরিবর্তন দেখতে.

648
00:45:21,680 --> 00:45:23,230
তবে অবশ্যই, অন্যান্য বিষয়ের আউট আছে আছে.

649
00:45:23,230 --> 00:45:27,440
লিঙ্কডইন অ্যাপ্লিকেশনের দ্বারা আপনাকে আপনার ক্যালেন্ডার এন্ট্রি ফলনের

650
00:45:27,440 --> 00:45:34,530
কিন্তু আপেল ব্যবহারকারী যে বিষয়ে অনুরোধ জানানো যায় না.

651
00:45:34,530 --> 00:45:38,030
ক্যালেন্ডার এন্ট্রি খুব তাদের মধ্যে সংবেদনশীল তথ্য থাকতে পারে.

652
00:45:38,030 --> 00:45:40,000
কোথায় আপনি রেখা আঁকা যাচ্ছে?

653
00:45:40,000 --> 00:45:43,960
এই সত্যিই ধরনের একটি নব্য জায়গা

654
00:45:43,960 --> 00:45:47,640
কোন ভাল মান আছে সত্যিই আছে যেখানে

655
00:45:47,640 --> 00:45:51,990
তাদের তথ্য ঝুঁকি হতে যাচ্ছে যখন ব্যবহারকারীদের বুঝতে জন্য

656
00:45:51,990 --> 00:45:57,820
তারা জানেন চলুন যখন তা নেওয়া হচ্ছে.

657
00:45:57,820 --> 00:46:03,040
আমরা Adios বলা Veracode এ একটি অ্যাপ্লিকেশন লিখেছে

658
00:46:03,040 --> 00:46:08,350
এবং মূলত এটি আপনি আপনার আই টিউনস ডিরেক্টরি এ অ্যাপ্লিকেশন নির্দেশ অনুমোদিত

659
00:46:08,350 --> 00:46:12,550
এবং আপনার পুরো ঠিকানা বই ফসল ছিল সব অ্যাপ্লিকেশন তাকান.

660
00:46:12,550 --> 00:46:19,760
এবং যদি আপনি এখানে এই তালিকায় দেখতে পারেন, ক্রুদ্ধ পাখি,

661
00:46:19,760 --> 00:46:21,590
এইম, AroundMe.

662
00:46:21,590 --> 00:46:24,050
কেন ক্রুদ্ধ ও আপনার ঠিকানা বই প্রয়োজন?

663
00:46:24,050 --> 00:46:29,160
আমি জানি না, কিন্তু এটা একরকম না.

664
00:46:29,160 --> 00:46:32,310
>> এই অনেক, অনেক অ্যাপ্লিকেশন কি এমন কিছু বিষয় যা.

665
00:46:32,310 --> 00:46:34,780
আপনি এই জন্য কোড পরিদর্শন করতে পারেন.

666
00:46:34,780 --> 00:46:38,660
আইফোন, অ্যানড্রইড এবং ব্ল্যাকবেরি জন্য উত্তমরুপে সংজ্ঞায়িত API গুলি আছে

667
00:46:38,660 --> 00:46:42,120
ঠিকানা বই এ পেতে.

668
00:46:42,120 --> 00:46:48,520
আপনি সত্যিই সহজে এই জন্য পরিদর্শন করতে পারেন, এবং এই আমরা আমাদের Adios আবেদন করেছিল কি না.

669
00:46:48,520 --> 00:46:52,320
পরবর্তী বিভাগ, অনিরাপদ সংবেদনশীল তথ্য সংরক্ষণ,

670
00:46:52,320 --> 00:46:55,670
ডেভেলপারদের একটি পিন মত কিছু নিতে যেখানে কিছু বা একটি অ্যাকাউন্ট সংখ্যা

671
00:46:55,670 --> 00:46:58,530
অথবা একটি পাসওয়ার্ড এবং তা ডিভাইসে স্পষ্ট মধ্যে সঞ্চয়.

672
00:46:58,530 --> 00:47:02,310
এমনকি খারাপ, তারা তা ফোনে একটি এলাকায় দোকান পারে

673
00:47:02,310 --> 00:47:06,820
যা এসডি কার্ড মত, বিশ্বব্যাপী প্রবেশযোগ্য.

674
00:47:06,820 --> 00:47:11,320
অ্যান্ড্রয়েড একটি এসডি কার্ড জন্য করতে পারবেন, কারণ আপনি অ্যান্ড্রয়েড উপর আরো প্রায়ই এই দেখুন.

675
00:47:11,320 --> 00:47:13,200
আইফোন ডিভাইসের না.

676
00:47:13,200 --> 00:47:17,900
কিন্তু আমরা এমনকি এই একটি Citigroup আবেদনপত্রে ঘটতে দেখেছি.

677
00:47:17,900 --> 00:47:25,450
তাদের অনলাইন ব্যাংকিং অ্যাপ্লিকেশন, insecurely অ্যাকাউন্ট নম্বর সংরক্ষিত

678
00:47:25,450 --> 00:47:28,120
শুধু পরিষ্কার করে, তাই আপনি আপনার ডিভাইস হারিয়ে যদি,

679
00:47:28,120 --> 00:47:30,670
মূলত আপনি আপনার ব্যাংক অ্যাকাউন্ট হারিয়ে গেছে.

680
00:47:30,670 --> 00:47:36,000
আমি ব্যক্তিগতভাবে আমার আইফোনের ব্যাংকিং করবেন না কেন.

681
00:47:36,000 --> 00:47:43,710
আমি এটা কার্যক্রম এই ধরনের কাজ করার অধিকার এখন অত্যন্ত ঝুঁকিপূর্ণ মনে করি.

682
00:47:43,710 --> 00:47:45,950
>> স্কাইপ একই জিনিস না.

683
00:47:45,950 --> 00:47:49,870
স্কাইপ, অবশ্যই, একটি অ্যাকাউন্ট ব্যালেন্স, একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড আছে

684
00:47:49,870 --> 00:47:51,030
যে ব্যালেন্স অ্যাক্সেস যে.

685
00:47:51,030 --> 00:48:00,080
তারা মোবাইল ডিভাইসে স্পষ্ট সব যে তথ্য সংরক্ষণ করা হয়.

686
00:48:00,080 --> 00:48:05,760
আমি ফাইল তৈরি করার জন্য এখানে কিছু উদাহরণ আছে

687
00:48:05,760 --> 00:48:10,310
যে সঠিক অনুমতি আছে বা ডিস্ক লিখিতভাবে না

688
00:48:10,310 --> 00:48:17,260
এবং কোনো এনক্রিপশন যে জন্য ঘটতে হচ্ছে না.

689
00:48:17,260 --> 00:48:20,190
এই পরের এলাকা, অনিরাপদ সংবেদনশীল তথ্য ট্রান্সমিশন,

690
00:48:20,190 --> 00:48:24,450
আমি এই কয়েক বার উল্লিখিত, এবং কারণ পাবলিক ওয়াই ফাই এর করেছি

691
00:48:24,450 --> 00:48:27,770
এই একেবারে যা করতে হবে apps এমন কিছু বিষয় যা,

692
00:48:27,770 --> 00:48:31,250
এবং এই আমরা সবচেয়ে ভুল দেখতে সম্ভবত.

693
00:48:31,250 --> 00:48:34,920
আমি বলতে-আসলে হবে, আমি প্রকৃত তথ্য আছে মনে,

694
00:48:34,920 --> 00:48:38,120
কিন্তু এটি অর্ধেক মোবাইল অ্যাপ্লিকেশনের জন্য বন্ধ

695
00:48:38,120 --> 00:48:41,780
SSL-করছে স্ক্রু আপ.

696
00:48:41,780 --> 00:48:43,910
তারা শুধু API গুলি সঠিকভাবে ব্যবহার করবেন না.

697
00:48:43,910 --> 00:48:47,970
আমি বলতে চাচ্ছি, আপনি পেয়েছেন সব, নির্দেশাবলী অনুসরণ করুন ও API গুলি ব্যবহার হয়

698
00:48:47,970 --> 00:48:54,720
কিন্তু তারা ভালো জিনিস, অন্য প্রান্তে একটি অবৈধ শংসাপত্র আছে কিনা তা যাচাই না

699
00:48:54,720 --> 00:49:02,120
অন্য প্রান্তে একটি প্রোটোকল ডাউনগ্রেড আক্রমণ করার চেষ্টা করছে, যদি পরীক্ষা না.

700
00:49:02,120 --> 00:49:07,200
>> ডেভেলপার, তারা তাদের চেকবক্স পেতে চান, ডান?

701
00:49:07,200 --> 00:49:11,910
তাদের প্রয়োজন বিক্রয় করতে এই ব্যবহার হয়. তারা বিক্রি করতে এই ব্যবহার করেছি.

702
00:49:11,910 --> 00:49:14,800
প্রয়োজন, নিরাপদে বিক্রি এই ব্যবহার করতে হয় না

703
00:49:14,800 --> 00:49:19,680
SSL-র ব্যবহার যে সব অ্যাপ্লিকেশন তথ্য অভেদ্য কেন এবং তাই এই হল

704
00:49:19,680 --> 00:49:23,470
এটি বন্ধ প্রেরিত হচ্ছে হিসাবে ডিভাইস সত্যিই পরীক্ষা করা প্রয়োজন

705
00:49:23,470 --> 00:49:28,950
যে সঠিকভাবে বাস্তবায়িত হয় নিশ্চিত.

706
00:49:28,950 --> 00:49:32,850
এবং এখানে আমি আপনাকে একটি অ্যাপ্লিকেশন দেখতে পারেন যেখানে কিছু উদাহরণ আছে

707
00:49:32,850 --> 00:49:37,400
HTTP-র পরিবর্তে HTTPS দ্বারা ব্যবহার করা যেতে পারে.

708
00:49:37,400 --> 00:49:40,510
কিছু ক্ষেত্রে অ্যাপ্লিকেশান HTTP-র ফিরে আসবে

709
00:49:40,510 --> 00:49:44,250
HTTPS দ্বারা কাজ না করে যদি.

710
00:49:44,250 --> 00:49:49,070
আমি, তারা সার্টিফিকেট পরীক্ষা নিষ্ক্রিয় করেছি যেখানে Android এর উপর এখানে অন্য কল আছে

711
00:49:49,070 --> 00:49:51,700
তাই একজন মানুষ ইন দ্যা মধ্যম আক্রমণ ঘটতে পারে.

712
00:49:51,700 --> 00:49:56,370
একটি অবৈধ শংসাপত্র গ্রহণ করা হবে.

713
00:49:56,370 --> 00:50:01,920
এই আক্রমণকারীদের উপর পেতে যাচ্ছে যেখানে সব ক্ষেত্রে হয়

714
00:50:01,920 --> 00:50:07,150
ব্যবহারকারী এবং এক্সেস সব তথ্য হিসাবে একই ওয়াই ফাই সংযোগ

715
00:50:07,150 --> 00:50:11,650
যে ইন্টারনেটের মাধ্যমে পাঠানো হচ্ছে.

716
00:50:11,650 --> 00:50:15,970
>> এবং পরিশেষে, আমি এখানে থাকতে গত বিষয়শ্রেণীতে হার্ডকোডেড পাসওয়ার্ড এবং কি হয়.

717
00:50:15,970 --> 00:50:21,470
আমরা আসলে ডেভেলপারদের অনেক একই কোডিং শৈলী ব্যবহার দেখুন

718
00:50:21,470 --> 00:50:25,900
তারা ওয়েব সার্ভার অ্যাপ্লিকেশন নির্মাণ ছিল করেনি, যে

719
00:50:25,900 --> 00:50:29,700
তাই তারা একটি জাভা সার্ভার অ্যাপ্লিকেশন ঘর তৈরী করছি, এবং তারা কী hardcoding করছি.

720
00:50:29,700 --> 00:50:31,940
হ্যাঁ, আপনি একটি সার্ভার অ্যাপ্লিকেশন ঘর তৈরী করছি যখন, হাঁ,

721
00:50:31,940 --> 00:50:34,240
কী hardcoding বাঞ্ছনীয় নয়.

722
00:50:34,240 --> 00:50:36,290
এটা কঠিন পরিবর্তন করে তোলে.

723
00:50:36,290 --> 00:50:40,700
কে সার্ভার সাইড এক্সেস আছে কারণ কিন্তু এটা সার্ভারের দিকে যাতে খারাপ না?

724
00:50:40,700 --> 00:50:43,140
শুধু অ্যাডমিনিস্ট্রেটররা.

725
00:50:43,140 --> 00:50:48,100
কিন্তু আপনি একই কোড এবং নেন, আপনি একটি মোবাইল অ্যাপ্লিকেশন থেকে এটি উপর ঢেলে যদি

726
00:50:48,100 --> 00:50:52,550
এখন মোবাইল অ্যাপ্লিকেশন যে হার্ডকোডেড কী ব্যবহার করেছে যে যারা আছে সবাই,

727
00:50:52,550 --> 00:50:56,380
এবং আসলে আমরা এই বার অনেক দেখতে, এবং আমি কিছু পরিসংখ্যান আছে

728
00:50:56,380 --> 00:51:00,920
আমরা এই ঘটতে দেখতে কত ঘন ঘন উপর.

729
00:51:00,920 --> 00:51:04,940
এটা আসলে মাস্টারকার্ড প্রকাশিত যে উদাহরণ কোড ছিল

730
00:51:04,940 --> 00:51:06,850
তাদের সেবা কিভাবে ব্যবহার করতে.

731
00:51:06,850 --> 00:51:11,860
উদাহরণস্বরূপ কোড তখন আপনার পাসওয়ার্ড লাগবে কিভাবে দেখিয়েছেন

732
00:51:11,860 --> 00:51:14,850
এবং, ডান সেখানে একটি হার্ডকোডেড স্ট্রিং রাখা

733
00:51:14,850 --> 00:51:19,380
এবং আমরা ডেভেলপারদের কোড স্নিপেট কপি ও পেস্ট করতে ভালোবাসি জানেন কিভাবে

734
00:51:19,380 --> 00:51:22,360
তারা কিছু একটা করার চেষ্টা করছি, যাতে আপনি কোড স্নিপেট কপি ও পেস্ট করার সময়

735
00:51:22,360 --> 00:51:28,450
তারা উদাহরণ কোড হিসাবে দিয়েছিলেন, এবং আপনি একটি অসুরক্ষিত আবেদন আছে.

736
00:51:28,450 --> 00:51:31,490
>> এবং এখানে আমরা কিছু উদাহরণ আছে.

737
00:51:31,490 --> 00:51:35,840
এই প্রথম এক আমরা তারা hardcode যেখানে অনেক দেখতে এক

738
00:51:35,840 --> 00:51:40,510
পাঠানো পরার একটি URL মধ্যে তথ্য অধিকার.

739
00:51:40,510 --> 00:51:45,120
কখনও কখনও আমরা স্ট্রিং পাসওয়ার্ড = পাসওয়ার্ডটি দেখতে.

740
00:51:45,120 --> 00:51:49,060
যে ব্ল্যাকবেরি এবং অ্যান্ড্রয়েড উপর প্রায় কাছাকাছি সনাক্ত করা সহজ, অথবা পংক্তি পাসওয়ার্ড এর.

741
00:51:49,060 --> 00:51:53,680
এটা আসলে, কারণ প্রায় সবসময় পরীক্ষা বেশ সহজ

742
00:51:53,680 --> 00:51:57,030
বিকাশকারী নাম শব্দচাবি অধিষ্ঠিত যে পরিবর্তনশীল

743
00:51:57,030 --> 00:52:02,290
পাসওয়ার্ড কিছু ভেরিয়েশন.

744
00:52:02,290 --> 00:52:05,200
আমি, আমরা Veracode এ স্ট্যাটিক বিশ্লেষণ করবেন উল্লেখ করেন যে,

745
00:52:05,200 --> 00:52:11,790
তাই আমরা কয়েক শত অ্যানড্রইড এবং iOS অ্যাপ্লিকেশন বিশ্লেষণ করেছি.

746
00:52:11,790 --> 00:52:15,160
আমরা তাদের পূর্ণ মডেল তৈরি করেছি, এবং আমরা তাদের স্ক্যান করতে পারবেন

747
00:52:15,160 --> 00:52:19,280
বিভিন্ন দুর্বলতা, আমি সম্পর্কে কথা ছিল, বিশেষ দুর্বলতা, জন্য

748
00:52:19,280 --> 00:52:21,050
এবং আমি এখানে কিছু তথ্য আছে.

749
00:52:21,050 --> 00:52:24,320
আমরা দেখতে লাগলাম অ্যানড্রইড Apps এর 68.5%

750
00:52:24,320 --> 00:52:28,590
ক্রিপ্টোগ্রাফিক কোড ভেঙে থাকে,

751
00:52:28,590 --> 00:52:33,240
আপনি আপনার নিজস্ব ক্রিপ্টো রুটিন তৈরি হলে আমাদের জন্য, আমরা সনাক্ত করতে পারে না যা,

752
00:52:33,240 --> 00:52:38,980
যে একটা ভাল ধারণা, কিন্তু এই আসলে প্রকাশিত API গুলি ব্যবহার করছে না যে

753
00:52:38,980 --> 00:52:42,530
প্ল্যাটফর্মে কিন্তু এমনভাবে যে তাদের কাজ

754
00:52:42,530 --> 00:52:46,680
ক্রিপ্টো, 68.5 প্রবন হবে.

755
00:52:46,680 --> 00:52:49,870
এবং এই আসলে আমাদের তাদের অ্যাপ্লিকেশনের পাঠানোর যে মানুষের জন্য, কারণ

756
00:52:49,870 --> 00:52:53,730
তারা এটা নিরাপত্তা টেস্টিং করার একটা ভাল ধারণা মনে করি.

757
00:52:53,730 --> 00:52:56,960
এই ইতিমধ্যে সম্ভবত নিরাপদে চিন্তা করা হয় যে মানুষ হয়

758
00:52:56,960 --> 00:52:59,540
তাই সম্ভবত এটি এমনকি খারাপ.

759
00:52:59,540 --> 00:53:02,690
>> আমি নিয়ন্ত্রণ রেখা ফিড ইনজেকশন সম্পর্কে কথা বলতে না.

760
00:53:02,690 --> 00:53:07,640
এটা আমরা পরীক্ষা কিছু, কিন্তু এটা একটি বিষয় যে ঝুঁকিপূর্ণ নয়.

761
00:53:07,640 --> 00:53:15,390
তথ্য ফুটো, এই সংবেদনশীল তথ্য ডিভাইস বন্ধ পাঠানো হচ্ছে যেখানে হয়.

762
00:53:15,390 --> 00:53:19,270
আমরা অ্যাপ্লিকেশন 40% এর মধ্যে যে পাওয়া যায় নি.

763
00:53:19,270 --> 00:53:23,540
সময় ও রাষ্ট্র, যারা, কাজে লাগান সাধারণত বেশ কঠিন জাতি শর্ত ধরনের সমস্যা, হয়

764
00:53:23,540 --> 00:53:26,170
তাই আমি যে বিষয়ে কথা বলতে না, কিন্তু আমরা তা দেখতে লাগলাম.

765
00:53:26,170 --> 00:53:28,750
23% এসকিউএল ইনজেকশন বিষয় ছিল.

766
00:53:28,750 --> 00:53:32,020
মানুষ অনেক জানি না যে অ্যাপ্লিকেশনের অনেক

767
00:53:32,020 --> 00:53:35,880
তথ্য ধারণ করার জন্য তাদের ফিরে প্রান্তে একটি ছোট একটু এসকিউএল ডাটাবেজ ব্যবহার.

768
00:53:35,880 --> 00:53:40,430
ওয়েল, যদি আপনি নেটওয়ার্কের মাধ্যমে দখল করছি যে তথ্য

769
00:53:40,430 --> 00:53:43,800
এটা এসকিউএল ইনজেকশন আক্রমণ স্ট্রিং আছে

770
00:53:43,800 --> 00:53:45,970
কেউ যে মাধ্যমে ডিভাইস আপোস করতে পারে,

771
00:53:45,970 --> 00:53:49,800
এবং তাই আমি, আমরা ওয়েব অ্যাপ্লিকেশন প্রায় 40% এই সমস্যা খুঁজে মনে

772
00:53:49,800 --> 00:53:52,840
যা একটি বিশাল মহামারী সমস্যা.

773
00:53:52,840 --> 00:53:55,740
আমরা মোবাইল অ্যাপ্লিকেশনের মধ্যে এটি সময় 23% খুঁজে

774
00:53:55,740 --> 00:54:02,030
আরো অনেক ওয়েব অ্যাপ্লিকেশন মোবাইল তুলনায় এসকিউএল ব্যবহার কারণ এবং যে সম্ভবত.

775
00:54:02,030 --> 00:54:05,580
>> এবং তারপর আমরা এখনও কিছু ক্রস সাইট স্ক্রিপ্টিং, অনুমোদন বিষয়, দেখতে

776
00:54:05,580 --> 00:54:09,400
আপনি আপনার হার্ডকোডেড পাসওয়ার্ড আছে যেখানে এবং তারপর শংসাপত্র ব্যবস্থাপনা, যে.

777
00:54:09,400 --> 00:54:14,540
অ্যাপ্লিকেশনের 5% আমরা দেখতে যে.

778
00:54:14,540 --> 00:54:17,970
এবং তারপর আমরা iOS উপর কিছু তথ্য আছে.

779
00:54:17,970 --> 00:54:20,180
81% ত্রুটি পরিচালনা বিষয় ছিল.

780
00:54:20,180 --> 00:54:23,130
এই একটি কোড গুণমান সমস্যা আরো,

781
00:54:23,130 --> 00:54:28,010
কিন্তু 67% ক্রিপ্টোগ্রাফিক বিষয় ছিল, তাই অ্যানড্রইড হিসাবে বেশ হিসাবে খারাপ না.

782
00:54:28,010 --> 00:54:32,440
হয়তো API গুলি একটু একটু সহজ হয়, iOS উপর কিছুটা ভালো উদাহরণ কোড.

783
00:54:32,440 --> 00:54:35,420
কিন্তু এখনও একটি খুব উচ্চ শতাংশ.

784
00:54:35,420 --> 00:54:39,040
আমরা তথ্য ফুটো দিয়ে 54% ছিল,

785
00:54:39,040 --> 00:54:42,080
বাফার ব্যবস্থাপনা ত্রুটি সঙ্গে প্রায় 30%.

786
00:54:42,080 --> 00:54:45,930
যে সম্ভাব্য একটি মেমরি দুর্নীতির সমস্যা হতে পারে যেখানে জায়গা আছে.

787
00:54:45,930 --> 00:54:50,350
এটা যে শোষণের জন্য একটি সমস্যা যতটা না দেখা যাচ্ছে যে

788
00:54:50,350 --> 00:54:56,450
সব কোড স্বাক্ষরিত হবে iOS উপর কারণ,

789
00:54:56,450 --> 00:55:02,210
তাই এটি iOS উপর নির্বিচারে কোড চালানো একটি আক্রমণকারী জন্য কঠিন.

790
00:55:02,210 --> 00:55:07,880
কোড মানের, ডিরেক্টরি ট্র্যাভেরসাল, কিন্তু এখানে 14.6% এ তারপর প্রমাণপত্রাদি ব্যবস্থাপনা,

791
00:55:07,880 --> 00:55:09,250
Android এর উপর আর তাই খারাপ.

792
00:55:09,250 --> 00:55:13,240
আমরা মানুষ সঠিকভাবে পাসওয়ার্ডের সামলাচ্ছে না আছে.

793
00:55:13,240 --> 00:55:15,790
এবং তারপর সাংখ্যিক ত্রুটি ও বাফার ওভারফ্লো,

794
00:55:15,790 --> 00:55:22,680
যারা আরো iOS উপর কোড মানের বিষয় হতে যাচ্ছে.

795
00:55:22,680 --> 00:55:26,110
>> তার মানে এটা আমার উপস্থাপনার জন্য ছিল. আমরা সময় আউট বা না হন তাহলে আমি জানি না.

796
00:55:26,110 --> 00:55:29,540
কোন প্রশ্ন আছে, যদি আমি জানি না.

797
00:55:29,540 --> 00:55:33,220
[পুরুষ] ফ্র্যাগমেন্টেশন এবং অ্যান্ড্রয়েড বাজারে চারপাশে একটি দ্রুত প্রশ্ন.

798
00:55:33,220 --> 00:55:36,240
অ্যাপল অন্তত প্যাচিং মালিক.

799
00:55:36,240 --> 00:55:40,780
তারা অ্যানড্রইড স্থান যেহেতু কম তাই সেখানে এটি পাবার একটি ভাল কাজ.

800
00:55:40,780 --> 00:55:44,280
আপনি প্রায় বর্তমান থাকতে আপনার ফোন jailbreak করতে হবে

801
00:55:44,280 --> 00:55:46,660
অ্যান্ড্রয়েড বর্তমান রিলিজের সাথে.

802
00:55:46,660 --> 00:55:50,960
আপনার সম্পর্কে, মনে যদি হাঁ, যে একটি বিশাল সমস্যা এবং তাই এর

803
00:55:50,960 --> 00:55:52,280
[পুরুষ] আপনি কেন তা পুনরাবৃত্তি করতে পারবে না?

804
00:55:52,280 --> 00:55:55,610
>> ওহ, ঠিক আছে, তাই প্রশ্ন সম্পর্কে ফ্র্যাগমেন্টেশন ছিল

805
00:55:55,610 --> 00:56:00,410
অ্যান্ড্রয়েড প্ল্যাটফর্মে অপারেটিং সিস্টেমের?

806
00:56:00,410 --> 00:56:05,890
কিভাবে ঐ যে ডিভাইসের ঝুঁকিতা প্রভাবিত করে?

807
00:56:05,890 --> 00:56:09,700
কি কারণ এবং এটি আসলে একটি বিশাল সমস্যা

808
00:56:09,700 --> 00:56:15,110
পুরনো ডিভাইস, কেউ যে ডিভাইসের জন্য একটি Jailbreak সঙ্গে চলে আসে,

809
00:56:15,110 --> 00:56:19,960
মূলত যে যে অপারেটিং সিস্টেম আপডেট করা হয়, যতক্ষণ না বিশেষাধিকার উদ্দীপন, এবং

810
00:56:19,960 --> 00:56:25,350
কোন ম্যালওয়্যার তারপর, সর্বাঙ্গে ডিভাইস আপোষ যে দুর্বলতা ব্যবহার করতে পারেন

811
00:56:25,350 --> 00:56:30,200
এবং কি আমরা Android এর উপর নিরীক্ষা করছি একটি নতুন অপারেটিং সিস্টেম পেতে হয়

812
00:56:30,200 --> 00:56:34,690
গুগল তারপর হার্ডওয়্যার প্রস্তুতকারকের অপারেটিং সিস্টেম আউট করা আছে, এবং

813
00:56:34,690 --> 00:56:39,390
এটা কাস্টমাইজ করতে হয়েছে, এবং তারপর ক্যারিয়ার এটা কাস্টমাইজ এবং এটি প্রদান করা হয়েছে.

814
00:56:39,390 --> 00:56:43,070
আপনি মূলত এখানে 3 চলন্ত অংশে আছে

815
00:56:43,070 --> 00:56:47,210
এবং এটি বাহক না যত্ন যে বাঁক,

816
00:56:47,210 --> 00:56:50,400
এবং হার্ডওয়্যার নির্মাতা যত্ন না, এবং গুগল যথেষ্ট তাদের prodding নয়

817
00:56:50,400 --> 00:56:54,430
সেখানে আউট তাই মূলত ডিভাইস অর্ধেকের বেশি, কিছু করতে

818
00:56:54,430 --> 00:57:00,590
তাদের মধ্যে এই বিশেষাধিকার তীব্রতাবৃদ্ধি দুর্বলতা আছে অপারেটিং সিস্টেম আছে,

819
00:57:00,590 --> 00:57:08,440
আপনি আপনার অ্যান্ড্রয়েড ডিভাইসের উপর ম্যালওয়্যার পেতে এবং যদি তাই এটি একটি সমস্যা অনেক বেশি হবে.

820
00:57:08,440 --> 00:57:10,350
>> ঠিক আছে, আপনাকে অনেক ধন্যবাদ.

821
00:57:10,350 --> 00:57:12,310
[সাধুবাদ]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]