[সেমিনার] [ডিভাইস বিহাইন্ড রক্ষার: মোবাইল এপ্লিকেশন নিরাপত্তা]
 [ক্রিস Wysopal] [হার্ভার্ড বিশ্ববিদ্যালয়]
 [এটি CS50.] [CS50.TV]
 

গুড বিকালে. আমার নাম ক্রিস Wysopal হয়.
 আমি CTO এবং Veracode এর সহ প্রতিষ্ঠাতা আছি.
 Veracode একটি আবেদন নিরাপত্তা কোম্পানী.
 আমরা বিভিন্ন অ্যাপ্লিকেশন সব ধরণের পরীক্ষা,
 এবং কি আমি আজ কথা বলার যাচ্ছি মোবাইল অ্যাপ্লিকেশন নিরাপত্তার হয়.
 আমার ব্যাকগ্রাউন্ড আমি নিরাপত্তা গবেষণার কাজ করছি হয়
 একটি খুব দীর্ঘ সময়ের জন্য, সম্ভবত যতদিন কেহ হিসাবে প্রায়.
 আমি মধ্য 90s মধ্যে শুরু,
 এবং এটি বেশ আকর্ষণীয় ছিল যে একটা সময় ছিল, কারণ
 আমরা মধ্য 90s একটি দৃষ্টান্ত পরিবর্তন ছিল.
 হঠাৎ সকলের কম্পিউটারে সকল ইন্টারনেটের সাথে লাগানো ছিল,
 এবং তারপর আমরা ওয়েব অ্যাপ্লিকেশন এর সূত্রপাত হয়েছে,
 এবং যে আমি তখন অনেক উপর নিবদ্ধ কি.
 এটা আকর্ষণীয়.
 এখন আমরা, কম্পিউটিং সঙ্গে ঘটছে আরেকটি দৃষ্টান্ত পরিবর্তন আছে
 যা মোবাইল অ্যাপ্লিকেশন থেকে স্থানান্তর করে.
 

আমি এটা তাহলে এটি দেরী 90s মধ্যে ছিল একটি অনুরূপ সময়ের ধরনের বোধ
 আমরা ওয়েব অ্যাপ্লিকেশন তদন্ত ও মত অপূর্ণতা ফাইন্ডিং ছিল
 সেশন ব্যবস্থাপনা ত্রুটি এবং এসকিউএল ইনজেকশন
 যা সত্যিই আগে অস্তিত্ব ছিলো না, এবং হঠাৎ সব তারা সর্বত্র ছিল
 ওয়েব অ্যাপ্লিকেশনের ক্ষেত্রে, এবং এখন আমি ব্যয় অনেক সময়
 মোবাইল অ্যাপ্লিকেশন এ খুঁজছেন এবং বন্য মধ্যে আউট আছে কি করছেন এ খুঁজছেন হয়.
 মোবাইল অ্যাপ্লিকেশন সত্যিই প্রভাবশালী কম্পিউটিং প্ল্যাটফর্ম হতে যাচ্ছে,
 তাই আমরা সত্যিই আপনি নিরাপত্তা শিল্পে হন তাহলে অনেক সময় ব্যয় করতে হবে
 ওয়েব অ্যাপ্লিকেশন উপর মনোযোগ নিবদ্ধ করে.
 2011 সালে ডাউনলোড করা 29 বিলিয়ন মোবাইল অ্যাপস ছিল.
 এটা 2014 দ্বারা 76 বিলিয়ন অ্যাপ্লিকেশান হতে পূর্বাভাস এর.
 এই বছর ক্রয় করা যাচ্ছে যে 686 মিলিয়ন ডিভাইস আছে,
 মানুষ কাজ করা যাচ্ছে যেখানে তাই এই হল
  তাদের ক্লায়েন্ট কম্পিউটিং সংখ্যাগরিষ্ঠ এগিয়ে নিয়ে যাওয়া.
 

আমি বিশ্বস্ততা বিনিয়োগ এ ভাইস প্রেসিডেন্ট করার কথা বলা হয়েছিল
 কয়েক মাস আগে, এবং তিনি শুধু তারা আরো ট্রাফিক দেখেছি বলেন
 তাদের গ্রাহক বেস থেকে আর্থিক লেনদেন করছেন
 তাদের ওয়েবসাইটে তুলনায় তাদের মোবাইল অ্যাপ্লিকেশন উপর,
 তাই অতীতে ওয়েব জন্য সাধারণ ব্যবহারের হয়েছে
 ,, আপনার স্টক কোট চেক আপনার পোর্টফোলিও ব্যবস্থাপনা
 এবং আসলে আমরা ধরে 2012 সুইচ এ যে দেখছি
 মোবাইল প্ল্যাটফর্মে আরো প্রভাবশালী হতে.
 কোনো অপরাধমূলক কার্যকলাপ করা আছে যাচ্ছে অবশ্যই যদি,
 কোনো অনিষ্টকারী কার্যকলাপ, এটা মোবাইল প্ল্যাটফর্মের উপর নিবদ্ধ করা শুরু করতে যাচ্ছে
 মানুষ যে উপর সুইচ সময়ের হিসাবে.
 আপনি মোবাইল প্ল্যাটফর্ম তাকান,
 এটি বিভিন্ন স্তর সেটিকে ভেঙ্গে দরকারী প্ল্যাটফর্ম ঝুঁকি তাকান,
 আপনি একটি ডেস্কটপ কম্পিউটারে এটা করতে হবে, ঠিক মত
 এবং আপনি বিভিন্ন স্তর, সফটওয়্যার, অপারেটিং সিস্টেম, আমার মনে হয়
 নেটওয়ার্ক লেয়ার, হার্ডওয়্যার স্তর, এবং অবশ্যই, ঐ সমস্ত স্তর নেভিগেশন দুর্বলতা আছে.
 

একই জিনিস মোবাইল উপর ঘটবে.
 কিন্তু মোবাইল, এটা ঐ স্তর কিছু বন্ধ আরও খারাপ হয় বলে মনে হয়.
 কিন্তু, নেটওয়ার্ক লেয়ার মোবাইল উপর আরো সমস্যাযুক্ত
 মানুষ অনেক তাদের অফিসে বা বাড়িতে আছে, কারণ
 সংযোগ ওয়্যার্ড বা তারা সুরক্ষিত ওয়াই ফাই সংযোগ আছে,
 এবং মোবাইল ডিভাইস অনেক সঙ্গে আপনি বাড়ির বাইরে স্পষ্টত করছি
 অথবা অনেক অফিসের বাইরে, এবং আপনি ওয়াই ফাই ব্যবহার করছেন সেখানে
 আপনি যদি একটি অনিরাপদ ওয়াই ফাই সংযোগ ব্যবহার করা হতে পারে,
 একটি পাবলিক ওয়াই ফাই সংযোগ কিছু যে,
 আমরা মোবাইল অ্যাপস সম্পর্কে চিন্তা করার সময় তাই আমরা বিবেচনা করতে হবে
 নেটওয়ার্ক পরিবেশের ঐ অ্যাপ্লিকেশনের জন্য প্রতিকীভাবে ঝুঁকিপূর্ণ যে
 ওয়াই ফাই ব্যবহৃত হচ্ছে না.
 এবং আমি মোবাইল অ্যাপ্লিকেশন ঝুঁকি বেশি করে পেতে হলে
 যে বেশি গুরুত্বপূর্ণ কেন আপনি দেখতে পাবেন.
 মোবাইল ডিভাইসের হার্ডওয়্যার পর্যায়ে ঝুঁকি আছে.
 এই চলমান গবেষণার একটি এলাকা.
 মানুষ এই ব্রডব্যান্ড আক্রমণ বা baseband হামলার কল
 আপনি রেডিওতে শোনা যে ফার্মওয়্যার আক্রমণ করছি যেখানে.
 

এই সত্যিই ভয়ের হামলার কারণ
 ব্যবহারকারী কিছু করতে হবে তা নয়.
 আপনি আরএফ পরিসীমা মধ্যে ডিভাইস প্রচুর আঘাত করতে পারেন
 একযোগে, এবং এটি এই গবেষণা আপ বুদবুদ যখনই মত মনে হয়
 এটি দ্রুত যেখানে শ্রেণীবদ্ধ পরার
 মানুষ চারপাশে মধ্যে ছোঁ এবং বলে, "এখানে, যে সম্পর্কে আমাদের বলুন, এবং এটি সম্পর্কে কথা বলা বন্ধ করুন."
 ব্রডব্যান্ড এলাকায় যাওয়া কিছু গবেষণা আছে,
 কিন্তু এটা খুবই নিস্তব্ধতা নিস্তব্ধতা বলে মনে হয়.
 আমি এটা ঘটছে যে গবেষণার একটি জাতি রাষ্ট্র ধরনের আরো মনে করি.
 সক্রিয় গবেষণা এলাকা, যদিও, অপারেটিং সিস্টেম স্তর হল,
 এবং আবার, এই ডেস্কটপ কম্পিউটিং বিশ্বের চেয়ে ভিন্ন
 মোবাইল স্থান আপনি Jailbreakers বলা মানুষের এই দল আছে, কারণ
 এবং Jailbreakers নিয়মিত দুর্বলতার গবেষকরা চেয়ে ভিন্ন.
 তারা অপারেটিং সিস্টেমে দুর্বলতা খুঁজে বের করার চেষ্টা করছেন
 কিন্তু তারা দুর্বলতা খুঁজে বের করার চেষ্টা করছি কারণ হয় না
 অন্য কারো মেশিনে বিরতি এবং এটি আপোষ.
 এটা তাদের নিজস্ব কম্পিউটার শ্রেনীবদ্ধ যাও এর.
 তারা তাদের নিজস্ব মোবাইল খণ্ড করতে চান 

তাদের নিজস্ব মোবাইল অপারেটিং সিস্টেম পরিবর্তন
 তারা তাদের পছন্দের অ্যাপ্লিকেশন চালাতে পারেন যাতে
 এবং পূর্ণ প্রশাসনিক অনুমতিসহ জিনিস পরিবর্তন,
 এবং তারা এই বিষয়ে বিক্রেতা বলতে চাই না. তারা একটি সাদা টুপি নিরাপত্তা গবেষক যা একটি নিরাপত্তা গবেষক পছন্দ করছি না
 দায়ী প্রকাশ করবেন এবং তা সম্পর্কে বিক্রেতার বলতে যাচ্ছে যা.
 তারা এই গবেষণা কাজ করতে চান, এবং তারা আসলে প্রকাশ করলাম চাই
 একটি কাজে লাগান বা একটি rootkit অথবা একটি Jailbreak কোড,
 এবং তারা ডান পরে মত, কৌশলগতভাবে এটি কাজ করতে চান
 বিক্রেতা জাহাজ নতুন অপারেটিং সিস্টেম.
 আপনি এই adversarial সম্পর্ক আছে
 মোবাইল ওএস পর্যায়ের দুর্বলতা সঙ্গে,
 আমি বেশ আকর্ষণীয় মনে হয়, এবং এক জায়গায় আমরা এটি দেখতে যা
 ভাল কাজে লাগান প্রকাশিত কোড আছে আছে যাতে এটা তোলে হয়
 কার্নেল পর্যায়ের দুর্বলতা জন্য,
 এবং আমরা আসলে ম্যালওয়্যার লেখক দ্বারা ব্যবহার করা ঐ দেখা করেছি.
 এটা পিসি বিশ্বের তুলনায় সামান্য কিছুটা আলাদা.
 এবং তারপর চূড়ান্ত স্তর উপরের স্তর, আবেদন স্তর.
 আমি আজ কথা বলার যাচ্ছি কি.
 

অন্যান্য স্তর বিদ্যমান, এবং অন্যান্য পরত তা বাজাতে
 কিন্তু আমি বেশিরভাগ অ্যাপ্লিকেশন লেয়ার এ কি করছেন সম্পর্কে কথা বলতে যাচ্ছি
 কোড স্যান্ডবক্স চলমান যেখানে.
 এটা প্রশাসনিক বিশেষাধিকার নেই.
 এটা ডিভাইসের API গুলি ব্যবহার করা হয়েছে,
 কিন্তু এখনও, দূষিত কার্যকলাপের অনেক এবং ঝুঁকি অনেক যে লেয়ার এ ঘটতে পারে
 যে সমস্ত তথ্য যেখানে স্তর কারণ.
 এপস ডিভাইসের সকল তথ্য অ্যাক্সেস করতে পারেন
 তারা সঠিক অনুমতি আছে,
 এবং তারা ডিভাইসে বিভিন্ন সেন্সর ব্যবহার করতে পারবেন,
 জিপিএস সেন্সর, মাইক্রোফোন, ক্যামেরা, আপনি কি.
 আমরা শুধুমাত্র অ্যাপ্লিকেশন লেয়ার এ বিষয়ে কথা বলছি যদিও
 আমরা সেখানে ঝুঁকি অনেক আছে.
 মোবাইল পরিবেশ সম্পর্কে আলাদা যে অন্যান্য জিনিস
 সব অপারেটিং সিস্টেম খেলোয়াড়, এটা হতে হয় ব্ল্যাকবেরি বা অ্যান্ড্রয়েড
 বা iOS বা উইন্ডোজ মোবাইল, তারা সব, একটি সূক্ষ্ম খসখসে অনুমতি মডেল আছে
 এবং এই তারা অপারেটিং সিস্টেমের মধ্যে নির্মিত উপায় যে এক
 এটা আপনার মনে যত ঝুঁকিপূর্ণ নয় যে ধারণা.
 আপনি সেখানে আপনার সব পরিচিতি আছে যদিও, আপনার সকল ব্যক্তিগত তথ্য,
 আপনি আপনার ছবি আছে, আপনি সেখানে আপনার অবস্থান আছে
 আপনি সেখানে নেভিগেশন অটো লগইন জন্য আপনার ব্যাংক পিন সংরক্ষণ করছেন, এটি নিরাপদ, কারণ
 অ্যাপ্লিকেশান নির্দিষ্ট অংশে এ পেতে নির্দিষ্ট অনুমতি আছে
 ডিভাইসের তথ্য, এবং ব্যবহারকারীর প্রদর্শন করা হয়েছে
 এই অনুমতি ও অনুমোদন না.
 

এটি দিয়ে সমস্যা সবসময় ব্যবহারকারী হল ঠিক বলেছেন.
 একটি নিরাপত্তা ব্যক্তি হিসাবে, আমি আপনার ব্যবহারকারী অনুরোধ জানানো যাবে জানি,
 খুব খারাপ কিছু ঘটতে যাচ্ছে বলে, আপনি এটা ঘটতে করতে চান?
 এবং তারা একটি ব্যস্ত থাকেন বা যে অন্য দিকে সত্যিই enticing কিছু আছে যদি,
 মত একটি খেলা, তারা জন্য অপেক্ষা করেছি যে ইনস্টল করা হবে
 তারা ঠিক আছে ক্লিক করুন চলুন.
 আমি শুধু আমার ইতিমধ্যে শূকর এ পাখি ছুড়ে ফেলা যাক এখানে আমার স্লাইডে বলতে এটা কেন, এর
 এবং আপনি একটি ব্ল্যাকবেরি অনুমতি বাক্সের উদাহরণ আছে এখানে স্লাইডে দেখতে পারেন.
 এটা "ব্ল্যাকবেরি পর্যটন আবেদন অনুমতি সেট করুন বলছেন
 , নিচের বাটনে ক্লিক করে "এবং মূলত ব্যবহারকারীর ঠিক বলতে হবে পরে
 অনুমতি সেট এবং সংরক্ষণ করুন.
 এখানে জিনিষ দেখায় যেখানে একটি Android প্রম্পট আছে,
 এবং এটি আসলে প্রায় একটি সতর্কবার্তা মত কিছু রাখে.
 এটা সেখানে ফলন সাইন বলছে নেটওয়ার্ক যোগাযোগ, ফোন কল কেমন পেয়েছিলাম
 কিন্তু ব্যবহারকারীর অধিকার, ইনস্টল ক্লিক করুন যাচ্ছে?
 এবং তারপর আপেল এক সম্পূর্ণ নির্দোষ হয়.
 এটা সতর্কবার্তা যে কোন ধরণের দেয় না.
 এটা আপেল আপনার বর্তমান অবস্থান ব্যবহার করতে চান ঠিক আছে.
 অবশ্যই আপনি ঠিক আছে ক্লিক করুন চলুন.
 

এই সূক্ষ্মভাবে খসখসে অনুমতি মডেল, নেই
 এবং Apps তারা ঘোষণা যেখানে একটি তালিকা ফাইল আছে
 , অনুমতি তারা প্রয়োজন, এবং যে ব্যবহারকারীকে প্রদর্শন করা হবে
 এবং ব্যবহারকারীর আমি এই অনুমতি প্রদান বলার আছে হবে.
 কিন্তু এর সৎ হস্তক্ষেপ না করা.
 ব্যবহারকারীরা শুধু সবসময় ঠিক আছে বলে যাচ্ছে.
 এর এই অ্যাপ্লিকেশনগুলি জন্য জিজ্ঞাসা করা হয় যে অনুমতি সময়ে দ্রুত কটাক্ষপাত
 এবং আছে অনুমতি কিছু.
 এই কোম্পানী উক্ত ম্যাজিসট্রেটের সমপদমর্যাদাসম্পন্ন গত বছর একটি জরিপ করেছিল
 অ্যানড্রইড বাজার এবং 3rd পার্টি বাজারের বিশ্লেষণ 53,000 অ্যাপ্লিকেশন,
 তাই এই সব অ্যান্ড্রয়েড হয়.
 এবং গড় অ্যাপ্লিকেশন 3 অনুমতির অনুরোধ.
 কিছু Apps 117 অনুমতির অনুরোধ,
 তাই সম্ভবত এই বোঝার একটি ব্যবহারকারীর জন্য খসখসে এবং উপায় খুব জটিল খুব জরিমানা
 তারা এই 117 অনুমতির প্রয়োজন যে এই app এর সঙ্গে উপস্থাপন করছি.
 এটা 45 পৃষ্ঠা দীর্ঘ যে এর শেষ ইউজার লাইসেন্স এগ্রিমেন্ট মত.
 হয়তো শীঘ্রই তারা এটা মত আছে যেখানে একটি অপশন পাবেন
 অনুমতি প্রিন্ট এবং আমাকে একটি ইমেইল পাঠান.
 

কিন্তু আপনি উপরের আকর্ষণীয় অনুমতি কিছু তাকান
 তারা 53,000 বাইরে ডাউনলোড করা যে Apps এর 24%
 ডিভাইস থেকে অনুরোধ জিপিএস তথ্য.
 8% যোগাযোগ পড়া.
 4% এসএমএস পাঠানো, এবং 3% এসএমএস পেয়েছি.
 2% অডিও রেকর্ড.
 1% বহির্গামী কল প্রসেস করা.
 আমি জানি না.
 আমি অ্যাপ স্টোর Apps এর 4% সত্যিই এসএমএস টেক্সট বার্তা পাঠাতে হবে মনে করি না
 তাই আমি যে অপ্রীতিকর কিছু নেভিগেশন যাচ্ছে যে ইঙ্গিত মনে করি.
 Apps এর 8% আপনার পরিচিতি তালিকা পড়া প্রয়োজন. এটা সম্ভবত প্রয়োজনীয় নয়.
 অনুমতি সম্পর্কে অন্যান্য আকর্ষণীয় বিষয় হল যে হয়
 আপনি আপনার অ্যাপ্লিকেশান এ ভাগ লাইব্রেরি সংযুক্ত আছে, যদি
 ঐ আবেদনের অনুমতি উত্তরাধিকারী,
 তাই আপনার অ্যাপ্লিকেশন পরিচিতি তালিকা চাহিদা বা ফাংশন GPS অবস্থান প্রয়োজন হলে
 এবং আপনি উদাহরণস্বরূপ, একটি বিজ্ঞাপন লাইব্রেরি সংযুক্ত আছে,
 যে বিজ্ঞাপন গ্রন্থাগারের এছাড়াও যোগাযোগ অ্যাক্সেস করতে পারবেন
 এবং GPS অবস্থান অ্যাক্সেস করতে পারবেন,
 এবং অ্যাপ্লিকেশন ডেভেলপার বিজ্ঞাপন লাইব্রেরি চলমান যে কোড সম্পর্কে কিছুই জানেন.
 তারা তাদের অ্যাপ্লিকেশন নগদীকরণ করতে চান, কারণ তারা শুধু যে লিঙ্ক করছি.
 

এই যেখানে-ও হল আমার সাথে এই কিছু উদাহরণ সম্পর্কে কথা বলতে পারবেন
 আশার নামক একটি অ্যাপ্লিকেশন যেখানে একটি অ্যাপ্লিকেশন ডেভেলপার
 অনিচ্ছাকৃতভাবে তথ্য লিক হতে পারে
 তাদের ব্যবহারকারীদের কাছ থেকে, কারণ তারা এখনো সদস্য লিঙ্ক করেছি লাইব্রেরি
 সব বিভিন্ন অ্যাপ্লিকেশান এ খুঁজছেন, সেখানে আউট আড়াআড়ি সমীক্ষা
 দূষিত বা এরকম কিছু ব্যবহারকারীদের চায় নি হিসাবে খবর রিপোর্ট করা হয়েছে
 এবং তারপর অনেক পরিদর্শন অ্যাপ্লিকেশান-আমরা, মোবাইল অ্যাপস নেভিগেশন স্ট্যাটিক বাইনারি বিশ্লেষণ অনেক কাজ
 তাই আমরা তাদের পরীক্ষা এবং কোড দিকে তাকিয়ে করেছি নিজেই-
 আমরা আমরা অ্যাপ্লিকেশনের ক্ষেত্রে ঝুঁকিপূর্ণ আচরণ আমাদের শীর্ষ 10 তালিকা কল কি নিয়ে এসেছেন.
 এবং এটা, 2 বিভাগে, অনিষ্টকারী কোড বিভাজিত হচ্ছে
 তাই এই অ্যাপ্লিকেশনগুলি করছেন হতে পারে যে খারাপ জিনিস আছে যেগুলি
 একটি বিদ্বেষপূর্ণ পৃথক কিছু হতে পারে
 বিশেষভাবে আবেদন স্থাপন করা, কিন্তু এটি একটি সামান্য বিট অস্পষ্ট এর করেনি.
 এটি একটি ডেভেলপার জরিমানা মনে করে যে কিছু হতে পারে
 কিন্তু এটি ব্যবহারকারী দ্বারা হিসাবে দূষিত চিন্তা হচ্ছে শেষ পর্যন্ত.
 

এবং তারপর দ্বিতীয় বিভাগে আমরা দুর্বলতা কোডিং কল কি,
 এবং এই ডেভেলপার মূলত ভুল তৈরীর যেখানে জিনিস
 বা শুধু নিরাপদভাবে অ্যাপ্লিকেশন লিখতে কিভাবে বুঝতে না,
  এবং যে ঝুঁকির মধ্যে অ্যাপ্লিকেশন ব্যবহারকারী নির্বাণ এর.
 আমি বিস্তারিতভাবে এই মধ্য দিয়ে যেতে এবং কিছু উদাহরণ দিতে যাচ্ছি.
 রেফারেন্সের জন্য, আমি OWASP মোবাইল শীর্ষ 10 তালিকা পেশ করা চেয়েছিলেন.
 এই 10 বিষয় যে OWASP এ একটি গ্রুপ,
 ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রকল্প, তারা একটি কাজ গ্রুপ আছে
 একটি মোবাইল শীর্ষ 10 তালিকার কাজ.
 তারা শীর্ষ 10 যা একটি খুব বিখ্যাত ওয়েব শীর্ষ 10 তালিকা, আছে
 riskiest জিনিষ আপনি একটি ওয়েব অ্যাপ্লিকেশন মধ্যে থাকতে পারে.
 তারা মোবাইল জন্য একই জিনিস করছেন,
 এবং তাদের তালিকা আমাদের চেয়ে একটু ভিন্ন.
 10 আউট 6 একই.
 তারা বিভিন্ন যে 4 আছে.
 আমি মনে করি তারা একটি ভিন্ন নিতে সামান্য বিট আছে মনে
 মোবাইল অ্যাপ্লিকেশনের মধ্যে ঝুঁকি যেখানে তাদের সমস্যা অনেক
 সত্যিই অ্যাপ্লিকেশনটি একটি ব্যাক শেষ সার্ভারের সাথে যোগাযোগ করা হয় কিভাবে
 বা কি ব্যাক শেষ সার্ভারে যাচ্ছে,
 শুধু সহজবোধ্য ক্লায়েন্ট অ্যাপ্লিকেশান যে ঝুঁকিপূর্ণ আচরণ আছে এত যে না অ্যাপ্লিকেশান.
 

এখানে লাল বেশী 2 তালিকার মধ্যে পার্থক্য রয়েছে.
 এবং আমার গবেষণা দলের কিছু আসলে এই প্রকল্পের অবদান রয়েছে,
 তাই আমরা সময়ের সঙ্গে কি দেখতে পাবেন, কিন্তু আমি এখানে Takeaway মনে করি
 আমরা সত্যিই শীর্ষ 10 তালিকা মোবাইল অ্যাপ্লিকেশনের মধ্যে হয় কি না জানি না, কারণ
 তারা সত্যিই শুধুমাত্র এখন, 2 অথবা 3 বছর ধরে প্রায় চলেছি
 এবং সত্যিই অপারেটিং সিস্টেম নিয়ে গবেষণা করার যথেষ্ট সময় হয়েছে না
 এবং তারা কি করতে সক্ষম হন, এবং যথেষ্ট সময় ছিল না
 যদি আপনি হবে দূষিত সম্প্রদায়ের জন্য,, যথেষ্ট সময় অতিবাহিত হয়েছে
 মোবাইল অ্যাপ্লিকেশনের মাধ্যমে ব্যবহারকারীদের আক্রমণ করার চেষ্টা করছে, তাই আমি এই তালিকা অল্প পরিবর্তন আশা.
 কিন্তু এখন জন্য, এই চিন্তা করতে শীর্ষ 10 জিনিস.
 আপনি মোবাইল দিকে আশ্চর্য হতে পারে যেখানে আছে দূষিত মোবাইল কোড-
 কিভাবে এটা ডিভাইস থেকে পেতে পারে?
 উত্তর ক্যারোলিনা রাজ্য মোবাইল দূষিত জিনোম প্রজেক্ট নামে একটি প্রকল্প রয়েছে
 যেখানে তারা, তারা যতটা সম্ভব মোবাইল ম্যালওয়্যার সংগ্রহ এবং তা বিশ্লেষণ করা হয়
 এবং তারা, মোবাইল ম্যালওয়্যার ব্যবহার করে যে ইনজেকশন ভেক্টর ভাগ করেছি
 এবং 86%, কারিনা স্পিলবার্গের ছবিতে নামক একটি কৌশল ব্যবহার
 এবং এই অ্যান্ড্রয়েড প্ল্যাটফর্মে শুধুমাত্র হয়
 আপনি কি সত্যিই এই কারিনা স্পিলবার্গের ছবিতে কাজ করতে পারেন.
 

কারণে অ্যান্ড্রয়েড কোড দিয়ে নির্মিত হয়
 সহজে decompilable যা Dalvik নামক একটি জাভা বাইট কোড.
 কি খারাপ লোক কিছু করতে পারি হয়
 একটি অ্যান্ড্রয়েড আবেদন গ্রহণ করা, এটা decompile,
 তাদের অনিষ্টকারী কোড সন্নিবেশ, এটা পুনরায় কম্পাইল,
 এবং তারপর যে অ্যাপ্লিকেশনের নতুন সংস্করণ হতে purporting অ্যাপ্লিকেশন বাজারের এটি পেশ করা হোক,
 বা শুধু হয়তো অ্যাপ্লিকেশনের নাম পরিবর্তন.
 এটা খেলা কিছু বাছাই ছিল, সামান্য নাম পরিবর্তন
 এবং তাই এই কারিনা স্পিলবার্গের ছবিতে মোবাইল ম্যালওয়ার 86% বিতরণ পরার কিভাবে হয়.
 যা অন্য পন্থা বলা আপডেট নেই
 কারিনা স্পিলবার্গের ছবিতে অনুরূপ, কিন্তু আপনি আসলে ইন অনিষ্টকারী কোড করা না
 আপনি কি যদি আপনি একটি ছোট আপডেট প্রক্রিয়া স্থাপন করা হয়.
 আপনি decompile, আপনি একটি আপডেট প্রক্রিয়া স্থাপন করা, এবং আপনি তা পুনরায় কম্পাইল,
 এবং তারপর অ্যাপ্লিকেশন এটি ডিভাইস সম্মুখের ম্যালওয়ার নামিয়ে pulls চালানো সম্ভব না.
 

দ্বারা পর্যন্ত সংখ্যাগরিষ্ঠ যারা 2 কৌশল হয়.
 মোবাইলের সত্যিই অনেক ডাউনলোডের ড্রাইভ-bys বা ড্রাইভ বাই ডাউনলোড, নেই
 একটি ফিশিং আক্রমণ মত হতে পারে, যা.
 আরে, এই সত্যিই শীতল ওয়েবসাইট চেক আউট,
 অথবা আপনি এই ওয়েবসাইটে যান এবং এই ফর্ম পূরণ করতে হবে
 কিছু কাজ অব্যাহত রাখা. যারা আক্রমণ ফিশিং হয়.
 একই জিনিস মোবাইল প্ল্যাটফর্মে ঘটতে পারে যেখানে তারা
 , ডাউনলোড বলার একটি মোবাইল অ্যাপ্লিকেশন নির্দেশ "হাই, এই ব্যাঙ্ক অফ আমেরিকা হল."
 "আমরা আশা করি আপনি এই অ্যাপ্লিকেশন ব্যবহার করছেন দেখতে."
 "আপনি এই অন্যান্য অ্যাপ্লিকেশন ডাউনলোড করা উচিত."
 তাত্ত্বিকভাবে, যে কাজ করতে পারেন.
 হয়তো এটা ঠিক, এটা সফল হচ্ছে না তা নির্ধারণ করার জন্য পর্যাপ্ত ব্যবহৃত হচ্ছে না
 কিন্তু তারা সময় যে প্রযুক্তিটির কম 1% ব্যবহার করা হয় যে পাওয়া যায় নি.
 সময় সংখ্যাগরিষ্ঠ এটা সত্যিই একটি repackaged কোড এর.
 

অন্য বিষয়শ্রেণীতে নামক একা দাড়িয়ে আছে
 কেউ শুধু একটি সম্পূর্ণ নতুন আবেদন তৈরী করে যেখানে.
 তারা কিছু হতে purports একটি অ্যাপ্লিকেশন নির্মাণ.
 এটা অন্য কিছু একটি কারিনা স্পিলবার্গের ছবিতে নয়, এবং যে দূষিত কোড আছে.
 যে সময় 14% ব্যবহৃত হচ্ছে.
 এখন আমি অনিষ্টকারী কোড কি করছে সম্পর্কে কথা বলতে চান?
 সেখানে প্রথম ম্যালওয়্যার, তা হল
 আপনি একটি স্পাইওয়্যার বিবেচনা করতে পারে.
 এটি মূলত ইউজার নেভিগেশন চর.
 এটি ইমেল, এসএমএস বার্তা সংগ্রহ করা.
 এটা মাইক্রোফোন সক্রিয়.
 এটি পরিচিতি বই ফলনের, এবং এটা অন্য কেউ এটা বন্ধ পাঠায়.
 স্পাইওয়্যার এই ধরনের পিসিতে বিদ্যমান,
 মানুষ মোবাইল ডিভাইসের উপর এটি করার চেষ্টা জন্য তাই এটা নির্ভুল জ্ঞান করে তোলে.
 

এই প্রথম উদাহরণ, তা হল গোপন এসএমএস Replicator নামক একটি প্রোগ্রাম ছিল.
 এটা, বছর দুয়েক আগে অ্যান্ড্রয়েড বাজার মধ্যে ছিল
 আপনি কাউকে অ্যান্ড্রয়েড ফোন ব্যবহার করার সুযোগ ছিল এবং ধারণা
 আপনি গুপ্তচর চেয়েছিলেন, তাই হয়ত এটা আপনার স্ত্রী যে
 অথবা আপনার অন্যান্য উল্লেখযোগ্য এবং আপনি তাদের লিখিত বার্তা গুপ্তচর চান,
 যদি আপনি এই অ্যাপ্লিকেশন ডাউনলোড করুন এবং এটি ইনস্টল করা এবং এটি কনফিগার পারে
 একটি কপি দিয়ে আপনি একটি এসএমএস টেক্সট বার্তা পাঠানোর জন্য
 প্রত্যেক এসএমএস টেক্সট বার্তা তারা পেয়েছেন.
 এই স্পষ্টত, সেবার অ্যাপ স্টোর পদ লঙ্ঘনের হয়
 এবং এই, এটা হচ্ছে সেখানে 18 ঘণ্টার মধ্যে অ্যান্ড্রয়েড বাজার থেকে সরানো হয়েছে
 তাই মানুষ খুব অল্প সংখ্যক এই কারণে ঝুঁকির মধ্যে ছিল.
 এখন, আমি মনে করি প্রোগ্রামের কিছু হয়তো একটু কম উত্তেজক বলা হত, যদি
 গোপন এসএমএস Replicator মত এটি সম্ভবত অনেক বেশি ভালো কাজ করে.
 কিন্তু এটা কোন ধরনের সুস্পষ্ট ছিল.
 

আমরা অ্যাপ্লিকেশান আমরা চাই না যে এই আচরণ যদি নির্ধারণ করতে পারি জিনিস এক
 কোড পরিদর্শন করা হয়.
 এটি আসলে আমরা অ্যাপ্লিকেশান decompile কারণ Android এর উপর কাজ করতে সত্যিই সহজ.
 IOS উপর আপনি IDA প্রো মত একটি disassembler ব্যবহার করতে পারেন
 অ্যাপ্লিকেশন আহ্বান করা হয় এবং এটা করছে কি API গুলি কি তাকান.
 আমরা আমাদের কোড জন্য আমাদের নিজস্ব বাইনারি স্ট্যাটিক বিশ্লেষক লিখেছেন
 এবং আমরা এই কাজ, এবং তাই কি আপনি কাজ করতে পারে আপনাকে বলতে পারে হয়
 ডিভাইস মূলত আমার উপর গুপ্তচরবৃত্তি বা আমার নির্ণয় করছে যে কিছু করতে পারে?
 এবং আমি এখানে আইফোনের কিছু উদাহরণ আছে.
 এই প্রথম উদাহরণ ফোনে UUID অ্যাক্সেস করতে হয় কিভাবে.
 এটি আসলে আপেল শুধু নতুন অ্যাপ্লিকেশনের জন্য নিষিদ্ধ করেছে এমন কিছু বিষয় যা,
 কিন্তু আপনি আপনার ফোন চলমান থাকতে পারে যে পুরানো অ্যাপ্লিকেশন এখনও এটা করতে পারেন,
 এবং তাই যে অনন্য শনাক্তকারী আপনি ট্র্যাক করতে ব্যবহার করা যেতে পারে
 বিভিন্ন অ্যাপ্লিকেশনের জুড়ে.
 

অ্যান্ড্রয়েড, আমি এখানে ডিভাইস এর অবস্থান হচ্ছে একটি উদাহরণ আছে.
 আপনি, যে এপিআই কল আছে যে যদি অ্যাপ্লিকেশন নির্ণয় করছে দেখতে পারেন
 এবং আপনি এটি সূক্ষ্ম অবস্থান বা মোটা অবস্থান হচ্ছে কিনা দেখতে পারেন.
 এবং তারপর এখানে নীচে, আমি ব্ল্যাকবেরিতে কিভাবে একটি উদাহরণ আছে
 একটি অ্যাপ্লিকেশন আপনার ইনবক্সে ইমেইল বার্তা অ্যাক্সেস করতে পারে.
 এই আপনি দেখতে পরিদর্শন করতে পারেন জিনিষ ধরনের হয়
 অ্যাপ্লিকেশন ঐ জিনিসগুলি হয়.
 দ্বিতীয় বড় বিদ্বেষপূর্ণ আচরণ বিভাগ, এবং এই এখন সম্ভবত সবচেয়ে বড় বিভাগ,
 হল অননুমোদিত ডায়ালিং, অননুমোদিত প্রিমিয়াম এসএমএস টেক্সট বার্তা
 বা অননুমোদিত পেমেন্ট.
 ফোন সম্পর্কে অনন্য যে এর আরেকটি বিষয়
 ডিভাইস একটি বিলিং অ্যাকাউন্টে লাগানো হয় হয়,
 এবং কার্যক্রম ফোনে ঘটতে যখন
 এটি চার্জ তৈরি করতে পারেন.
 আপনি ফোনের মাধ্যমে জিনিষ কিনতে পারেন,
 আপনি একটি প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠাতে এবং যখন আপনি আসলে টাকা প্রদান করছি
 অন্য দিকে ফোন নম্বর অ্যাকাউন্ট ধারক যাও.
 এই স্টক কোট বা পেতে আপনার দৈনন্দিন জাতক বা অন্যান্য জিনিস পেতে স্থাপন করা হয়েছে,
 কিন্তু তারা একটি SMS টেক্সট পাঠিয়ে একটি পণ্য অর্ডার স্থাপন করা যেতে পারে.
 মানুষ একটি টেক্সট মেসেজ পাঠিয়ে রেড ক্রস টাকা দিতে.
 আপনি $ 10 যে ভাবে দিতে পারেন.
 

তারা সম্পন্ন করেছি আক্রমণকারীদের, তারা স্থাপন করা হয়
 বিদেশী দেশে অ্যাকাউন্ট, এবং তারা ম্যালওয়্যার এম্বেড
 ফোন একটি প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠাতে হবে যে,
 কয়েক বার দিন, এবং আপনি অতিবাহিত করেছি আপনি বুঝতে মাসের শেষে বলে,
 দশ বা হয়তো ডলার এমনকি শত শত, এবং তারা টাকা দিয়ে দূরে পায়চারি করা.
 এই এই খুব সর্বপ্রথম যে এত খারাপ না যে অ্যান্ড্রয়েড
 মার্কেটপ্লেস বা গুগল জায়গা, এটা সময় অ্যানড্রইড মার্কেটপ্লেস ছিল
 এবং এটি গুগল প্লে-গুগল জন্য পরীক্ষণ শুরু প্রথম যে কাজটা এখন এর.
 গুগল তাদের অ্যাপ্লিকেশন বাজারের অ্যান্ড্রয়েড Apps বিতরণ শুরু
 তারা তারা কিছু জন্য পরীক্ষা করা যাচ্ছে না হয়.
 আমরা তারা আমাদের পরিষেবার শর্তাদি বিভক্ত করেছি অবহিত করছি একবার আমরা অ্যাপ্লিকেশান টান করব,
 কিন্তু আমরা কিছু জন্য চেক করতে যাচ্ছেন না. ভাল, প্রায় এক বছর আগে এই প্রিমিয়াম এসএমএস টেক্সট বার্তা ম্যালওয়্যার সঙ্গে যাতে খারাপ না
 এই তারা জন্য পরীক্ষণ শুরু খুব সর্বপ্রথম যে.
 একটি অ্যাপ্লিকেশন এসএমএস টেক্সট বার্তা পাঠাতে পারেন
 তারা আরও নিজে যে আবেদন খুঁটিয়ে.
 তারা এই কল যে API গুলি জন্য চেহারা,
 এবং এখন তারপর থেকে গুগল প্রসারিত হয়েছে,
 কিন্তু এই তারা খুঁজছেন শুরু প্রথম যে কাজটা ছিল.
 

কিছু এসএমএস টেক্সট বার্তা যে কিছু অন্যান্য অ্যাপ্লিকেশন,
 এই অ্যান্ড্রয়েড Qicsomos, আমি এটা বলা হয় না.
 এই CarrierIQ এসেছেন যেখানে মোবাইল উপর এই বর্তমান ঘটনা ছিল
 হিসাবে স্পাইওয়্যার, বাহক দ্বারা ডিভাইসের উপর করা
 যাতে মানুষ, তাদের ফোন এই প্রবন ছিল জানতে চেয়েছিলেন
 এবং এই যে পরীক্ষিত একটি মুক্ত অ্যাপ্লিকেশন ছিল.
 অবশ্যই ভাল,, কি এই অ্যাপ্লিকেশন করেনি, এটা প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠানো হয়েছে
 তাই আপনি স্পাইওয়্যার আক্রান্ত করছি কিনা দেখতে পরীক্ষা দ্বারা
 আপনি আপনার ডিভাইস সম্মুখের ম্যালওয়ার লোড.
 আমরা একই জিনিস শেষ সুপার বোল সময়ে ঘটতে দেখেছি.
 খেপান ফুটবল খেলার একটি বাজে সংস্করণ হয়েছে
 যে প্রিমিয়াম এসএমএস টেক্সট বার্তা পাঠিয়েছেন.
 এটা আসলে ডিভাইসে খুব একটা বট নেটওয়ার্ক তৈরি করার চেষ্টা করে.
 এখানে আমি কিছু উদাহরণ আছে.
 মজার ব্যাপার যে, অ্যাপল, বেশ স্মার্ট ছিল
 এবং তারা অ্যাপ্লিকেশন সব সময়ে এসএমএস টেক্সট বার্তা পাঠাতে অনুমতি দেয় না.
 কোন অ্যাপ্লিকেশন এটি করতে পারেন.
 যে দুর্বলতা সমগ্র বর্গ পরিত্রাণ পাবার একটা বড় উপায়,
 কিন্তু Android এর উপর আপনি এটা করতে পারেন, এবং অবশ্যই, ব্ল্যাকবেরিতে আপনি খুব এটা করতে পারেন.
 এটা ব্ল্যাকবেরিতে আপনার প্রয়োজন ইন্টারনেট অনুমতি যে আকর্ষণীয়
 একটি এসএমএস টেক্সট বার্তা পাঠাতে.
 

আমরা জন্য সন্ধান সত্যিই যে অন্যান্য জিনিস
 আমরা কিছু দূষিত কিনা দেখতে খুঁজছেন তা হলে যে কোনও ধরনের হয়
 অননুমোদিত নেটওয়ার্ক কার্যকলাপ, মত নেটওয়ার্ক কার্যকলাপ তাকান
 অ্যাপ্লিকেশন এর কার্যকারিতা আছে অনুমিত হয়,
 এবং এই অন্যান্য নেটওয়ার্ক কার্যকলাপ তাকান.
 সম্ভবত কাজ করার একটি অ্যাপ্লিকেশন,, HTTP-র মাধ্যমে তথ্য পেতে আছে,
 কিন্তু এটি ইমেল বা এসএমএস বা ব্লুটুথ বা যে ভালো কিছু বেশী জিনিসগুলি যদি
 এখন অ্যাপ্লিকেশন যে সম্ভাব্য দূষিত হতে পারে, তাই এই আপনার জন্য পরিদর্শন করা যেতে পারে অন্য জিনিস.
 এবং এখানে এই স্লাইডে আমি যে কিছু উদাহরণ আছে.
 আমরা ম্যালওয়্যার দিয়ে দেখেছি আরেকটি মজার ব্যাপার হল, 2009 সালে ফিরে ঘটেছে
 এবং এটি একটি বড় উপায় ঘটেছে.
 এটি তারপর থেকে অনেক কিছু ঘটেছে, যদি আমি জানি না, কিন্তু এটি একটি অ্যাপ্লিকেশন ছিল
 অন্য যে আবেদন রুপায়িত.
 , এখন পর্যন্ত Apps এর একটি সেট, এবং এটি 09Droid আক্রমণ ডাব ছিল
 এবং কেউ ছোট, আঞ্চলিক, midsize ব্যাংকের অনেক ছিল যে সিদ্ধান্ত নিয়েছে
 অনলাইন ব্যাংকিং অ্যাপ্লিকেশন আছে কি না,
 তাই কি তারা করেনি তারা প্রায় 50 অনলাইন ব্যাংকিং অ্যাপ্লিকেশন নির্মিত হয়েছিল
 তারা সব ব্যবহারকারীর নাম এবং পাসওয়ার্ড লাগতে ছিল
 এবং ওয়েবসাইট থেকে আপনি পুনর্নির্দেশ.
 এবং তাই তারা গুগল মার্কেটপ্লেস এই সব পেশ করা,
 অ্যান্ড্রয়েড বাজার মধ্যে, এবং কেউ অনুসন্ধান যখন দেখতে হলে তাদের ব্যাংক
 তারা বাজে অ্যাপ্লিকেশন খুঁজতে হবে একটি আবেদন ছিল
 তাদের পরিচয়পত্র সংগ্রহ করা এবং তারপর তাদের ওয়েবসাইটে তাদের পুনঃনির্দেশিত যা.
 আসলে এই যে ভাবে ওঠে Apps এর, কয়েক সপ্তাহের জন্য ছিল
 এবং ডাউনলোড হাজারের এবং হাজার হাজার ছিল.
 

এই হালকা আসেন ভাবে কাউকে একটি সমস্যা চাপ ছিল ছিল
 অ্যাপ্লিকেশন এক, এবং তারা তাদের ব্যাংক বলা, সঙ্গে
 এবং তারা তাদের ব্যাংক এর গ্রাহকদের সহায়তা রেখা বলা হয় এবং বলেন,
 "আমি আপনার মোবাইল ব্যাংকিং আবেদনপত্রের সাথে একটি সমস্যা হচ্ছে."
 "আপনি কি আমাকে সাহায্য করতে পারেন?"
 এবং তারা "আমরা একটি মোবাইল ব্যাংকিং অ্যাপ্লিকেশন আপনার নেই.", বলেন
 যে তদন্ত শুরু করে.
 , যে ব্যাংক গুগল বলা, এবং তারপর গুগল তাকিয়ে বলেন
 "বাহ, একই লেখক, 50 ব্যাংক অ্যাপ্লিকেশন লিখেছে" এবং তাদের সব নিচে নিয়ে যায়.
 কিন্তু অবশ্যই এই আবার ঘটতে পারে.
 সব বিভিন্ন ব্যাংকের তালিকা এখানে আছে
 যে এই কেলেঙ্কারীতে অংশ.
 একটি অ্যাপ্লিকেশন কি করতে পারেন অন্যান্য জিনিস অন্য আবেদন UI 'তে উপস্থিত.
 এটা চলমান এর যদিও এটা ফেসবুক UI 'পপ আপ পারে.
 এটা আপনি চালিয়ে যেতে আপনার ব্যবহারকারী নাম এবং পাসওয়ার্ড করিয়ে আছে বলেছেন
 অথবা কোনো ওয়েবসাইট জন্য কোনো ব্যবহারকারীর নাম এবং পাসওয়ার্ড UI 'তে পেশ করা
 যে হয়তো ব্যবহারকারী ব্যবহারকারী রত চেষ্টা মাত্র ব্যবহার করে
 এখনো সদস্য না তাদের প্রমাণপত্রাদি নির্বাণ মধ্যে
 এই সত্যিই ইমেইল ফিশিং আক্রমণের একটি সোজা সমান্তরাল হয়
 কেউ আপনাকে একটি ইমেইল বার্তা পাঠায় যেখানে
 এবং আপনি একটি ওয়েব সাইটের জন্য মূলত একটি জাল UI 'তে দেয়
 আপনি অ্যাক্সেস আছে যে.
 

আমরা দূষিত কোডের জন্য সন্ধান অন্যান্য জিনিস সিস্টেম পরিবর্তন হয়.
 আপনি রুট বিশেষাধিকার প্রয়োজন সব API-কলের জন্য সন্ধান করতে পারেন
 সঠিকভাবে চালানো.
 ডিভাইস এর ওয়েব প্রক্সি পরিবর্তন একটি অ্যাপ্লিকেশন কিছু হবে
 করতে পারা উচিত নয়.
 কিন্তু আবেদন যে কি সেখানে কোড হয়েছে থাকে
 আপনি সম্ভবত এটি একটি অনিষ্টকারী অ্যাপ্লিকেশনের যে জানি
 অথবা খুব অত্যন্ত দূষিত আবেদন হতে পারে,
 এবং তাই কি ঘটতে পারে অ্যাপ্লিকেশন বিশেষাধিকার বেড়ে উঠা কিছু উপায় থাকবে না.
 এটা কিছু বিশেষাধিকার তীব্রতাবৃদ্ধি কাজে লাগান হবে
 এটা অধিকার ছড়ানোর আবেদন, এবং তারপর একবার
 এটা এই ব্যবস্থার পরিবর্তন করতে হবে. আপনি বিশেষাধিকার তীব্রতাবৃদ্ধি আছে ম্যালওয়্যার খুঁজে পেতে পারেন
 এটা এমনকি কিভাবে বিশেষাধিকার তীব্রতাবৃদ্ধি জেনে
 কাজে লাগান ঘটতে যাচ্ছে, এবং যে একটি সুন্দর, সহজ উপায়
 ম্যালওয়্যার জন্য চেহারা.
 DroidDream সম্ভবত অ্যান্ড্রয়েড ম্যালওয়্যার সবচেয়ে বিখ্যাত টুকরা ছিল.
 আমি এটা কয়েক দিন ধরে প্রায় 250,000 ব্যবহারকারীদের প্রভাবিত মনে করি
 এটি পাওয়া যায় নি আগে.
 তারা 50 বাজে অ্যাপ্লিকেশন repackaged,
 Android এর অ্যাপ্লিকেশন দোকান তাদের করা,
 এবং মূলত এটি অধিকার ধাপে ধাপে বৃদ্ধি করতে অ্যানড্রইড Jailbreak কোড ব্যবহৃত
 এবং তারপর একটি কমান্ড এবং ইনস্টল সব শিকার এবং নিয়ন্ত্রণ চালু
 একটি বট নেট মধ্যে, কিন্তু আপনি এই সনাক্ত করতে পারে
 আপনি আবেদন স্ক্যানিং এবং ঠিক করছিলেন যদি
 এপিআই প্রয়োজন রুট অনুমতি সঠিকভাবে চালানো যে কল.
 

আমি প্রক্সি পরিবর্তন করা হয় যা আছে এখানে একটি উদাহরণ আছে,
 এবং এই আসলে Android এর উপর উপলব্ধ.
 আপনি আমি আপনার Android এর উপর উদাহরণ অনেক প্রদান করছি দেখতে পারেন
 সবচেয়ে সক্রিয় ম্যালওয়ার বাস্তুতন্ত্র যেখানে এই কারণ
 এটি দূষিত কোড পেতে একটি আক্রমণকারী জন্য সত্যিই সহজ, কারণ
 অ্যান্ড্রয়েড বাজার মধ্যে.
 এটা অ্যাপল অ্যাপ স্টোর মধ্যে যে কি এত সহজ নয়
 অ্যাপল নিজেদের চিহ্নিত করতে ডেভেলপারদের প্রয়োজন কারণ
 এবং কোড স্বাক্ষর.
 তারা আসলে আপনি কে চেক, এবং অ্যাপল আসলে অ্যাপ্লিকেশন scrutinizing হয়.
 আমরা ডিভাইস সংকটাপন্ন হচ্ছে যেখানে সত্য ম্যালওয়্যার অনেক দেখতে না.
 আমি এটা সত্যিই সংকটাপন্ন হচ্ছে যে গোপনীয়তা যেখানে কিছু উদাহরণ নিয়ে কথা বলতে হবে
 এবং যে সত্যিই অ্যাপল ডিভাইসে ঘটছে কি.
 অনিষ্টকারী কোড জন্য সন্ধান আরেকটি বিষয়, ডিভাইসের মধ্যে ঝুঁকিপূর্ণ কোড
 লজিক বা সময় বোমা, এবং সময় বোমা সম্ভবত হয়
 অনেক সহজ লজিক বোমা বেশী জন্য চেহারা.
 কিন্তু সময় বোমা সঙ্গে, আপনি কি কি করতে পারেন আপনার জন্য সন্ধান করতে পারেন হয়
 সময় পরীক্ষিত যেখানে কোড বা একটি পরম সময়ের মধ্যে জায়গা জন্য লাগছিল হয়
 অ্যাপ্লিকেশন নির্দিষ্ট কার্যকারিতা এরকম আগে.
 এবং এই, ব্যবহারকারী থেকে যে কার্যকলাপ আড়াল করা যাবে
 তাই এটি রাত্রে দেরী ঘটছে.
 DroidDream 11 টা ও 8 AM স্থানীয় সময় মধ্যে সব কার্যকলাপ করেনি
 ব্যবহারকারী তাদের ডিভাইসে ব্যবহার হতে পারে না, যখন এটা করতে চেষ্টা করুন.
 মানুষ একটি অ্যাপ্লিকেশন এর আচরণগত বিশ্লেষণ ব্যবহার করে থাকেন তাহলে 

এই কাজ করতে আরেকটি কারণ হল,
 , আবেদন আচরণ কি দেখার জন্য একটি স্যান্ডবক্স মধ্যে অ্যাপ্লিকেশন চলমান
 তারা কার্যকলাপ করতে সময় ভিত্তিক যুক্তিবিজ্ঞান ব্যবহার করতে পারেন
 অ্যাপ্লিকেশন স্যান্ডবক্স মধ্যে না থাকলে.
 আপেল মত উদাহরণস্বরূপ, একটি অ্যাপ স্টোর
 আবেদন চালায়, কিন্তু তারা সম্ভবত, অর্থাৎ, 30 দিনের জন্য প্রতি অ্যাপ্লিকেশন সঞ্চালিত না
 এটি অনুমোদন হওয়ার আগে, তাই আপনি লাগাতে পারেন
 ঠিক আছে, শুধু খারাপ জিনিস করে, বলেন যে আপনার আবেদনপত্রে যুক্তি
 30 দিন, আবেদন প্রকাশ তারিখের পরে 30 দিন বা পরে গেছে পরে
 এবং যে তার জন্য কার্যদর্শী মানুষ থেকে দূষিত কোড আড়াল সাহায্য করতে পারেন.
 এন্টি ভাইরাস কোম্পানি স্যান্ডবক্সে জিনিস দৌড়াচ্ছে যদি
 বা অ্যাপ্লিকেশন দোকান নিজেদের এই সাহায্য করতে পারেন হয়
 যে পরিদর্শন থেকে যে আড়াল.
 এখন, যে এর উল্টানো দিকে, এটা স্ট্যাটিক বিশ্লেষণ সঙ্গে খুঁজে পাওয়া সহজ হয়
 তাই আসলে আপনি সব জায়গা জন্য সন্ধান করতে পারেন কোড পরিদর্শন
 আবেদনের সময় পরীক্ষা করে এবং যে পথ পরিদর্শন করা হয়.
 এবং এখানে আমি এইসব 3 বিভিন্ন প্ল্যাটফর্মের উপর কিছু উদাহরণ আছে
 সময় অ্যাপ্লিকেশন সৃষ্টিকর্তা দ্বারা জন্য চেক করা যাবে কিভাবে
 তাই আপনি আপনি স্ট্যাটিক্যালি অ্যাপ্লিকেশন পরিদর্শন করছেন জন্য সন্ধান জানি.
 

আমি শুধু বিভিন্ন দূষিত কার্যক্রম আভা মাধ্যমে গিয়েছিলাম
 আমরা বন্য দেখা করেছি, কিন্তু কোনটি সবচেয়ে প্রচলিত যে?
 উত্তর ক্যারোলিনা রাজ্য মোবাইল জিনোম প্রজেক্ট থেকে একই গবেষণা
 কিছু তথ্য প্রকাশিত, এবং 4 এলাকায় মূলত ছিল
 কার্যকলাপ অনেক ছিল যেখানে তারা দেখেছি.
 Apps এর 37%, বিশেষাধিকার তীব্রতাবৃদ্ধি করেছেন
 তাই তারা সেখানে Jailbreak কোড কিছু টাইপ ছিল
 তারা অধিকার ধাপে ধাপে বৃদ্ধি করার চেষ্টা করে যেখানে তারা পারে যাতে
 এপিআই কমান্ড অপারেটিং সিস্টেম হিসাবে চলমান না.
 Apps এর 45% আউট আছে, প্রিমিয়াম এসএমএস করেছেন
 তাই যে সরাসরি অর্থ উপার্জন করার চেষ্টা করছে যে বিপুল শতাংশ এর.
 93% দূরবর্তী নিয়ন্ত্রণ করেছিল, তাই তারা একটি বট নেট, একটি মোবাইল বট নেট সেট আপ করার চেষ্টা করে.
 এবং 45% শনাক্তকরণ তথ্য তোলা
 ফোন নম্বর, UUID জানা, GPS অবস্থান, ব্যবহারকারী অ্যাকাউন্ট, ভালো
 অধিকাংশ ম্যালওয়্যার এই জিনিস কিছু না করার চেষ্টা করে, কারণ এবং এই আরো 100 পর্যন্ত যোগ করে.
 

আমি দ্বিতীয়ার্ধে সুইচ এবং কোড দুর্বলতা সম্পর্কে কথা বলতে যাচ্ছি.
 এই ঝুঁকিপূর্ণ কার্যকলাপ দ্বিতীয়ার্ধে হয়.
 ডেভেলপার ত্রুটি তৈরীর যেখানে মূলত এটি.
 একটি বৈধ অ্যাপ্লিকেশন লেখার একটি বৈধ ডেভেলপার
 ত্রুটি তৈরীর বা হয় মোবাইল প্ল্যাটফর্ম ঝুঁকি জ্ঞানহীন হয়.
 তারা শুধু একটি নিরাপদ মোবাইল অ্যাপ্লিকেশন করা কিভাবে জানি না,
 বা কখনও কখনও ডেভেলপার ঝুঁকিতে ব্যবহারকারী নির্বাণ যত্নশীল না.
 কখনও কখনও তাদের ব্যবসায়িক মডেল অংশ হতে পারে
 ব্যবহারকারীর ব্যক্তিগত তথ্য ফসল.
 এটা অন্য বিষয়শ্রেণীতে ধরণের, এবং যে কেন এই দূষিত কিছু
 মতামত পার্থক্য আছে কারণ বৈধ শুরু বনাম ধরে রক্ত ​​ঝরা
 কি ব্যবহারকারী চায় এবং কি ব্যবহারকারী ঝুঁকিপূর্ণ বিবেচনায় মধ্যে
 এবং কি অ্যাপ্লিকেশন ডেভেলপার ঝুঁকিপূর্ণ বিবেচনা করে. অবশ্যই, এটি বেশিরভাগ ক্ষেত্রেই অ্যাপ্লিকেশন ডেভেলপার এর ডাটা না.
 

এবং পরিশেষে, তাহলে এই ঘটনার অন্য উপায় একটি ডেভেলপার মধ্যে সংযুক্ত আছে, হতে পারে হয়
 এটা দুর্বলতা অথবা এই ঝুঁকিপূর্ণ আচরণ আছে যা শেয়ার করা লাইব্রেরির
 তাদের unbeknownst.
 প্রথম শ্রেণীতে সংবেদনশীল তথ্য ফুটো হয়,
 অ্যাপ্লিকেশন তথ্য সংগ্রহ করে এবং যখন এই হয়
 অবস্থান, ঠিকানা বইয়ের তথ্য, মালিক তথ্য চাই
 এবং ডিভাইস বন্ধ করে পাঠায়.
 এবং এটা ডিভাইস বন্ধ না হলে আমরা যে তথ্য দিয়ে কি ঘটছে জানি না.
 এটি অ্যাপ্লিকেশন ডেভেলপার insecurely সংরক্ষণ করা যায়নি.
 আমরা অ্যাপ্লিকেশন ডেভেলপারদের আপোস করতে দেখা করেছি,
 এবং তারা সংরক্ষণ করছেন যে তথ্য নেওয়া হয়.
 এই ফ্লোরিডার নিচে একটি ডেভেলপার থেকে কয়েক মাস আগে ঘটেছে
 এর এটি একটি বিশাল সংখ্যা রহমান UUID জানা এবং ডিভাইসের নাম যেখানে ছিল
 কেউ, আমি এটা বেনামী ছিল মনে কারণ, অবাঞ্ছিতভাবে হয়েছে
 এই না বলে দাবি করেন, এই বিকাশকারী এর সার্ভারের মধ্যে বিচ্ছেদ
 ও iPad UUID জানা লক্ষ লক্ষ চুরি
 এবং কম্পিউটার নাম.
 নেই সবচেয়ে ঝুঁকিপূর্ণ তথ্য,
 কিন্তু কি যে যদি ব্যবহারকারীর নাম এবং পাসওয়ার্ড সঞ্চয় ছিল
 এবং বাড়ির ঠিকানা?
 তথ্য তজ্জাতীয় সংরক্ষণ Apps যে প্রচুর আছে.
 ঝুঁকি রয়েছে.
 ডেভেলপার তত্ত্বাবধান করা না হয়, তাহলে 

ঘটতে পারে যে অন্যান্য জিনিস
 তথ্য চ্যানেলের নিরাপদ, এবং যে আমি কথা বলার জন্য যাচ্ছি আরেকটি বড় দুর্বলতা এর জন্য,
 যে তথ্য পরিষ্কার পাঠানো হচ্ছে.
 ব্যবহারকারী একটি সার্বজনীন ওয়াই ফাই নেটওয়ার্কের যদি
 বা কেউ কোথাও ইন্টারনেট আঘ্রাণ হয়
 পথ বরাবর যে তথ্য উন্মুক্ত করা হচ্ছে.
 এই তথ্য ফুটো মধ্যে একজন খুব বিখ্যাত ক্ষেত্রে আশার সঙ্গে ঘটেছে,
 এবং এই আমরা Veracode এ গবেষণা কিছু.
 আমরা একটি আমি এটি একটি ফেডারেল ট্রেড কমিশন মনে ছিল শুনেছেন
 আশার সঙ্গে যাওয়া তদন্ত.
 আমরা "সেখানে যাচ্ছে কি? এর আশার অ্যাপ্লিকেশান এ খনন শুরু করা যাক.", বলেন
 এবং কি আমরা নির্ধারিত সংগৃহীত আশার আবেদন ছিল
 আপনার লিঙ্গ এবং আপনার বয়স,
 এবং এটি আপনার GPS অবস্থান, এবং আশার অ্যাপ্লিকেশনটি ব্যবহার
 তারা বৈধ কারণ ছিল কি জন্য এই কি.
 তারা খেলে-আশার যে সঙ্গীত একটি মিউজিক স্ট্রিমিং অ্যাপ্লিকেশন হয়
 তারা বাজানো হয় সঙ্গীত শুধুমাত্র মার্কিন যুক্তরাষ্ট্র লাইসেন্স করা ছিল,
 তাই তারা তারা ছিল তাদের লাইসেন্স চুক্তি মেনে চলার পরীক্ষা ছিল
 ব্যবহারকারীর মার্কিন যুক্তরাষ্ট্র যে সঙ্গীত জন্য.
 তারা পিতামাতার উপদেষ্টা মেনে চলতে চেয়েছিলেন
 সঙ্গীতে প্রায় প্রাপ্তবয়স্ক ভাষা,
 এবং তাই এটি একটি স্বেচ্ছাসেবী প্রোগ্রাম আছে, কিন্তু তারা যে মেনে চলতে চেয়েছিলেন
 এবং শিশুদের 13 এবং অধীন করার স্পষ্ট গানের খেলা না.
 

তারা এই তথ্য সংগ্রহের জন্য বৈধ কারণ ছিল.
 তাদের অ্যাপ্লিকেশন এটি করতে অনুমতি ছিল.
 ব্যবহারকারীরা এই বৈধ ছিল. কিন্তু কি ঘটেছে?
 তারা 3 বা 4 বিভিন্ন বিজ্ঞাপন লাইব্রেরি লিঙ্ক.
 এখন হঠাৎ এই সব বিজ্ঞাপন লাইব্রেরি সব
 এই একই তথ্য অ্যাক্সেস পাচ্ছেন.
 বিজ্ঞাপন লাইব্রেরি, আপনি বিজ্ঞাপন লাইব্রেরি কোড তাকান
 কি তারা প্রত্যেক বিজ্ঞাপন লাইব্রেরি বলেছেন হয়
 "আমার অ্যাপ্লিকেশন GPS অবস্থান পেতে অনুমতি আছে?"
 "ওহ, এটা? ঠিক আছে, আমার GPS অবস্থান বলতে হয় না."
 প্রতিটি একক বিজ্ঞাপন গ্রন্থাগারের যে আছে,
 এবং অ্যাপ্লিকেশন জিপিএস অনুমতি নেই যদি
 এটা এটি পেতে পারবে না, কিন্তু এটা আছে, এটা তা পাবেন.
 এই বিজ্ঞাপনটি লাইব্রেরি যেখানে ব্যবসায়িক মডেল
 ব্যবহারকারীর গোপনীয়তা বিরোধিতা করা হয়.
 এবং যদি আপনি বয়স যদি জানেন বলবে যে সেখানে আউট গবেষণা আছে এর
 একজন ব্যক্তির এবং আপনি তাদের অবস্থান জানতে
 আপনি তাদের জিপিএস স্থানাঙ্ক আছে, কারণ তারা রাত্রে নিদ্রা যেখানে
 তারা সম্ভবত ঘুমের হয় যখন, আপনি যে ব্যক্তি ঠিক কে জানে
 আপনি যে পরিবারের সদস্য যে ব্যক্তি যা নির্ধারণ করতে পারেন.
 সত্যিই এই খবর Netlog ওপর বিজ্ঞাপণদাতা করার চিহ্নিত করা হয়
 আপনি ঠিক আছে, এবং এটা বৈধ ছিল এটা দেখে মনে হচ্ছে যারা.
 আমি শুধু আমার স্ট্রিমিং সঙ্গীত চান, এবং এই এটি পেতে একমাত্র উপায়.
 

ভাল, আমরা এই উন্মুক্ত.
 আমরা বেশ কিছু ব্লগ পোস্ট এই পর্যন্ত লিখেছেন,
 এবং পরিণত যে রোলিং স্টোন ম্যাগাজিনের থেকে কেউ
 আমাদের ব্লগ পোস্ট এক পড়া এবং এটি সম্পর্কে রোলিং স্টোন মধ্যে তাদের নিজস্ব ব্লগে লিখেছেন,
 এবং খুব পরের দিন আশার এটি একটি ভাল ধারণা ছিল
 তাদের অ্যাপ্লিকেশন থেকে বিজ্ঞাপন লাইব্রেরি মুছে ফেলার জন্য.
 যতদুর আমি জানি তারা কেবল 'তারা প্রশংসা করা উচিত করছি.
 আমি মনে করি তারা এই কাজ করেনি যে অ্যাপ্লিকেশন শুধুমাত্র freemium টাইপ মনে.
 অন্যান্য সমস্ত freemium অ্যাপ্লিকেশান এই একই আচরণ আছে,
 তাই আপনি আপনি প্রদান করছি তথ্য কি ধরনের সম্পর্কে ভাবতে পেয়েছেন
 এটি সব খবর Netlog ওপর বিজ্ঞাপণদাতা যাচ্ছে এই freemium অ্যাপ্লিকেশন কারণ.
 উক্ত ম্যাজিসট্রেটের সমপদমর্যাদাসম্পন্ন এছাড়াও ভাগ লাইব্রেরি সম্পর্কে একটি গবেষণা করেছেন এবং বলেছেন,
 ", এর লাইব্রেরি শীর্ষ শেয়ার করা লাইব্রেরি রয়েছে ভাগ তাকান" এবং এই তথ্য ছিল.
 

তারা 53,000 অ্যাপ্লিকেশান বিশ্লেষণ,
 এবং সংখ্যা 1 ভাগ লাইব্রেরি Admob ছিল.
 এটা সেখানে আউট অ্যাপ্লিকেশন 38% এর মধ্যে আসলে ছিল
 আপনি ব্যবহার করছেন অ্যাপ্লিকেশন তাই 38%
 সম্ভবত আপনার ব্যক্তিগত তথ্য ফসল হয়
 এবং বিজ্ঞাপন নেটওয়ার্ক থেকে এটি প্রেরণ. এ্যাপাচি এবং অ্যান্ড্রয়েড 8% এবং 6% ছিল,
 এবং তারপর নীচে, গুগল বিজ্ঞাপন, দমক এ এই অন্যান্য বেশী নিচে,
 মব সিটি এবং Millennial মিডিয়া,
 এই তারপর, মজার যথেষ্ট সকল বিজ্ঞাপন কোম্পানি, এবং
 4% ফেসবুক লাইব্রেরি লিঙ্ক
 সম্ভবত ফেসবুকের মাধ্যমে পরিচয় প্রমাণ করতে
 তাই অ্যাপ্লিকেশন ফেসবুক প্রমাণীকরণ পারে.
 কিন্তু যে এছাড়াও ফেসবুক কোড নিয়ন্ত্রণ করে নিগম মানে
 যে, সেখানে আউট অ্যান্ড্রয়েড মোবাইল Apps এর 4% মধ্যে চলমান
 এবং তারা যে অ্যাপ্লিকেশন এ পেতে অনুমতি রয়েছে যে সব তথ্য অ্যাক্সেস থাকবে.
 ফেসবুক মূলত বিজ্ঞাপন স্পেস বিক্রি করার চেষ্টা করে.
 যে তাদের ব্যবসা মডেল এর.
 

আপনি এই অনুমতিসহ এই পুরো বাস্তুতন্ত্র তাকান
 এবং আপনি যে দেখতে শুরু শেয়ার্ড লাইব্রেরি
 আপনি একটি কল্পনানুসারে বৈধ আবেদন ঝুঁকি অনেক আছে.
 আশার সঙ্গে ঘটেছে একই ধরনের জিনিস
 , পথ নামক একটি অ্যাপ্লিকেশন সঙ্গে ঘটেছে
 এবং পথ তারা সহায়ক, বন্ধুত্বপূর্ণ ডেভেলপারদের হচ্ছে ছিল.
 তারা শুধু আপনি একটি মহান ব্যবহারকারীর অভিজ্ঞতা দিতে চেষ্টা করছেন,
 এবং পরিণত যে ব্যবহারকারী প্ররোচনা বা ব্যবহারকারী কহন ছাড়া কিছুই-
 এবং এই, আইফোন এবং অ্যান্ড্রয়েড উপর ঘটেছে
 আশার অ্যাপ্লিকেশন আইফোন এবং ছিল অ্যান্ড্রয়েড-
 পথ আবেদন আপনার সম্পূর্ণ ঠিকানা বই দখল ছিল
 এবং আপনি ইনস্টল এবং অ্যাপ্লিকেশন দৌড়ে ঠিক যখন পথ থেকে এটি আপলোড,
 এবং তারা এই সম্পর্কে বলতে হয়নি.
 তারা এটা আপনার জন্য সত্যিই সহায়ক ছিল
 আপনার ঠিকানা বই সব মানুষের সঙ্গে ভাগ পাবে
 আপনি পথ অ্যাপ্লিকেশন ব্যবহার করছি.
 

ভাল, সম্ভবত পাথ তাদের কোম্পানির জন্য মহান ছিল.
 ব্যবহারকারী যাও তাই মহান নয়.
 আপনি এটা যদি হয়তো একটি কিশোর এক জিনিস যে মনে আছে
 এই অ্যাপ্লিকেশন ব্যবহার করে এবং বন্ধুদের তাদের অত্যাধিক আছে হয় হয়
 কিন্তু পথ ইনস্টল একটি কোম্পানির প্রধান নির্বাহী কর্মকর্তা কি যদি
 এবং তারপর হঠাৎ তাদের পুরো ঠিকানা বই সব আপ আছে?
 আপনি সম্ভাব্য মূল্যবান যোগাযোগের তথ্য অনেক পেতে যাচ্ছেন
 মানুষ অনেক জন্য.
 নিউ ইয়র্ক টাইমস থেকে একটি প্রতিবেদক, আপনি ফোন নম্বর পেতে পারে
 তাদের ঠিকানা বই থেকে প্রাক্তন রাষ্ট্রপ্রধান জন্য,
 তাই অবশ্যই সংবেদনশীল তথ্য অনেক ভালো কিছু সঙ্গে স্থানান্তরিত হয়.
 যে পথ ক্ষমা চেয়ে এই বিষয়ে যেমন একটি বড় পক্ষবিধুনন ছিল.
 তারা তাদের অ্যাপ্লিকেশন পরিবর্তন, এবং এটা এমনকি অ্যাপল প্রভাব.
 অ্যাপল আমরা ব্যবহারকারীদের অনুরোধ জানানো অ্যাপ্লিকেশন বিক্রেতারা বাধ্য চলুন বলেন, "
 তারা তাদের সম্পূর্ণ ঠিকানা বই সংগ্রহ করতে যাচ্ছেন না. "
 

এটা হয় এখানে ঘটছে বলে মনে হচ্ছে
 সেখানে এক বড় গোপনীয়তা লঙ্ঘন এবং এটি প্রেস করে যখন
 আমরা সেখানে একটি পরিবর্তন দেখতে.
 তবে অবশ্যই, অন্যান্য বিষয়ের আউট আছে আছে.
 লিঙ্কডইন অ্যাপ্লিকেশনের দ্বারা আপনাকে আপনার ক্যালেন্ডার এন্ট্রি ফলনের
 কিন্তু আপেল ব্যবহারকারী যে বিষয়ে অনুরোধ জানানো যায় না.
 ক্যালেন্ডার এন্ট্রি খুব তাদের মধ্যে সংবেদনশীল তথ্য থাকতে পারে.
 কোথায় আপনি রেখা আঁকা যাচ্ছে?
 এই সত্যিই ধরনের একটি নব্য জায়গা
 কোন ভাল মান আছে সত্যিই আছে যেখানে
 তাদের তথ্য ঝুঁকি হতে যাচ্ছে যখন ব্যবহারকারীদের বুঝতে জন্য
 তারা জানেন চলুন যখন তা নেওয়া হচ্ছে.
 আমরা Adios বলা Veracode এ একটি অ্যাপ্লিকেশন লিখেছে
 এবং মূলত এটি আপনি আপনার আই টিউনস ডিরেক্টরি এ অ্যাপ্লিকেশন নির্দেশ অনুমোদিত
 এবং আপনার পুরো ঠিকানা বই ফসল ছিল সব অ্যাপ্লিকেশন তাকান.
 এবং যদি আপনি এখানে এই তালিকায় দেখতে পারেন, ক্রুদ্ধ পাখি,
 এইম, AroundMe.
 কেন ক্রুদ্ধ ও আপনার ঠিকানা বই প্রয়োজন?
 আমি জানি না, কিন্তু এটা একরকম না.
 

এই অনেক, অনেক অ্যাপ্লিকেশন কি এমন কিছু বিষয় যা.
 আপনি এই জন্য কোড পরিদর্শন করতে পারেন.
 আইফোন, অ্যানড্রইড এবং ব্ল্যাকবেরি জন্য উত্তমরুপে সংজ্ঞায়িত API গুলি আছে
 ঠিকানা বই এ পেতে.
 আপনি সত্যিই সহজে এই জন্য পরিদর্শন করতে পারেন, এবং এই আমরা আমাদের Adios আবেদন করেছিল কি না.
 পরবর্তী বিভাগ, অনিরাপদ সংবেদনশীল তথ্য সংরক্ষণ,
 ডেভেলপারদের একটি পিন মত কিছু নিতে যেখানে কিছু বা একটি অ্যাকাউন্ট সংখ্যা
 অথবা একটি পাসওয়ার্ড এবং তা ডিভাইসে স্পষ্ট মধ্যে সঞ্চয়.
 এমনকি খারাপ, তারা তা ফোনে একটি এলাকায় দোকান পারে
 যা এসডি কার্ড মত, বিশ্বব্যাপী প্রবেশযোগ্য.
 অ্যান্ড্রয়েড একটি এসডি কার্ড জন্য করতে পারবেন, কারণ আপনি অ্যান্ড্রয়েড উপর আরো প্রায়ই এই দেখুন.
 আইফোন ডিভাইসের না.
 কিন্তু আমরা এমনকি এই একটি Citigroup আবেদনপত্রে ঘটতে দেখেছি.
 তাদের অনলাইন ব্যাংকিং অ্যাপ্লিকেশন, insecurely অ্যাকাউন্ট নম্বর সংরক্ষিত
 শুধু পরিষ্কার করে, তাই আপনি আপনার ডিভাইস হারিয়ে যদি,
 মূলত আপনি আপনার ব্যাংক অ্যাকাউন্ট হারিয়ে গেছে.
 আমি ব্যক্তিগতভাবে আমার আইফোনের ব্যাংকিং করবেন না কেন.
 আমি এটা কার্যক্রম এই ধরনের কাজ করার অধিকার এখন অত্যন্ত ঝুঁকিপূর্ণ মনে করি.
 

স্কাইপ একই জিনিস না.
 স্কাইপ, অবশ্যই, একটি অ্যাকাউন্ট ব্যালেন্স, একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড আছে
 যে ব্যালেন্স অ্যাক্সেস যে.
 তারা মোবাইল ডিভাইসে স্পষ্ট সব যে তথ্য সংরক্ষণ করা হয়.
 আমি ফাইল তৈরি করার জন্য এখানে কিছু উদাহরণ আছে
 যে সঠিক অনুমতি আছে বা ডিস্ক লিখিতভাবে না
 এবং কোনো এনক্রিপশন যে জন্য ঘটতে হচ্ছে না.
 এই পরের এলাকা, অনিরাপদ সংবেদনশীল তথ্য ট্রান্সমিশন,
 আমি এই কয়েক বার উল্লিখিত, এবং কারণ পাবলিক ওয়াই ফাই এর করেছি
 এই একেবারে যা করতে হবে apps এমন কিছু বিষয় যা,
 এবং এই আমরা সবচেয়ে ভুল দেখতে সম্ভবত. আমি বলতে-আসলে হবে, আমি প্রকৃত তথ্য আছে মনে,
 কিন্তু এটি অর্ধেক মোবাইল অ্যাপ্লিকেশনের জন্য বন্ধ
 SSL-করছে স্ক্রু আপ.
 তারা শুধু API গুলি সঠিকভাবে ব্যবহার করবেন না.
 আমি বলতে চাচ্ছি, আপনি পেয়েছেন সব, নির্দেশাবলী অনুসরণ করুন ও API গুলি ব্যবহার হয়
 কিন্তু তারা ভালো জিনিস, অন্য প্রান্তে একটি অবৈধ শংসাপত্র আছে কিনা তা যাচাই না
 অন্য প্রান্তে একটি প্রোটোকল ডাউনগ্রেড আক্রমণ করার চেষ্টা করছে, যদি পরীক্ষা না.
 

ডেভেলপার, তারা তাদের চেকবক্স পেতে চান, ডান?
 তাদের প্রয়োজন বিক্রয় করতে এই ব্যবহার হয়. তারা বিক্রি করতে এই ব্যবহার করেছি.
 প্রয়োজন, নিরাপদে বিক্রি এই ব্যবহার করতে হয় না
 SSL-র ব্যবহার যে সব অ্যাপ্লিকেশন তথ্য অভেদ্য কেন এবং তাই এই হল
 এটি বন্ধ প্রেরিত হচ্ছে হিসাবে ডিভাইস সত্যিই পরীক্ষা করা প্রয়োজন
 যে সঠিকভাবে বাস্তবায়িত হয় নিশ্চিত.
 এবং এখানে আমি আপনাকে একটি অ্যাপ্লিকেশন দেখতে পারেন যেখানে কিছু উদাহরণ আছে
 HTTP-র পরিবর্তে HTTPS দ্বারা ব্যবহার করা যেতে পারে.
 কিছু ক্ষেত্রে অ্যাপ্লিকেশান HTTP-র ফিরে আসবে
 HTTPS দ্বারা কাজ না করে যদি.
 আমি, তারা সার্টিফিকেট পরীক্ষা নিষ্ক্রিয় করেছি যেখানে Android এর উপর এখানে অন্য কল আছে
 তাই একজন মানুষ ইন দ্যা মধ্যম আক্রমণ ঘটতে পারে.
 একটি অবৈধ শংসাপত্র গ্রহণ করা হবে.
 এই আক্রমণকারীদের উপর পেতে যাচ্ছে যেখানে সব ক্ষেত্রে হয়
 ব্যবহারকারী এবং এক্সেস সব তথ্য হিসাবে একই ওয়াই ফাই সংযোগ
 যে ইন্টারনেটের মাধ্যমে পাঠানো হচ্ছে.
 

এবং পরিশেষে, আমি এখানে থাকতে গত বিষয়শ্রেণীতে হার্ডকোডেড পাসওয়ার্ড এবং কি হয়.
 আমরা আসলে ডেভেলপারদের অনেক একই কোডিং শৈলী ব্যবহার দেখুন
 তারা ওয়েব সার্ভার অ্যাপ্লিকেশন নির্মাণ ছিল করেনি, যে
 তাই তারা একটি জাভা সার্ভার অ্যাপ্লিকেশন ঘর তৈরী করছি, এবং তারা কী hardcoding করছি.
 হ্যাঁ, আপনি একটি সার্ভার অ্যাপ্লিকেশন ঘর তৈরী করছি যখন, হাঁ,
 কী hardcoding বাঞ্ছনীয় নয়.
 এটা কঠিন পরিবর্তন করে তোলে.
 কে সার্ভার সাইড এক্সেস আছে কারণ কিন্তু এটা সার্ভারের দিকে যাতে খারাপ না?
 শুধু অ্যাডমিনিস্ট্রেটররা.
 কিন্তু আপনি একই কোড এবং নেন, আপনি একটি মোবাইল অ্যাপ্লিকেশন থেকে এটি উপর ঢেলে যদি
 এখন মোবাইল অ্যাপ্লিকেশন যে হার্ডকোডেড কী ব্যবহার করেছে যে যারা আছে সবাই,
 এবং আসলে আমরা এই বার অনেক দেখতে, এবং আমি কিছু পরিসংখ্যান আছে
 আমরা এই ঘটতে দেখতে কত ঘন ঘন উপর.
 এটা আসলে মাস্টারকার্ড প্রকাশিত যে উদাহরণ কোড ছিল
 তাদের সেবা কিভাবে ব্যবহার করতে.
 উদাহরণস্বরূপ কোড তখন আপনার পাসওয়ার্ড লাগবে কিভাবে দেখিয়েছেন
 এবং, ডান সেখানে একটি হার্ডকোডেড স্ট্রিং রাখা
 এবং আমরা ডেভেলপারদের কোড স্নিপেট কপি ও পেস্ট করতে ভালোবাসি জানেন কিভাবে
 তারা কিছু একটা করার চেষ্টা করছি, যাতে আপনি কোড স্নিপেট কপি ও পেস্ট করার সময়
 তারা উদাহরণ কোড হিসাবে দিয়েছিলেন, এবং আপনি একটি অসুরক্ষিত আবেদন আছে.
 

এবং এখানে আমরা কিছু উদাহরণ আছে.
 এই প্রথম এক আমরা তারা hardcode যেখানে অনেক দেখতে এক
 পাঠানো পরার একটি URL মধ্যে তথ্য অধিকার.
 কখনও কখনও আমরা স্ট্রিং পাসওয়ার্ড = পাসওয়ার্ডটি দেখতে.
 যে ব্ল্যাকবেরি এবং অ্যান্ড্রয়েড উপর প্রায় কাছাকাছি সনাক্ত করা সহজ, অথবা পংক্তি পাসওয়ার্ড এর.
 এটা আসলে, কারণ প্রায় সবসময় পরীক্ষা বেশ সহজ
 বিকাশকারী নাম শব্দচাবি অধিষ্ঠিত যে পরিবর্তনশীল
 পাসওয়ার্ড কিছু ভেরিয়েশন.
 আমি, আমরা Veracode এ স্ট্যাটিক বিশ্লেষণ করবেন উল্লেখ করেন যে,
 তাই আমরা কয়েক শত অ্যানড্রইড এবং iOS অ্যাপ্লিকেশন বিশ্লেষণ করেছি.
 আমরা তাদের পূর্ণ মডেল তৈরি করেছি, এবং আমরা তাদের স্ক্যান করতে পারবেন
 বিভিন্ন দুর্বলতা, আমি সম্পর্কে কথা ছিল, বিশেষ দুর্বলতা, জন্য
 এবং আমি এখানে কিছু তথ্য আছে.
 আমরা দেখতে লাগলাম অ্যানড্রইড Apps এর 68.5%
 ক্রিপ্টোগ্রাফিক কোড ভেঙে থাকে,
 আপনি আপনার নিজস্ব ক্রিপ্টো রুটিন তৈরি হলে আমাদের জন্য, আমরা সনাক্ত করতে পারে না যা,
 যে একটা ভাল ধারণা, কিন্তু এই আসলে প্রকাশিত API গুলি ব্যবহার করছে না যে
 প্ল্যাটফর্মে কিন্তু এমনভাবে যে তাদের কাজ
 ক্রিপ্টো, 68.5 প্রবন হবে.
 এবং এই আসলে আমাদের তাদের অ্যাপ্লিকেশনের পাঠানোর যে মানুষের জন্য, কারণ
 তারা এটা নিরাপত্তা টেস্টিং করার একটা ভাল ধারণা মনে করি.
 এই ইতিমধ্যে সম্ভবত নিরাপদে চিন্তা করা হয় যে মানুষ হয়
 তাই সম্ভবত এটি এমনকি খারাপ.
 

আমি নিয়ন্ত্রণ রেখা ফিড ইনজেকশন সম্পর্কে কথা বলতে না.
 এটা আমরা পরীক্ষা কিছু, কিন্তু এটা একটি বিষয় যে ঝুঁকিপূর্ণ নয়.
 তথ্য ফুটো, এই সংবেদনশীল তথ্য ডিভাইস বন্ধ পাঠানো হচ্ছে যেখানে হয়.
 আমরা অ্যাপ্লিকেশন 40% এর মধ্যে যে পাওয়া যায় নি.
 সময় ও রাষ্ট্র, যারা, কাজে লাগান সাধারণত বেশ কঠিন জাতি শর্ত ধরনের সমস্যা, হয়
 তাই আমি যে বিষয়ে কথা বলতে না, কিন্তু আমরা তা দেখতে লাগলাম.
 23% এসকিউএল ইনজেকশন বিষয় ছিল.
 মানুষ অনেক জানি না যে অ্যাপ্লিকেশনের অনেক
 তথ্য ধারণ করার জন্য তাদের ফিরে প্রান্তে একটি ছোট একটু এসকিউএল ডাটাবেজ ব্যবহার.
 ওয়েল, যদি আপনি নেটওয়ার্কের মাধ্যমে দখল করছি যে তথ্য
 এটা এসকিউএল ইনজেকশন আক্রমণ স্ট্রিং আছে
 কেউ যে মাধ্যমে ডিভাইস আপোস করতে পারে,
 এবং তাই আমি, আমরা ওয়েব অ্যাপ্লিকেশন প্রায় 40% এই সমস্যা খুঁজে মনে
 যা একটি বিশাল মহামারী সমস্যা.
 আমরা মোবাইল অ্যাপ্লিকেশনের মধ্যে এটি সময় 23% খুঁজে
 আরো অনেক ওয়েব অ্যাপ্লিকেশন মোবাইল তুলনায় এসকিউএল ব্যবহার কারণ এবং যে সম্ভবত.
 

এবং তারপর আমরা এখনও কিছু ক্রস সাইট স্ক্রিপ্টিং, অনুমোদন বিষয়, দেখতে
 আপনি আপনার হার্ডকোডেড পাসওয়ার্ড আছে যেখানে এবং তারপর শংসাপত্র ব্যবস্থাপনা, যে.
 অ্যাপ্লিকেশনের 5% আমরা দেখতে যে.
 এবং তারপর আমরা iOS উপর কিছু তথ্য আছে.
 81% ত্রুটি পরিচালনা বিষয় ছিল. এই একটি কোড গুণমান সমস্যা আরো,
 কিন্তু 67% ক্রিপ্টোগ্রাফিক বিষয় ছিল, তাই অ্যানড্রইড হিসাবে বেশ হিসাবে খারাপ না.
 হয়তো API গুলি একটু একটু সহজ হয়, iOS উপর কিছুটা ভালো উদাহরণ কোড.
 কিন্তু এখনও একটি খুব উচ্চ শতাংশ.
 আমরা তথ্য ফুটো দিয়ে 54% ছিল,
 বাফার ব্যবস্থাপনা ত্রুটি সঙ্গে প্রায় 30%.
 যে সম্ভাব্য একটি মেমরি দুর্নীতির সমস্যা হতে পারে যেখানে জায়গা আছে.
 এটা যে শোষণের জন্য একটি সমস্যা যতটা না দেখা যাচ্ছে যে
 সব কোড স্বাক্ষরিত হবে iOS উপর কারণ,
 তাই এটি iOS উপর নির্বিচারে কোড চালানো একটি আক্রমণকারী জন্য কঠিন.
 কোড মানের, ডিরেক্টরি ট্র্যাভেরসাল, কিন্তু এখানে 14.6% এ তারপর প্রমাণপত্রাদি ব্যবস্থাপনা,
 Android এর উপর আর তাই খারাপ.
 আমরা মানুষ সঠিকভাবে পাসওয়ার্ডের সামলাচ্ছে না আছে.
 এবং তারপর সাংখ্যিক ত্রুটি ও বাফার ওভারফ্লো,
 যারা আরো iOS উপর কোড মানের বিষয় হতে যাচ্ছে.
 

তার মানে এটা আমার উপস্থাপনার জন্য ছিল. আমরা সময় আউট বা না হন তাহলে আমি জানি না.
 কোন প্রশ্ন আছে, যদি আমি জানি না.
 [পুরুষ] ফ্র্যাগমেন্টেশন এবং অ্যান্ড্রয়েড বাজারে চারপাশে একটি দ্রুত প্রশ্ন.
 অ্যাপল অন্তত প্যাচিং মালিক.
 তারা অ্যানড্রইড স্থান যেহেতু কম তাই সেখানে এটি পাবার একটি ভাল কাজ.
 আপনি প্রায় বর্তমান থাকতে আপনার ফোন jailbreak করতে হবে
 অ্যান্ড্রয়েড বর্তমান রিলিজের সাথে.
 আপনার সম্পর্কে, মনে যদি হাঁ, যে একটি বিশাল সমস্যা এবং তাই এর
 [পুরুষ] আপনি কেন তা পুনরাবৃত্তি করতে পারবে না?
 

ওহ, ঠিক আছে, তাই প্রশ্ন সম্পর্কে ফ্র্যাগমেন্টেশন ছিল
 অ্যান্ড্রয়েড প্ল্যাটফর্মে অপারেটিং সিস্টেমের?
 কিভাবে ঐ যে ডিভাইসের ঝুঁকিতা প্রভাবিত করে?
 কি কারণ এবং এটি আসলে একটি বিশাল সমস্যা
 পুরনো ডিভাইস, কেউ যে ডিভাইসের জন্য একটি Jailbreak সঙ্গে চলে আসে,
 মূলত যে যে অপারেটিং সিস্টেম আপডেট করা হয়, যতক্ষণ না বিশেষাধিকার উদ্দীপন, এবং
 কোন ম্যালওয়্যার তারপর, সর্বাঙ্গে ডিভাইস আপোষ যে দুর্বলতা ব্যবহার করতে পারেন
 এবং কি আমরা Android এর উপর নিরীক্ষা করছি একটি নতুন অপারেটিং সিস্টেম পেতে হয়
 গুগল তারপর হার্ডওয়্যার প্রস্তুতকারকের অপারেটিং সিস্টেম আউট করা আছে, এবং
 এটা কাস্টমাইজ করতে হয়েছে, এবং তারপর ক্যারিয়ার এটা কাস্টমাইজ এবং এটি প্রদান করা হয়েছে.
 আপনি মূলত এখানে 3 চলন্ত অংশে আছে
 এবং এটি বাহক না যত্ন যে বাঁক,
 এবং হার্ডওয়্যার নির্মাতা যত্ন না, এবং গুগল যথেষ্ট তাদের prodding নয়
 সেখানে আউট তাই মূলত ডিভাইস অর্ধেকের বেশি, কিছু করতে
 তাদের মধ্যে এই বিশেষাধিকার তীব্রতাবৃদ্ধি দুর্বলতা আছে অপারেটিং সিস্টেম আছে,
 আপনি আপনার অ্যান্ড্রয়েড ডিভাইসের উপর ম্যালওয়্যার পেতে এবং যদি তাই এটি একটি সমস্যা অনেক বেশি হবে.
 

ঠিক আছে, আপনাকে অনেক ধন্যবাদ.
 [সাধুবাদ]
 [CS50.TV]