[Seminar] [puolustaminen takana Device: Mobile Application Security]
 [Chris Wysopal] [Harvardin yliopisto]
 [Tämä on CS50.] [CS50.TV]
 

Hyvää iltapäivää. Nimeni on Chris Wysopal.
 Olen CTO ja yhteistyötä perustaja Veracode.
 Veracode on sovellus turvallisuusalan yritys.
 Me testata kaikenlaisia ​​erilaisia ​​sovelluksia,
 ja mitä aion puhua tänään on mobiilisovellus turvallisuus.
 Oma taustani on olen tehnyt turvallisuustutkimuksen
 hyvin pitkän aikaa, luultavasti noin niin kauan kuin kukaan.
 Aloitin 90-luvun puolivälissä,
 ja se oli aika, että oli aika mielenkiintoinen, koska
 meillä oli paradigman muutos puolivälissä 90-luvulla.
 Yhtäkkiä kaikkien tietokone oli koukussa internetiin,
 ja sitten meillä oli alkua web-sovelluksia,
 ja se mitä olen keskittynyt paljon sitten.
 Se on mielenkiintoista.
 Nyt meillä on toinen paradigman muutos tapahtuu computing,
 joka on siirtyminen mobiilisovelluksia.
 

Minusta se on tavallaan samanlainen aikaa sitten se oli 90-luvun lopulla
 kun olimme tutkivat web-sovelluksia ja löytää vikoja, kuten
 istunnon hallinta virheitä ja SQL-injektio
 joka ei todellakaan ole aikaisemmin esiintynyt, ja yhtäkkiä he olivat kaikkialla
 web-sovelluksia, ja nyt paljon aikaa vietän
 etsii mobiilisovelluksia ja katsot mitä tapahtuu siellä luonnossa.
 Mobiilisovellukset ovat todella olemaan hallitseva Computing Platform,
 joten meidän on todella viettää paljon aikaa, jos olet turva-alan
 keskittyy web-sovelluksia.
 Oli 29 miljardia mobiilisovellukset ladata 2011.
 Se on ennustettu olevan 76 miljardia apps vuoteen 2014 mennessä.
 On 686000000 laitteita, joita aiotaan ostaa tänä vuonna,
 joten tämä on, jos ihmiset aikovat tehdä
  Suurin osa asiakkaan computing eteenpäin.
 

Puhuin johtajana Fidelity Investments
 pari kuukautta sitten, ja hän sanoi, että he vain näkivät enemmän liikennettä
 teet liiketoimia niiden asiakaskunta
 niiden mobiilisovellus kuin niiden verkkosivuilla,
 joten yhteiseen käyttöön Web on aikaisemmin ollut
 tarkkailun pörssikurssit, toimitusjohtaja oman salkun,
 ja olemme todella nähdä, että vuonna 2012 kytkin yli
 olla hallitsevampi mobiilialusta.
 Varmasti, jos siellä tulee olla rikollista toimintaa,
 haittaohjelmat toimintaa, se tulee aloittaa keskitytään mobiilialusta
 ajan myötä ihmiset siirtyä siihen.
 Jos tarkastellaan mobiilialusta,
 tarkastella riskejä alustan on hyödyllistä murtaa se alas eri kerroksia,
 aivan kuten te tekisitte sen pöytätietokoneen,
 ja ajattelee eri kerroksiin, ohjelmistot, käyttöjärjestelmä,
 verkkokerroksella, laitteisto kerros, ja tietysti siellä on haavoittuvuuksien kaikki kerrokset.
 

Sama tapahtuu mobiili.
 Mutta mobiili, näyttää siltä, ​​että jotkut näistä kerrokset ovat huonommin.
 Yhden, verkkokerroksen on ongelmallisempaa liikkuvilla
 koska monet ihmiset ovat heidän toimistossa tai kotona
 langallisten yhteyksien tai heillä on turvallinen Wi-Fi-yhteydet,
 ja paljon mobiililaitteita olet ilmeisesti kodin ulkopuolella
 tai toimiston ulkopuolella paljon, ja jos käytät Wi-Fi on
 saatat käyttää turvaton Wi-Fi-yhteys,
 jotain, joka on julkinen Wi-Fi-yhteys,
 joten kun ajattelemme mobiilisovellukset meidän on otettava huomioon
 että verkkoympäristö on riskialttiimpia sovelluksille
 kun Wi-Fi on käytössä.
 Ja kun pääsen enemmän mobiilisovellus riskit
 näet, miksi se on tärkeämpää.
 On riskejä laitteisto tasolla mobiililaitteissa.
 Tämä on alue jatkuvaa tutkimusta.
 Ihmiset kutsuvat näitä laajakaista hyökkäyksiä tai baseband hyökkäyksiä
 jos olet hyökkää firmware joka kuuntelee radiosta.
 

Nämä ovat todella pelottavaa iskujen vuoksi
 Käyttäjän ei tarvitse tehdä mitään.
 Voit lyödä paljon laitteita RF-alue
 kerralla, ja se tuntuu, kun tämä tutkimus kuplia
 se nopeasti saa luokitella jossa
 ihmiset syöksyä ympäri ja sanoa: "Täällä, kerro meille siitä ja ota puhumatta siitä."
 Siellä on joitakin käynnissä on laajakaista-aluettaan,
 mutta se näyttää olevan hyvin hys hys.
 Minusta se on enemmän kansallisvaltion tyyppistä tutkimusta joka on meneillään.
 Aktiivisen tutkimuksen, vaikka on käyttöjärjestelmä kerros,
 ja taas, tämä on erilainen kuin pöytätietokoneiden maailmaa
 koska mobiililaitteille olet nämä joukkueet ihmisiä kutsutaan jailbreakers,
 ja jailbreakers ovat erilaisia ​​kuin säännöllistä haavoittuvuutta tutkijoita.
 He yrittävät löytää haavoittuvuuksia käyttöjärjestelmän,
 mutta syy he yrittävät löytää haavoittuvuuksia ei ole
 murtautua jonkun toisen koneen ja vaarantaa sen.
 Se on murtautua oman tietokoneen.
 

He haluavat murtautua omia mobiili, muokata omaa mobiili käyttöjärjestelmä
 jotta he voivat ajaa sovelluksia heidän valintansa
 ja muuttaa asioita täysin järjestelmänvalvojan oikeuksia
 ja he eivät halua kertoa myyjä tästä. He eivät pidä turvallisuutta tutkija, joka on valkoinen hattu tietoturvatutkija
 joka aikoo tehdä vastaavan julkistamista ja kertoa myyjä siitä.
 He haluavat tehdä tätä tutkimusta, ja he haluavat todella julkaista sen
 in hyödyntää tai rootkit tai Jailbreak koodia,
 ja he haluavat tehdä sen strategisesti, kuten heti
 myyjä alusten uuden käyttöjärjestelmän.
 Sinulla on tämä kontradiktorisen suhde
 OS-tason haavoittuvuuksien mobiili,
 joka on mielestäni varsin mielenkiintoinen, ja yksi paikka näemme sen
 se tekee niin, että siellä on hyviä julkaistu hyväksikäyttökoodi siellä
 kernel-tason haavoittuvuuksia,
 ja olemme nähneet todellisuudessa käyttää haittaohjelmien kirjoittajat.
 Se on hieman erilainen kuin PC-maailmassa.
 Ja sitten lopullinen kerros on yläkerros, sovellustasolla.
 Se mitä aion puhua tänään.
 

Muut kerrokset ovat olemassa, ja muut kerrokset pelata osaksi sitä,
 mutta olen enimmäkseen aio puhua siitä, mitä tapahtuu sovellustasolla
 jossa koodi on käynnissä hiekkalaatikko.
 Se ei ole järjestelmänvalvojan oikeuksia.
 Se on käyttää API laitteen,
 mutta silti, paljon haitallisen toiminnan ja paljon riskejä voi tapahtua, että kerros
 koska se on kerros, jossa kaikki tieto on.
 Sovellukset voivat käyttää kaikkia laitteen tietoja
 jos heillä on oikeus käyttöoikeudet,
 ja he voivat käyttää erilaisia ​​antureita laitteeseen,
 GPS-sensori, mikrofoni, kamera, mitä olet.
 Vaikka emme vain puhu sovellustasolla
 meillä on paljon riskejä siellä.
 Toinen asia, joka on erilaista mobiiliin ympäristöön
 on kaikki käyttöjärjestelmän pelaajia, olipa BlackBerry tai Android
 tai iOS tai Windows Mobile, ne kaikki ovat hienorakeinen luvan malli,
 ja tämä on yksi tapa, että he rakensivat käyttöjärjestelmään
 ajatus, että se ei ole niin riskialtista kuin luulet.
 Vaikka sinulla on kaikki yhteystiedot siellä, kaikki henkilökohtaiset tiedot,
 sinulla on valokuvia, sinulla on paikalla siellä,
 olet tallentamisen bank pin automaattinen kirjautuminen on olemassa, se on turvallista, koska
 apps on oltava tiettyjä oikeuksia saada tietyissä osissa
 tiedot laitteen ja käyttäjän on esitettävä
 nämä luvat ja sano okei.
 

Ongelma on käyttäjän sanoo aina kunnossa.
 Koska turvallisuus henkilö, tiedän voit pyytää käyttäjää,
 sanoa jotain todella pahaa tulee tapahtumaan, sinä haluat sen tapahtua?
 Ja jos he ovat kiire tai siinä on jotain todella houkutteleva toisella puolella, että
 kuin peli aiotaan asentaa, että he ovat odottaneet,
 he aikovat klikkaa kunnossa.
 Siksi sanon minun slide täällä juuri minulle paiskata lintuja sikoja jo,
 ja näet dian tässä siellä esimerkkejä BlackBerry lupaa ruutuun.
 Se sanoo "Aseta BlackBerry Travel sovelluksen käyttöoikeudet
 jälkeen klikkaamalla alla olevaa painiketta "ja pohjimmiltaan käyttäjä on juuri menossa sanoa
 asettaa käyttöoikeudet ja tallenna.
 Tässä Android ajallaan, jossa näkyy asioita,
 ja se oikeasti jotain, joka melkein näyttää varoitus.
 Se sai eräänlaisen varoituskolmio siellä sanomalla verkkoviestintää, puheluita
 mutta käyttäjä on menossa valitse asentaa, eikö?
 Ja sitten Apple yksi on täysin vaaraton.
 Se ei anna minkäänlaista varoitusta.
 Se on vain Apple haluaisi käyttää nykyistä sijaintia.
 Tietenkin aiot klikata kunnossa.
 

On tämä hienojakoinen lupaa malli,
 ja sovellukset on oltava manifestissä jossa he julistavat
 käyttöoikeudet he tarvitsevat, ja että saavat näytetään käyttäjälle,
 ja käyttäjän täytyy sanoa myöntää nämä oikeudet.
 Mutta olkaamme rehellisiä.
 Käyttäjät ovat juuri menossa aina sanoa kunnossa.
 Otetaanpa vilkaista käyttöoikeudet nämä sovellukset pyytävät
 ja joitakin käyttöoikeuksia, jotka ovat siellä.
 Tämä yritys Praetorian teki kyselyn viime vuonna
 53000 analysoitujen hakemusten Android markkinoilla ja 3rd party markkinoilla,
 joten tämä on kaikki Android.
 Ja keskimääräinen app pyydetty 3 käyttöoikeudet.
 Jotkin sovellukset pyysi 117 käyttöoikeuksia,
 joten ilmeisesti nämä ovat erittäin hienojakoisia ja aivan liian monimutkainen käyttäjä ymmärtää
 jos ne siellä esitetään tämän sovelluksen, joka tarvitsee näitä 117 käyttöoikeuksia.
 Se on kuin loppukäyttäjän lisenssisopimus, joka on 45 sivua pitkä.
 Ehkä pian he ovat yksi vaihtoehto, jos se on kuin
 tulostaa käyttöoikeudet ja lähetä minulle sähköpostia.
 

Mutta jos tarkastellaan joitakin alkuun mielenkiintoisia käyttöoikeudet
 24% apps että ne ladataan ulos 53000
 pyydetyt GPS-tietoja laitteen.
 8% lukea yhteystiedot.
 4% lähetetään tekstiviesti, ja 3% saapunut.
 2% tallennettua ääntä.
 1% jalostettu lähtevät puhelut.
 En tiedä.
 En usko, että 4% kaikista apps App Store todellakaan tarvitse lähettää tekstiviestejä,
 joten uskon, että vihje, että jotain epätavallista on tekeillä.
 8% apps täytyy lukea yhteystiedot. Se ei todennäköisesti ole tarpeen.
 Yksi muita mielenkiintoisia asioita käyttöoikeudet on
 jos linkkiä jaetut kirjastot sovellukseen
 nämä perivät käyttöoikeudet hakemuksen,
 joten jos sovellus tarvitsee yhteystietoluettelo tai tarvitsee GPS-sijainnin toimiakseen
 ja liität vuonna mainonnan kirjasto, esimerkiksi
 että mainos kirjasto on myös mahdollisuus käyttää kontakteja
 ja myös voi käyttää GPS-sijainti,
 ja kehittäjä app tiedä mitään koodia, joka on käynnissä mainoksen kirjastossa.
 He vain yhdistää, että koska he haluavat ansaita rahaa sovellus.
 

Tämä on, jos ja minä puhumme joitakin esimerkkejä tämän kanssa
 sovellus nimeltä Pandora, jossa sovelluskehittäjä
 ehkä tietämättään vuotaa tietoja
 niiden käyttäjille, koska kirjastot he ovat sidoksissa sisään
 Maanmittaus maiseman siellä, tarkastellaan kaikkia eri sovellukset
 että on raportoitu uutiset ilkeä tai tekee jotain käyttäjät eivät halua
 ja sitten tarkastaa paljon apps-teemme paljon häiriöitä binary analyysin mobiilisovellukset,
 joten olemme tarkastaa ne ja katsoin koodin itse-
 keksimme mitä me kutsumme meidän top 10 lista riskikäyttäytymistä sovelluksissa.
 Ja se jakautuu 2 osaan, haitallisen koodin,
 joten nämä ovat pahoja asioita, että sovellukset voidaan tehdä, että
 ovat todennäköisesti jotain, että ilkeä yksittäisiä
 on nimenomaan laittaa hakemuksen, mutta se on hieman sumea.
 Se voisi olla jotain, että kehittäjä ajattelee on hieno,
 mutta se päätyy ajatellut sen haitalliseksi käyttäjä.
 

Ja sitten toinen osa on se, mitä me kutsumme koodaus haavoittuvuuksia,
 ja nämä ovat asioita, joissa kehittäjä pohjimmiltaan tekee virheitä
 tai vain ei ymmärrä miten kirjoittaa app turvallisesti,
  ja joka laittoi sovelluksen käyttäjä vaarassa.
 Aion käydä läpi näitä yksityiskohtaisesti ja antaa esimerkkejä.
 Ilmenee, halusin laittaa ylös OWASP mobiili top 10 lista.
 Nämä ovat 10 numeroa, että ryhmä OWASP,
 Open Web Application Security Project, heillä työryhmä
 työstää mobiili top 10 lista.
 Heillä on erittäin kuuluisa web top 10 lista, jotka ovat top 10
 vaarallisinta, mitä voi olla web-sovellus.
 He tekevät samaa mobiililaitteille,
 ja niiden lista on hieman erilainen kuin omamme.
 6 ulos 10 ovat samat.
 He ovat 4, jotka ovat erilaisia.
 Mielestäni heillä on hieman erilainen ottaa
 riski mobiilisovellukset jossa paljon niiden kysymysten
 ovat todella miten sovellus viestii back-end-palvelin
 tai mitä tapahtuu back-end-palvelin,
 ei niin paljon sovelluksia, joilla on riskikäyttäytymistä, jotka ovat aivan yksinkertaista asiakas apps.
 

Niistä punaisella tässä ovat erot 2 luetellaan.
 Ja joitakin minun tutkimusryhmä on todella osoittanut tähän hankkeeseen,
 niin näemme, mitä tapahtuu ajan myötä, mutta mielestäni takeaway tässä
 emme oikeastaan ​​tiedä, mitä top 10 lista on mobiilisovellukset koska
 He ovat todella ollut vain noin 2 tai 3 vuotta,
 ja ei ole ollut tarpeeksi aikaa todella tutkia käyttöjärjestelmissä
 ja mitä he pystyvät, ja ei ole ollut tarpeeksi aikaa
 haittaohjelman yhteisölle, jos haluatte, on viettänyt tarpeeksi aikaa
 yrittää hyökätä käyttäjille mobiilisovellukset, joten odotan näitä luetteloita muuttaa hieman.
 Mutta nyt nämä ovat top 10 asioita murehtia.
 Saatat ihmetellä mobiili puolella, jossa ei ilkeä mobiili koodi-
 miten se päästä laitteeseen?
 North Carolina State on projekti nimeltään Mobile Malware Genome Project
 jos ne on kerätä niin paljon mobiililaitteiden haittaohjelmien kuin he voivat ja analysoida sitä,
 ja he ovat eriteltyinä pistoksen vektorit että mobiililaitteiden haittaohjelmien käyttää,
 ja 86% käyttää tekniikkaa kutsutaan uudelleen pakkaamisen,
 ja tämä on vain Android-alustan
 voit todella tehdä tämän uudelleen pakkaamisen.
 

Syy on Android-koodi on rakennettu
 Java tavu koodi nimeltään Dalvik joka on helposti decompilable.
 Mitä pahis voi tehdä, on
 ottaa Android-sovellus, purkaa sen,
 lisätä niiden haitallista koodia, kääntää sen,
 ja sitten laittaa se esille App Store muka olla uusi versio, joka hakemuksen,
 tai vain ehkä muuttamalla sovelluksen nimi.
 Jos se oli jonkinlainen peli, muuttaa nimeä hieman,
 ja niin tämä uudelleen pakkaaminen on, miten 86% mobiililaitteiden haittaohjelmien saa jakaa.
 On toinenkin tekniikkaa kutsutaan päivitys, joka on
 hyvin samankaltainen uudelleen pakkaamisen, mutta te itse ei laita haitallisen koodin sisään
 Mitä tehdä, on laittaa pieni päivitys mekanismi.
 Voit purkaa, laitat päivitysmekanismi, ja voit kääntää sen,
 ja sitten kun sovellus on käynnissä se vetää alas haittaohjelmien kiinni laitteeseen.
 

Ylivoimaisesti suurin osa ovat ne 2 tekniikoita.
 Ei ole oikeastaan ​​paljon download drive pysähdyspaikkoja tai drive-by download matkapuhelinten,
 joka voisi olla kuin phishing-hyökkäys.
 Hei, katsokaa tämä todella siistiä verkkosivuilla,
 tai sinun täytyy mennä tälle sivustolle ja täytä tämä lomake
 pitää jatkuvaa tehdä jotain. Nämä ovat phishing-hyökkäykset.
 Sama voi tapahtua mobiilialusta, jossa he
 viittaavat Mobile App ladata, sanoa "Hei, tämä on Bank of America."
 "Näemme käytät tätä sovellusta."
 "Lataa tämä toinen sovellus."
 Teoriassa, että voisi toimia.
 Ehkä se vain ei käytetä tarpeeksi, onko se onnistunut vai ei,
 mutta he havaitsivat, että alle 1% ajasta, joka tekniikkaa käytetään.
 Suurimman osan ajasta se on todella uudelleenpakatun koodi.
 

On toinenkin luokasta itsenäisenä
 jos joku vain rakentaa upouusi sovellus.
 He rakentavat sovellus, joka väittää olevansa jotain.
 Se ei ole uudelleen pakkaaminen jotain muuta, ja että on haitallista koodia.
 Joka käyttää 14% ajasta.
 Nyt haluan puhua siitä, mitä on haitallisen koodin teet?
 Yksi ensimmäisistä haittaohjelmien siellä
 voisitte harkita vakoiluohjelmia.
 Se pohjimmiltaan vakoilee käyttäjää.
 Se kerää sähköpostit, tekstiviestit.
 Se syttyy mikrofonin.
 Se sadot kontakti kirjan, ja se lähettää sen jollekin muulle.
 Tämäntyyppinen spyware olemassa PC,
 joten on erittäin järkevää, että ihmiset yrittävät tehdä tämän mobiililaitteissa.
 

Yksi ensimmäisiä esimerkkejä tästä oli ohjelma nimeltä Salainen SMS Replicator.
 Se oli Android Marketplace pari vuotta sitten,
 ja ajatus oli, jos oli pääsy jonkun Android-puhelinta
 että olet halunnut vakoilla, joten ehkä se on sinun puolisosi
 tai muita huomattavia ja haluat vakoilla tekstiviestit,
 voit ladata tämän sovelluksen ja asentaa sen ja määrittää sen
 lähettää tekstiviestin sinulle kopion
 jokaisen tekstiviestin he saivat.
 Tämä tietysti on rikkomuksiin App Store käyttöehdot,
 ja tämä poistettiin Android Marketplace 18 tunnin kuluessa se on siellä,
 joten hyvin pieni joukko ihmisiä oli vaarassa, koska tämän.
 Nyt uskon, että jos ohjelmaa on jotain ehkä hieman vähemmän provosoiva
 kuten Secret SMS Replicator se todennäköisesti olisi toiminut paljon paremmin.
 Mutta se oli aika ilmeinen.
 

Yksi asioita, joita voimme tehdä, onko apps on tämä ongelma, että emme halua
 on tarkastaa koodin.
 Tämä on oikeastaan ​​todella helppo tehdä Android koska voimme purkaa apps.
 IOS voit käyttää disassembler kuten IDA Pro
 katsoa, ​​mitä Apis sovellus soittaa ja mitä se tekee.
 Kirjoitimme oman binary staattinen analysaattori meidän koodi
 ja teemme tämän, ja niin mitä voisit tehdä on voisi sanoa
 ei laite tehdä mitään, on pohjimmiltaan vakoilee minua tai seuranta minua?
 Ja minulla on joitakin esimerkkejä tästä iPhonessa.
 Tämä ensimmäinen esimerkki on, miten voit käyttää UUID puhelimessa.
 Tämä on todella jotain, että Apple on juuri kieltänyt uusien sovellusten,
 mutta vanhojen sovellusten, että olet ehkä käynnissä puhelimessa voi vielä tehdä tämän,
 ja niin, että yksilöllinen tunniste voidaan seurata sinua
 monilla eri sovelluksissa.
 

On Android, minulla on esimerkiksi täältä saada laitteen sijainnin.
 Voit nähdä, että jos API puhelu on olemassa, että sovellus on seurata,
 ja voit nähdä, onko se alkaa hienolla paikalla tai karkea sijainti.
 Ja sitten pohjassa täällä, minulla on esimerkki siitä, miten BlackBerry
 ohjelma saattaa käyttää sähköpostiviestejä postilaatikossa.
 Nämä ovat sellaisia ​​asioita, voit tarkastaa nähdä
 jos sovellus tekee niitä asioita.
 Toinen iso luokka haitallista toimintaa, ja tämä on luultavasti suurin luokka nyt
 on luvaton numerot, luvaton palkkio tekstiviestejä
 tai luvattomasta maksut.
 Toinen asia, joka on ainutlaatuista puhelin
 on laite koukussa laskutustili,
 ja kun toiminta tapahtuu puhelimessa
 se voi luoda maksuja.
 Voit ostaa asioita puhelimitse,
 ja kun lähetät palkkio tekstiviestin olet todella antaa rahaa
 tilille haltijan puhelinnumero toisella puolella.
 Nämä perustettiin saada pörssikurssit tai saada päivittäinen horoskooppi tai muita asioita,
 mutta ne voidaan perustaa tilata tuotteen lähettämällä tekstiviestin.
 Ihmiset antavat rahaa Punaisen Ristin lähettämällä tekstiviestin.
 Voit antaa 10 dollaria niin.
 

Hyökkääjät, mitä he ovat tehneet on he perustavat
 tilejä ulkomailla, ja ne upottaa haittaohjelmia
 että puhelin lähettää palkkio tekstiviestillä
 sanoa, muutaman kerran päivässä, ja lopussa kuukauden huomaat olet viettänyt
 kymmeniä tai ehkä jopa satoja dollareita, ja he kävelevät pois rahaa.
 Tämä meni niin pahaksi, että tämä oli aivan ensimmäinen asia, että Android
 Marketplace tai Google paikkaan se oli Android Marketplace tuolloin,
 ja se on nyt Google Play-Ensimmäinen asia, että Google aloitti tarkkailun.
 Kun Google aloitti jakelemalla Android apps niiden App Store
 he sanoivat he eivät aio tarkistaa mitään.
 Me vedä apps, kun olemme ilmoittaneet he ovat rikkoneet meidän käyttöehdot,
 mutta emme aio tarkistaa mitään. No, noin vuosi sitten se meni niin pahaksi tämän laadukkaan tekstiviestillä haittaohjelmia
 että tämä on aivan ensimmäinen asia, he alkoivat tarkistaa.
 Jos sovellus voi lähettää tekstiviestejä
 ne edelleen manuaalisesti tutkia tämä hakemus.
 He etsivät API kutsuvat tätä,
 ja nyt sen jälkeen Google on laajentunut,
 mutta tämä oli ensimmäinen asia, että he alkoivat etsiä.
 

Jotkut muut sovellukset, jotka tekivät joitakin tekstiviestejä,
 Tämän Android Qicsomos, kai sitä kutsutaan.
 Oli tämä nykyinen tapahtuma mobiili missä tämä CarrierIQ tuli ulos
 spyware laittaa laitteen harjoittajat,
 joten ihmiset halusivat tietää, onko heidän puhelin oli Haavoittuvuus,
 ja tämä oli ilmainen sovellus, joka testannut.
 No, tietysti, mitä tämä app teki oli se lähetti Premium SMS tekstiviestejä,
 joten testaamalla nähdä, jos olet saanut tartunnan vakoiluohjelmia
 lisätyn haittaohjelmia laitteeseen.
 Näimme sama asia tapahtuu viime Super Bowl.
 Oli väärä versio Madden jalkapallo-ottelun
 joka lähetti palkkio tekstiviestejä.
 Se todella yrittänyt luoda bot verkon liian laitteeseen.
 Täällä minulla on joitakin esimerkkejä.
 Kiinnostavaa kyllä, Apple oli aika fiksu,
 ja ne eivät salli sovellusten lähettää tekstiviestejä ollenkaan.
 Ei app voi tehdä sitä.
 Se on hyvä tapa päästä eroon koko luokan haavoittuvuus,
 mutta Android voit tehdä sen, ja tietenkin, BlackBerry voit tehdä sen myös.
 On mielenkiintoista, että BlackBerry-kaikki mitä tarvitset on Internet-käyttöoikeudet
 lähettää tekstiviestin.
 

Toinen asia todella niin etsimme
 kun olemme katsomatta, jos jotain on ilkeä on vain kaikenlaista
 luvatonta verkon toimintaa, kuten tarkastella verkon toimintaa
 App on tarkoitus täytyy olla sen toiminnallisuutta,
 ja katsokaa tätä muut verkon toimintaa.
 Ehkä app, tehdä työtä, on saada tietoa HTTP,
 mutta jos se tekee asioita uudestaan ​​sähköpostitse tai tekstiviestillä tai Bluetooth tai jotain
 nyt, että sovellus voisi mahdollisesti olla ilkeä, joten tämä on toinen asia, voit tarkastaa varten.
 Ja tämän dian täällä minulla on joitakin esimerkkejä.
 Toinen mielenkiintoinen asia näimme haittaohjelmia tapahtui jo vuonna 2009,
 ja se tapahtui isossa tavalla.
 En tiedä, jos se on tapahtunut niin paljon jälkeen, mutta se oli app
 että matkivan toisen sovelluksen.
 Oli joukko apps, ja se oli puhuttu 09Droid hyökkäys,
 ja joku päätti, että siellä oli paljon pieniä, alueellisia, Keskisuuret pankit
 että ei ollut verkkopankit sovelluksia,
 niin mitä he tekivät oli he rakensivat noin 50 verkkopankkisovelluksia
 että he vain toteuttaa käyttäjätunnus ja salasana
 ja ohjaa sinut verkkosivuilla.
 Ja niin ne laittaa nämä kaikki esille Google Marketplace,
 Android Marketplace, ja kun joku etsinyt onko heidän pankki
 oli sovellus he löytäisivät väärä sovellus,
 joka keräsi heidän tietonsa ja sitten ohjataan heidät verkkosivuilla.
 Siten, että tämä todella tuli-apps olivat siellä muutaman viikon,
 ja oli tuhansia ja tuhansia latauksia.
 

Miten tämä tuli ilmi oli joku, jolla ongelma
 yksi sovelluksia, ja he kutsuivat pankki,
 ja he kutsuivat pankin asiakaspalveluun linja ja sanoi:
 "Minulla on ongelma mobiili pankkitoiminta sovellus."
 "Voitteko auttaa minua?"
 Ja he sanoivat: "Meillä ei ole mobiili pankkitoiminta sovellus."
 Että käynnistänyt tutkinnan.
 Että pankki nimeltään Google, ja sitten Google näytti ja sanoi:
 "Vau, sama tekijä on kirjoittanut 50 pankki sovelluksia", ja vei heidät kaikki alas.
 Mutta varmasti tämä voisi toistua.
 On luettelo kaikista eri pankkien täällä
 , jotka olivat osa tätä huijaus.
 Toinen asia sovellus voi tehdä, on esittää UI toisen hakemuksen.
 Vaikka se on käynnissä se voisi ponnahtaa Facebook UI.
 Se sanoo, sinun täytyy laittaa käyttäjätunnus ja salasana jatkaaksesi
 tai sietää mitään käyttäjänimi ja salasana UI verkkosivuilla
 että ehkä käyttäjä käyttää vain yrittää huijata käyttäjä
 ottamiseksi käyttöön heidän tietonsa sisään
 Tämä on todella suora leveyspiirin email phishing-hyökkäyksiltä
 jos joku lähettää sinulle sähköpostiviestin
 ja antaa sinulle pohjimmiltaan fake UI verkkosivuilla
 että sinulla on pääsy.
 

Toinen asia etsimme haitallista koodia on järjestelmän muutos.
 Voit etsiä kaikki API-kutsuja, jotka vaativat root etuoikeus
 suorittaa oikein.
 Muuttaminen laitteen web proxy olisi jotain, että hakemus
 ei pitäisi pystyä tekemään.
 Mutta jos sovellus on koodia siellä tehdä, että
 tiedät, että se on luultavasti haittaohjelma
 tai erittäin hyvin todennäköisesti haittaohjelma,
 ja niin mitä tapahtuisi on, että sovellus olisi jokin tapa Kasvavat etuoikeus.
 Se olisi joitakin eskalaatiohyökkäykset hyödyntää
 hakemuksessa, ja sitten kun se laajeni etuoikeuksia
 se tekisi näitä järjestelmän muutoksia. Voit löytää haittaohjelmia, jotka on eskalaatiohyökkäykset
 siinä edes tietämättä, miten eskalaatiohyökkäykset
 hyödyntää tulee tapahtumaan, ja se on mukava, helppo tapa
 etsiä haittaohjelmia.
 DroidDream oli luultavasti tunnetuin pala Android haittaohjelmia.
 Minusta se vaikuttaa noin 250000 käyttäjää yli muutaman päivän
 ennen kuin se havaittiin.
 He uudelleenpakatun 50 tekaistuja sovelluksia,
 laita ne Android App Store,
 ja lähinnä se käyttää Android jailbreak-koodin kärjistyä etuoikeuksia
 ja sitten asentaa Command and Control ja käännä kaikkien uhrien
 osaksi bot net, mutta olisit voinut havaita tämän
 jos olisit skannaus sovellus ja vain etsivät
 API vaatii, että tarvitaan root oikeuksia suorittaa oikein.
 

Ja siellä esim. täällä minulla on joka muuttuu proxy,
 ja tämä todella on käytettävissä vain Android.
 Näet Minä annan sinulle paljon esimerkkejä Android
 koska tämä on aktiivisin haittaohjelma ekosysteemi on
 koska se on todella helppo hyökkääjän saada haittaohjelmia
 osaksi Android Marketplace.
 Se ei ole niin helppo tehdä, että Applen App Store
 koska Apple vaatii kehittäjiä samaistua
 ja allekirjoittaa koodin.
 He itse tarkistaa, kuka olet, ja Apple on todella tarkastelemalla sovelluksia.
 Emme näe paljon todellista haittaohjelmia, jossa laite on tulossa vaarantuu.
 Aion puhua joitakin esimerkkejä, joissa se on todella yksityisyyttä, joka on tulossa vaarantunut,
 ja se mitä todella tapahtuu Applen laite.
 Toinen asia etsiä haitallisen koodin, riskialtista koodi laitteissa
 on logiikkaa tai aikapommeja, ja aika pommit ovat luultavasti
 paljon helpompi etsiä kuin loogiset pommit.
 Mutta aikapommeja, mitä voit tehdä on, voit etsiä
 paikkoja koodia, jos aika on testattu tai absoluuttista aikaa on etsinyt
 ennen tiettyjä toimintoja App tapahtuu.
 Ja tämä voitaisiin tehdä piilottaa aktiivisuutta käyttäjä,
 niin se tapahtuu myöhään illalla.
 DroidDream teki kaiken sen toiminnan välillä kaksikymmentäkolme ja 8 AM paikallista aikaa
 yrittää tehdä sen, kun käyttäjä ei ehkä käyttävät laitetta.
 

Toinen syy tähän on, jos ihmiset käyttävät käyttäytymisen analyysi hakemuksen,
 käynnissä app hiekkalaatikossa mitä käyttäytymistä sovellus on,
 he voivat käyttää aikaa logiikkaa tehdä toiminnan
 kun sovellus ei ole hiekkalaatikko.
 Esimerkiksi App Store, kuten Apple
 ajaa sovellusta, mutta se ei luultavasti ole ajaa jokaista hakemusta, vaikkapa 30 päivää
 ennen sen hyväksymistä, niin voit laittaa
 logiikka hakemuksesi joka sanoi, okei, vain tehdä huono asia
 30 päivän kuluttua on kulunut tai 30 päivän kuluttua julkaisupäivä hakemuksen,
 ja jotka voivat auttaa haitallisen koodin piilottaa ihmisiltä tarkastaessa sitä.
 Jos anti-virus yritykset ovat käynnissä asioita hiekkalaatikot
 tai App Kaupat ovat itse tämä voi auttaa
 piilottaa että kyseisestä tarkastus.
 Nyt kääntöpuoli, että se on helppo löytää staattisen analyysin,
 joten tutkimasta tosiasiallisesti koodin voit etsiä kaikki paikat
 jos hakemus testaa aikaa ja tarkasta, että tavalla.
 Ja tässä minulla on joitakin esimerkkejä näistä 3 eri alustoilla
 miten aika voidaan tarkistaa, jotka sovelluksen maker
 niin tiedät mitä etsiä, jos olet tarkastaa App staattisesti.
 

Minä vain meni läpi koko joukko eri vihamielisiin toimiin
 että olemme nähneet luonnossa, mutta mitkä ovat yleisimpiä?
 Samassa tutkimuksessa North Carolina State Mobile Genome Project
 julkaistu joitakin tietoja, ja siellä oli periaatteessa 4 alueet
 että he näkivät, jossa oli paljon toimintaa.
 37% apps teki eskalaatiohyökkäykset,
 joten heillä oli jonkinlaista jailbreak-koodin siellä
 jossa he yrittivät kärjistyä etuoikeuksia, jotta he voisivat
 älä API komennot toimivat kuten käyttöjärjestelmä.
 45% apps siellä teki Premium SMS,
 niin, että on valtava osuus, joka yrittää suoraan ansaita rahaa.
 93% teki kaukosäädin, joten he yrittivät perustaa bot net, mobiili bot net.
 Ja 45% korjattu tunnistetietoja
 kuten puhelinnumeroita, UUID, GPS-sijainnin, käyttäjätilejä,
 ja tämä lisää jopa yli 100, koska useimmat haittaohjelmat yrittävät tehdä muutamia näistä asioista.
 

Aion siirtyä jälkipuoliskolla ja puhua koodin haavoittuvuuksia.
 Tämä on toinen puoli riskialtista toimintaa.
 Tämä on silloin lähinnä kehittäjä tekee virheitä.
 Oikeutettua kehittäjä kirjallisesti laillinen app
 tekee virheitä tai on tietämätön riskeistä mobiilialustan.
 He eivät vain tiedä, miten tehdä Secure Mobile app,
 tai joskus kehittäjä ei välitä laskemisesta käyttäjä vaarassa.
 Joskus osa niiden liiketoimintaa malli voisi olla
 korjuu käyttäjän henkilökohtaisia ​​tietoja.
 Se on tavallaan muusta alasta, ja siksi osa tästä ilkeä
 vs. oikeutettua alkaa vuotamaan yli, koska siellä on näkemyserot
 välillä, mitä käyttäjä haluaa ja mitä käyttäjä katsoo riskialtista
 ja mitä sovelluskehittäjä katsoo riskialtista. Tietenkään se ei ole sovelluskehittäjä tietoihin useimmissa tapauksissa.
 

Ja sitten lopulta, toinen tapa tämä tapahtuu, on kehittäjä voisi linkkiä
 jaettu kirjasto, jossa on haavoittuvuuksia tai tämän riskikäyttäytyminen se
 Tietämättä niitä.
 Ensimmäinen luokka on herkkä tietovuodot,
 ja tämä on, kun sovellus kerää tietoa
 kuten sijainti, osoitekirjan tiedot, omistajan tiedot
 ja lähettää nämä pois laitteesta.
 Ja kun se on pois laitteesta, emme tiedä mitä tapahtuu tämän tiedon.
 Se voitaisiin tallentaa salaamattomana jonka sovelluskehittäjä.
 Olemme nähneet sovelluksen kehittäjät saavat vaarantunut,
 ja tiedot, jotka he tallentamiseen saa ottaa.
 Tämä tapahtui muutama kuukausi sitten kehittäjä alas Floridassa
 jossa valtava määrä-se oli iPad UUID ja laitteiden nimet
 oli vuotanut koska joku, mielestäni se oli nimetön,
 väitti tehdä tämän murtautui tämän kehittäjän palvelimet
 ja varasti miljoonia iPad UUID
 ja tietokoneen nimet.
 Ei kaikkein vaarallisimpia tiedot,
 mutta mitä jos se oli varastointi käyttäjätunnuksia ja salasanoja
 ja kotiosoite?
 On paljon apps, jotka tallentaa tällaiset tiedot.
 Riski on olemassa.
 

Toinen asia, joka voi tapahtua on, jos kehittäjä ei hoida
 suojaaminen on kanava, ja se on toinen iso haavoittuvuus aion puhua,
 että dataa lähetetään selkeä.
 Jos käyttäjä on julkinen Wi-Fi-verkon
 tai joku haistaa internet jonnekin
 tiellä, että tietoja on alttiina.
 Yksi erittäin kuuluisa tapaus näiden tietojen vuoto tapahtui Pandora,
 ja tämä on meidän tutkittu klo Veracode.
 Olemme kuulleet, että siellä oli-Minusta se oli Federal Trade Commission
 Tutkimus meneillään kanssa Pandora.
 Me sanoimme, "Mitä siellä tapahtuu? Aloitetaan kaivaa Pandora sovellus."
 Ja mitä me ratkaistavana oli Pandora sovellus kerätty
 sukupuolesi ja ikäsi,
 ja se myös käyttää GPS-sijainnin ja Pandora sovellus
 teki tämän, mitä he sanoivat oli laillista syytä.
 Musiikkia, että he olivat pelaamassa-Pandora on musiikin suoratoisto app-
 musiikki soitettiin oli ainoa toimiluvan Yhdysvalloissa,
 joten ne täytyi tarkistaa noudattamaan lisenssisopimuksia, että heillä oli
 musiikin, että käyttäjä oli Yhdysvalloissa.
 He halusivat myös noudattaa Parental Advisory
 noin aikuisten kieltä musiikin,
 ja niin se on vapaaehtoinen ohjelma, mutta he halusivat noudattaa kyseistä
 ja ei pelata nimenomaista lyrics lapsille 13 ja alle.
 

Heillä oli perusteltu syy kerätä näitä tietoja.
 Heidän app oli oikeudet tehdä se.
 Käyttäjät mielestä tämä oli laillista. Mutta mitä tapahtui?
 Ne liittyvät 3 tai 4 eri mainoksen kirjastot.
 Nyt yhtäkkiä kaikki nämä ad kirjastot
 saavat käyttää samoja tietoja.
 Mainos kirjastot, jos tarkastellaan koodin mainoksen kirjastojen
 mitä he tekevät on jokaisen mainoksen kirjasto sanoo
 "Onko minun app lupaa saada GPS-sijainnin?"
 "Voi, se ei? Okei, kerro minulle GPS-sijainnin."
 Jokainen mainos kirjasto tekee sen,
 ja jos sovellus ei ole GPS-lupaa
 se ei voi saada sitä, mutta jos niin käy, se saa sen.
 Tämä on, jos liiketoimintamalli mainoksen kirjastojen
 vastustaa käyttäjän yksityisyyden.
 Ja siellä on ollut tutkimuksia siellä, että sanoa, jos tiedät ikä
 henkilön ja tiedät niiden sijainnin
 jos he nukkuvat yöllä, koska sinulla on GPS-koordinaatit
 kun he ehkä nukkuvat, tiedät tarkalleen, kuka tämä henkilö on
 koska voit määrittää, mitä jäsen, että kotitalouksien on, että henkilö.
 Oikeasti tämä on tunnistaa mainostajille
 tarkalleen, kuka olet, ja se näyttää se oli laillista.
 Haluan vain musiikin, ja tämä on ainoa tapa saada se.
 

No, me paljastanut tämän.
 Kirjoitimme tämän käyttöön monilla blogikirjoituksia,
 ja kävi ilmi, että joku Rolling Stone-lehden
 lukea jokin meidän blogikirjoituksia ja kirjoitti oman blogin Rolling Stone siitä,
 ja jo seuraavana päivänä Pandora mielestä se oli hyvä idea
 poistaa mainoksen kirjastojen niiden soveltamisesta.
 Sikäli kuin tiedän, he vain-ne on kiitettävä.
 Minusta he vain freemium tyyppinen sovellus, joka on tehnyt tämän.
 Kaikki muut freemium apps on tämä sama ongelma,
 joten sinun täytyy miettiä, millaisia ​​tietoja annat
 Näiden freemium sovelluksissa, koska se kaikki tulee mainostajille.
 Praetorian myös teki tutkimuksen noin jaetut kirjastot ja sanoi:
 "Katsotaan, mitä jaetut kirjastot ovat alkuun jaetut kirjastot", ja tämä oli tietoja.
 

He analysoivat 53000 apps,
 ja numero 1 jaettu kirjasto oli Admob.
 Se oli itse asiassa 38% hakemuksista siellä,
 joten 38% hakemuksista käytät
 todennäköisesti korjuu henkilökohtaisia ​​tietoja
 ja lähettämällä se mainosverkostot. Apache ja Android olivat 8% ja 6%,
 ja sitten nämä toisilla alas alareunassa, Google Ads, Flurry,
 Mob Kaupunki ja tuhatvuotisen Media,
 nämä ovat kaikki mainosten yrityksiä, ja sitten, mielenkiintoista kyllä,
 4% linkitetty Facebook kirjastossa
 luultavasti tekemään todennus Facebookin kautta
 niin app voi todentaa Facebook.
 Se tarkoittaa kuitenkin myös yhtiö Facebook ohjaa koodi
 joka on käynnissä 4% Android mobiilisovellukset siellä,
 ja heillä on pääsy kaikkiin tietoihin, että sovellus on lupa saada aikaa.
 Facebook olennaisesti yrittää myydä mainostilaa.
 Se on heidän liiketoimintamalli.
 

Jos sinä katsot tätä koko ekosysteemin näitä oikeuksia
 ja jaetut kirjastot alkaa nähdä, että
 sinulla on paljon riskin muka sallittua soveltamista.
 Sama samankaltainen asia, joka tapahtui Pandora
 tapahtui sovellus nimeltä Path,
 ja Polku luulivat olevan avulias ja ystävällinen kehittäjille.
 He olivat vain yrittää antaa sinulle erinomainen käyttökokemus,
 ja kävi ilmi, että kysymättä käyttäjältä tai kertoa käyttäjälle mitään-
 ja tämä tapahtui iPhone ja Android,
 Pandora app oli iPhone ja Android-
 että Path hakemus tarttumalla koko osoitekirjan
 ja lähettämällä sen Path juuri kun olet asentanut ja juoksi sovellus,
 ja he eivät kerro teille tästä.
 Heidän mielestään se oli todella hyödyllinen sinulle
 pystyä jakamaan kaikkien ihmisten osoitekirjaasi
 että käytät Path sovelluksen.
 

No, ilmeisesti Polku mielestä tämä oli hyvä yrityksestään.
 Ei niin hienoa käyttäjälle.
 Sinun täytyy ajatella, että se on yksi asia, jos ehkä teini
 käyttää tätä sovellusta ja heidän kymmeniä ystävät ovat siellä,
 mutta entä jos se toimitusjohtaja yritys, joka asentaa Path
 ja sitten yhtäkkiä heidän koko osoitekirjan on tuolla?
 Olet menossa saada paljon potentiaalisesti arvokasta yhteystiedot
 ja paljon ihmisiä.
 Reportteri New York Times, saatat pystyä saamaan puhelinnumeron
 ex presidentit heidän osoitekirjan,
 joten ilmeisesti paljon arkaluonteisia tietoja saa siirtää jotain tällaista.
 Siellä oli niin iso läppä tästä, että Path anteeksi.
 He muuttivat app, ja se jopa vaikutti Apple.
 Apple sanoi, "Me aiomme pakottaa sovelluksen myyjiä että käyttäjät
 jos he aikovat kerätä koko osoitekirjan. "
 

Se näyttää, mitä tapahtuu tässä
 kun siellä on yksi iso tietosuojaloukkaus ja se tekee lehdistö
 näemme muutoksen siellä.
 Mutta tietenkin, on olemassa muita asioita siellä.
 LinkedIn sovellus sadot kalenterimerkintöjä,
 mutta Apple ei tee käyttäjä pyytää siitä.
 Kalenterimerkintöjä voi olla arkaluontoisia tietoja niitä liikaa.
 Minne olet menossa vetää rajan?
 Tämä on todella sellainen kehittyvä paikka
 jos siellä oikeastaan ​​mitään hyvää tasoa siellä
 käyttäjät voivat ymmärtää, kun niiden tietoja tulee olemaan vaarassa
 ja kun he tulevat tietämään se otetaan.
 Kirjoitimme app Veracode nimeltään Adios,
 ja lähinnä se saa sinut kohta app iTunes-hakemisto
 ja katsoa kaikki ohjelmat, jotka oli korjuu täynnä osoitekirjan.
 Ja kuten näette tässä luettelossa täällä, Angry Birds,
 AIM, AroundMe.
 Miksi Angry Birds tarvitse osoitekirjaasi?
 En tiedä, mutta se jotenkin.
 

Tämä on jotain, että monet, monet sovellukset eivät.
 Voit tarkastaa koodi tähän.
 On hyvin määritelty API iPhone, Android ja BlackBerry
 saada aikaa osoitekirjan.
 Voit todella helposti tarkastaa tämän, ja tämä on mitä teimme Adios sovelluksen.
 Seuraavan luokka, Unsafe Sensitive Data Storage,
 on jotakin, jossa kehittäjät suhtautuvat jotain pin tai tilinumero
 tai salasana ja säilytä sitä selvää laitteen.
 Vielä pahempaa, he saattavat tallentaa sen alueella puhelimessa
 joka on maailmanlaajuisesti käytettävissä, kuten SD-kortti.
 Näet tämän useammin Android koska Android mahdollistaa SD-kortille.
 IPhone laitteet eivät.
 Mutta me edes nähnyt tämän tapahtua CitiGroup sovelluksen.
 Heidän verkkopankit tallennettu sovellus tilinumerot turvattomasti,
 vain selkeä, joten jos olet menettänyt laitteen,
 pohjimmiltaan olet menettänyt pankkitilisi.
 Siksi en henkilökohtaisesti tehdä pankki minun iPhone.
 Mielestäni se on liian vaarallista juuri nyt tehdä tällaisen toiminnan.
 

Skype teki saman.
 Skype tietenkin on tilin saldo, käyttäjätunnus ja salasana
 käyttöön kyseistä tasapainoa.
 He olivat tallentaa kaikki nämä tiedot selkeästi mobiililaitteella.
 Minulla on joitakin esimerkkejä tästä luoda tiedostoja
 joilla ei ole tarvittavia oikeuksia tai kirjoittaa levylle
 ja joilla ei ole mitään salausta tapahtua siitä.
 Tämä seuraava alue, Unsafe Sensitive tiedonsiirto,
 Olen viittasi tähän muutaman kerran, ja koska julkisen Wi-Fi
 tämä on jotain, apps ehdottomasti täytyy tehdä,
 ja tämä on luultavasti mitä näemme mennä pieleen eniten. Sanoisin-itse, olen mielestäni toteumatietojen
 mutta se on lähes puolet mobiilisovelluksia
 tyriä tekee SSL.
 He vain eivät käytä API oikein.
 Tarkoitan, kaikki sinun täytyy tehdä on seurata ohjeita ja käyttää API,
 mutta ne eivät asioita, kuten ei tarkista, onko virheellinen todistus toisessa päässä,
 ei tarkista jos toinen pää on yrittää tehdä protokollan downgrade hyökkäys.
 

Kehittäjät, he haluavat saada valintaruutu, eikö?
 Niiden vaatimus on käyttää tätä myydä. He käyttivät tätä myydä.
 Vaatimus ei ole käyttää tätä myydä turvallisesti,
 ja joten siksi kaikki sovellukset, jotka käyttävät SSL Suojaa tiedot
 koska se siirretään pois laitteesta todella on tarkastettava
 varmistaa, että on toteutettu oikein.
 Ja tässä minulla on joitakin esimerkkejä, joissa voit nähdä sovelluksen
 saattaa käyttää HTTP sijaan HTTPS.
 Joissakin tapauksissa apps putoaa takaisin HTTP
 jos HTTPS ei toimi.
 Minulla on toinen puhelu täällä Android missä he ovat poissa käytöstä todistuksen tarkistaa,
 niin man-in-the-middle-hyökkäys voi tapahtua.
 Virheellinen varmenne hyväksytään.
 Nämä ovat kaikissa tapauksissa, joissa hyökkääjät ovat menossa pystyä päästä
 samaan Wi-Fi-yhteyden käyttäjä ja pääsy kaikki tiedot
 joka lähetetään internetin välityksellä.
 

Ja lopuksi, viimeinen luokka Minulla on tässä kovakoodattuihin salasanan ja avaimet.
 Me itse asiassa nähdä paljon kehittäjät käyttävät samaa koodausta tyyli
 että he tekivät, kun he olivat rakentamassa web-palvelin-sovelluksia,
 joten he ovat rakentamassa Java server-sovellus, ja he hardcoding näppäintä.
 No, kun olet rakentaa palvelin sovellus, joo,
 hardcoding avain ei ole hyvä idea.
 Sen vuoksi on vaikea muuttaa.
 Mutta se ei ole niin paha palvelimen puolella, koska kenellä on pääsy palvelimen puolella?
 Vain ylläpitäjät.
 Mutta jos otat sama koodi ja olet kaadetaan sen yli mobiilisovellus
 Nyt jokainen, joka on, että mobiilisovellus on pääsy kyseiselle kovakoodattuihin avain,
 ja me itse nähdä tätä paljon kertaa, ja minulla on joitakin tilastotietoja
 kuinka usein näemme tämän tapahtua.
 Se todella oli esimerkki koodin että MasterCard julkaistu
 miten käyttää palvelua.
 Esimerkiksi koodi osoitti, kuinka voisitte vain ottaa salasanan
 ja laita se kovakoodattuihin string oikeassa,
 ja tiedämme, miten kehittäjät rakastavat kopioida ja liittää koodinpätkiä
 kun he yrittävät tehdä jotain, joten voit kopioida ja liittää koodinpätkä
 että he antoivat kuten esimerkiksi koodin, ja sinulla on turvaton sovellus.
 

Ja tässä meillä on joitakin esimerkkejä.
 Tämä ensimmäinen on yksi näemme paljon missä he hardcode
 tiedot suoraan URL-osoitteeseen saa lähettää.
 Joskus näemme merkkijono password = salasana.
 Se on melko helppo havaita, tai merkkijono salasana BlackBerry ja Android.
 Se on oikeastaan ​​aika helppo tarkistaa, koska lähes aina
 kehittäjä nimet muuttuja, joka pitelee salasana
 jonkin verran vaihtelua salasanan.
 Mainitsin, että teemme staattinen analyysi Veracode,
 joten olemme analysoitu useita satoja Android ja iOS sovelluksia.
 Olemme rakentaneet täynnä malleja niistä, ja pystymme skannata ne
 eri haavoittuvuuksia, varsinkin haavoittuvuuksia puhuin,
 ja minulla on joitakin tietoja täällä.
 68,5% Android apps me katsoimme
 oli rikki salaus koodi,
 joka meille, emme voi havaita, jos olet tehnyt oman Crypto rutiini,
 ole, että se on hyvä idea, mutta tämä on todellisuudessa käyttävät julkaistu API
 jotka ovat alustalla, mutta tekee niistä siten
 että Crypto olisi haavoittuva, 68,5.
 Ja tämä on tarkoitettu ihmisille, jotka lähettävät meille määriin tosiasiallisesti, koska
 he ajattelevat se on hyvä idea tehdä tietoturvatestauksessa.
 Nämä ovat jo ihmisiä, jotka luultavasti ajattelevat turvallisesti,
 joten se on luultavasti vielä pahempi.
 

En puhu ohjaus siimansyöttö injektio.
 Se on jotain, me tarkistaa, mutta se ei ole niin riskialtista asia.
 Tietojen vuotaminen, tämä on, kun arkaluonteisia tietoja lähetetään pois laitteesta.
 Huomasimme, että 40% hakemuksista.
 Aika ja tila, ne ovat kilpailutilanteesta tyyppi kysymyksiä, tyypillisesti melko vaikea hyödyntää,
 joten en puhu siitä, mutta me katsoimme sitä.
 23% oli SQL-injektio kysymyksiä.
 Monet ihmiset eivät tiedä, että paljon hakemuksia
 käyttää pienen pieni SQL-tietokannan heidän loppupäätä tallentaa tietoja.
 No, jos tiedot, jotka olet tarttumalla verkon yli
 on SQL-injektio hyökkäys jousille se
 joku voi vaarantaa laitteen läpi,
 ja niin mielestäni löydämme noin 40% web-sovelluksia on tämä ongelma,
 joka on valtava epidemia ongelma.
 Löydämme sen 23% ajasta ja mobiilisovellukset
 ja se on luultavasti koska monet enemmän web-sovellukset käyttävät SQL kuin mobiili.
 

Ja sitten me vielä nähdä joitakin cross-site scripting, valtuutuskysymykset,
 ja sitten käyttäjätietojen hallinta, sinne sinulla on kovakoodattuihin salasanasi.
 5% hakemuksista näemme, että.
 Ja sitten meillä on joitakin tietoja iOS.
 81% oli virheiden käsittelyä kysymyksiä. Tämä on enemmän koodin laatua ongelma,
 mutta 67% oli salauksen kysymyksiä, joten ei ole aivan niin paha kuin Android.
 Ehkä API ovat hieman helpompaa, esimerkiksi koodeja hieman paremmin iOS.
 Mutta silti hyvin suuri prosenttiosuus.
 Meillä oli 54% tietoa vuoto,
 noin 30% puskurilla hallinnolliset virheet.
 Se on siellä, missä voisi mahdollisesti olla muistinvahingoittumisongelma.
 On käynyt ilmi, että ei ole niin suuri ongelma hyväksikäytöstä
 iOS koska kaikki koodi on allekirjoitettava,
 joten on vaikea hyökkääjä voi suorittaa haluamaansa koodia iOS.
 Koodin laatua, hakemistopolun, mutta sitten valtakirjojen hallinnan täällä 14,6%,
 niin huonompi kuin Android.
 Meillä on ihmisiä jotka eivät käsittele salasanoja oikein.
 Ja sitten numeerinen virheitä ja puskurin ylivuodon,
 nämä ovat enemmän olemaan koodin laatua kysymyksiä iOS.
 

Se oli se minun esitys. En tiedä, jos olemme liian myöhään tai ei.
 En tiedä, onko siellä jotain kysyttävää.
 [Mies] nopea kysymys ympäri hajanaisuus ja Android Market.
 Apple ainakin omistaa kauneuspilkku.
 Ne tekevät hyvää työtä saada se siellä taas niinkään Android tilaan.
 Melkein täytyy karkaaminen puhelimen pysyä ajan tasalla
 nykyisen vapauttamaan Android.
 Joo, se on valtava ongelma, ja niin jos ajattelee-
 [Mies] Miksi et voi toistaa sitä?
 

Ai niin, joten kysymys oli entä hajanaisuus
 käyttöjärjestelmä Android-alustan?
 Miten se vaikuttaa riskisyyttä näiden laitteiden?
 Ja se todella on valtava ongelma, koska mitä tapahtuu on
 vanhempia laitteita, kun joku keksii jailbreak tälle laitteelle,
 lähinnä se eskalaatiohyökkäykset, eikä ennen kuin se käyttöjärjestelmä päivitetään
 haittaohjelmia voi sitten käyttää haavoittuvuutta täysin vaarantaa laitteen
 ja me näemme Android on saadakseen uuden käyttöjärjestelmän
 Google on laittaa ulos käyttöjärjestelmä, ja sitten laitevalmistajan
 on muokata sitä, ja sitten harjoittajalla on muokata sitä ja tuottaa sitä.
 Sinulla on periaatteessa 3 liikkuvia osia täällä,
 ja se on tulossa, että harjoittajat eivät välitä,
 ja laitevalmistajat eivät välitä, ja Google ei prodding heitä tarpeeksi
 tehdä mitään, niin lähinnä yli puolet laitteita siellä
 ovat käyttöjärjestelmiä, jotka ovat nämä eskalaatiohyökkäykset haavoittuvuuksia niitä,
 joten jos saat haittaohjelmia Android-laitteen se on paljon suurempi ongelma.
 

Okei, kiitos paljon.
 [Suosionosoituksia]
 [CS50.TV]