1
00:00:00,000 --> 00:00:02,610
>> [სემინარი] [იცავდა უკან მოწყობილობა: მობილური განაცხადის Security]

2
00:00:02,610 --> 00:00:04,380
[Chris Wysopal] [ჰარვარდის უნივერსიტეტის]

3
00:00:04,380 --> 00:00:07,830
[ეს არის CS50.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> მოგესალმებით. ჩემი სახელი არის კრის Wysopal.

5
00:00:10,360 --> 00:00:13,360
მე CTO და თანადამფუძნებელი Veracode.

6
00:00:13,360 --> 00:00:15,880
Veracode არის პროგრამა, უსაფრთხოების კომპანია.

7
00:00:15,880 --> 00:00:18,230
ჩვენ ვამოწმებთ ყველა სახის სხვადასხვა პროგრამები,

8
00:00:18,230 --> 00:00:25,060
და რა მე ვაპირებ ვისაუბრო დღეს არის პორტალის განაცხადის უსაფრთხოებას.

9
00:00:25,060 --> 00:00:28,630
ჩემი ფონზე მე უკვე აკეთებს უსაფრთხოების კვლევა

10
00:00:28,630 --> 00:00:31,970
ძალიან დიდი ხანია, ალბათ დაახლოებით რადგან არავის.

11
00:00:31,970 --> 00:00:35,000
დავიწყე შუა 90,

12
00:00:35,000 --> 00:00:37,370
და ეს იყო დრო, რომ იყო საკმაოდ საინტერესო, რადგან

13
00:00:37,370 --> 00:00:39,220
ჩვენ გვქონდა პარადიგმის ცვლილება შუა 90.

14
00:00:39,220 --> 00:00:43,520
უეცრად ყველას კომპიუტერი hooked მდე ინტერნეტში,

15
00:00:43,520 --> 00:00:46,550
და მაშინ ჩვენ გვქონდა დასაწყისი ვებ პროგრამები,

16
00:00:46,550 --> 00:00:49,330
და რომ ის, რაც მე ფოკუსირებული ბევრი შემდეგ.

17
00:00:49,330 --> 00:00:51,160
საინტერესოა.

18
00:00:51,160 --> 00:00:53,930
ახლა ჩვენ გვაქვს ერთი პარადიგმის ცვლილება ხდება კომპიუტერული,

19
00:00:53,930 --> 00:00:58,710
რომელიც გადასვლას მობილური პროგრამები.

20
00:00:58,710 --> 00:01:03,680
>> ვგრძნობ, რომ ეს ერთგვარი მსგავსი დრო მაშინ ეს იყო გვიან 90

21
00:01:03,680 --> 00:01:07,650
როდესაც ჩვენ იძიებს ვებ განაცხადების და მოძიებაში დეფექტების როგორიცაა

22
00:01:07,650 --> 00:01:11,800
სხდომაზე მართვის შეცდომები და SQL ინექცია

23
00:01:11,800 --> 00:01:14,940
რომელიც რეალურად არ არსებობდა ადრე, და უეცრად ისინი ყველგან

24
00:01:14,940 --> 00:01:19,360
ვებ პროგრამები, და ახლა ბევრი დრო ვატარებ

25
00:01:19,360 --> 00:01:27,950
ეძებს პორტალის განაცხადების და ეძებს, თუ რა ხდება იქ გარეული.

26
00:01:27,950 --> 00:01:32,060
პორტალის განაცხადების ნამდვილად იქნება დომინანტური კომპიუტერული პლატფორმა,

27
00:01:32,060 --> 00:01:35,060
ასე რომ, ჩვენ ნამდვილად უნდა გაატაროთ ბევრი დრო თუ თქვენ უსაფრთხოების ინდუსტრიაში

28
00:01:35,060 --> 00:01:39,280
აქცენტი ვებ პროგრამა.

29
00:01:39,280 --> 00:01:43,420
იყო 29 მილიარდი მობილური apps downloaded 2011 წელს.

30
00:01:43,420 --> 00:01:47,920
ის წინასწარმეტყველებს, რომ იყოს 76 მილიარდი apps მიერ 2014.

31
00:01:47,920 --> 00:01:54,040
იქ 686 მილიონი მოწყობილობების, რომ ვაპირებთ იყოს შეძენილი წელს,

32
00:01:54,040 --> 00:01:57,060
ასე რომ ეს არის, სადაც ხალხი იქნება აკეთებს

33
00:01:57,060 --> 00:01:59,600
 უმრავლესობა მათი კლიენტის კომპიუტერული მიდის.

34
00:01:59,600 --> 00:02:04,220
>> მე საუბარი ვიცე პრეზიდენტი Fidelity Investments

35
00:02:04,220 --> 00:02:08,780
რამდენიმე თვის წინ, მან განაცხადა, რომ ისინი უბრალოდ ვნახე უფრო საგზაო

36
00:02:08,780 --> 00:02:12,610
აკეთებს ფინანსური ოპერაციების მათი სამომხმარებლო ბაზა

37
00:02:12,610 --> 00:02:16,230
მათი მობილური განაცხადის ვიდრე მათი ნახვა,

38
00:02:16,230 --> 00:02:20,610
ასე რომ საერთო სარგებლობის ვებ წარსულში უკვე

39
00:02:20,610 --> 00:02:23,800
შემოწმების თქვენი საფონდო ბრჭყალებში, მართვის თქვენი პორტფელის,

40
00:02:23,800 --> 00:02:28,060
და ჩვენ რეალურად ვხედავთ, რომ 2012 წელს switch მეტი

41
00:02:28,060 --> 00:02:30,960
უნდა იყოს უფრო დომინანტური მობილური პლატფორმა.

42
00:02:30,960 --> 00:02:34,530
რა თქმა უნდა, თუ არ იქნება რაიმე დანაშაულებრივი საქმიანობის,

43
00:02:34,530 --> 00:02:38,900
ნებისმიერი მუქარის საქმიანობაში, ის აპირებს დაიწყოს იყოს ფოკუსირებული მობილური პლატფორმა

44
00:02:38,900 --> 00:02:44,210
დროთა განმავლობაში, როგორც ადამიანი გადართოთ მეტი რომ.

45
00:02:44,210 --> 00:02:48,320
თუ გადავხედავთ მობილური პლატფორმა,

46
00:02:48,320 --> 00:02:54,380
შევხედოთ რისკების პლატფორმა ეს სასარგებლოა შესვენება მას შევიდა სხვადასხვა ფენებს,

47
00:02:54,380 --> 00:02:59,010
ისევე, როგორც თქვენ, რომ ამის შესახებ კომპიუტერი,

48
00:02:59,010 --> 00:03:02,860
და ფიქრობთ სხვადასხვა ფენებს, პროგრამული უზრუნველყოფა, ოპერაციული სისტემა,

49
00:03:02,860 --> 00:03:07,730
ქსელის ფენა, ტექნიკა ფენა, და რა თქმა უნდა, არსებობს ხარვეზებს ყველა იმ ფენებს.

50
00:03:07,730 --> 00:03:10,510
>> იგივე ხდება mobile.

51
00:03:10,510 --> 00:03:14,880
მაგრამ მობილურ ჩანს, რომ ზოგიერთი იმ ფენების უარესი off.

52
00:03:14,880 --> 00:03:19,840
ერთი, ქსელის ფენა უფრო პრობლემურია მობილური

53
00:03:19,840 --> 00:03:25,650
იმის გამო, რომ ბევრი ადამიანი, მათ ოფისში ან სახლში

54
00:03:25,650 --> 00:03:30,780
სახაზო კავშირები ან მათ უსაფრთხო Wi-Fi კავშირები,

55
00:03:30,780 --> 00:03:36,530
და ბევრი მობილური მოწყობილობებისთვის თქვენ აშკარად გარეთ მთავარი

56
00:03:36,530 --> 00:03:40,520
ან გარეთ ოფისის ბევრი, და თუ თქვენ იყენებთ Wi-Fi არის

57
00:03:40,520 --> 00:03:42,820
თქვენ შეიძლება გამოყენებით დაუცველი Wi-Fi კავშირი,

58
00:03:42,820 --> 00:03:45,570
რაღაც რომ საჯარო Wi-Fi კავშირი,

59
00:03:45,570 --> 00:03:48,840
ასე რომ, როდესაც ჩვენ ვიფიქროთ მობილური apps ჩვენ უნდა გაითვალისწინოს

60
00:03:48,840 --> 00:03:53,770
რომ ქსელის გარემოს riskier იმ პროგრამები

61
00:03:53,770 --> 00:03:57,640
როდესაც Wi-Fi გამოიყენება.

62
00:03:57,640 --> 00:04:02,410
და როცა შეღწევას მეტი მობილური განაცხადის რისკები

63
00:04:02,410 --> 00:04:04,910
თქვენ ნახავთ, თუ რატომ არის უფრო მნიშვნელოვანი.

64
00:04:04,910 --> 00:04:09,710
არსებობს რისკების at ტექნიკის დონეს მობილური მოწყობილობებისთვის.

65
00:04:09,710 --> 00:04:11,670
ეს არის ადგილი, მიმდინარე კვლევა.

66
00:04:11,670 --> 00:04:15,910
ხალხი მოვუწოდებთ ამ ფართოზოლოვანი თავდასხმები ან baseband შეტევა

67
00:04:15,910 --> 00:04:21,870
სადაც თქვენ თავს firmware რომ მოსმენის რადიო.

68
00:04:21,870 --> 00:04:25,430
>> ეს არის მართლაც საშინელი შეტევები გამო

69
00:04:25,430 --> 00:04:27,280
მომხმარებელს არ აქვს არაფერს.

70
00:04:27,280 --> 00:04:30,760
თქვენ შეგიძლიათ მოხვდა უამრავი მოწყობილობები ფარგლებში RF სპექტრი

71
00:04:30,760 --> 00:04:36,690
ერთდროულად, და როგორც ჩანს, როდესაც ამ კვლევის bubbles up

72
00:04:36,690 --> 00:04:40,750
ის სწრაფად იღებს კლასიფიცირდება, სადაც

73
00:04:40,750 --> 00:04:46,600
ადამიანები swoop გარშემო და აცხადებენ, რომ "აქ, მოგვითხრობს, რომ, და გთხოვთ შეაჩეროთ საუბარი ამის შესახებ."

74
00:04:46,600 --> 00:04:49,460
არსებობს რამდენიმე კვლევა მიმდინარეობს ფართოზოლოვანი ტერიტორია,

75
00:04:49,460 --> 00:04:51,980
მაგრამ, როგორც ჩანს, ძალიან hush hush.

76
00:04:51,980 --> 00:04:56,910
ვფიქრობ, ეს უფრო სახელმწიფოს ტიპის კვლევა, რომელიც ხდება.

77
00:04:56,910 --> 00:05:02,140
ფართობი აქტიური კვლევა, თუმცა, არის ოპერაციული სისტემა ფენა,

78
00:05:02,140 --> 00:05:08,910
და ისევ, ეს არის სხვადასხვა, ვიდრე desktop კომპიუტერული სამყაროს

79
00:05:08,910 --> 00:05:14,840
იმიტომ, რომ მობილურ სივრცეში თქვენ გაქვთ ეს გუნდები ხალხმა Jailbreakers,

80
00:05:14,840 --> 00:05:18,670
და Jailbreakers განსხვავებულია, ვიდრე რეგულარული დაუცველობის მკვლევარები.

81
00:05:18,670 --> 00:05:21,970
ისინი ცდილობენ გაარკვიონ ხარვეზებს ოპერაციული სისტემა,

82
00:05:21,970 --> 00:05:27,000
მაგრამ მიზეზი, რომ ისინი ცდილობენ გაარკვიონ ხარვეზებს არ არის

83
00:05:27,000 --> 00:05:31,810
შესვენება შევიდა სხვისი მანქანა და კომპრომისზე იგი.

84
00:05:31,810 --> 00:05:34,280
ეს შესვენება შევიდა საკუთარი კომპიუტერი.

85
00:05:34,280 --> 00:05:38,820
>> უნდათ შესვენება შევიდა საკუთარი მობილური, შეცვალოს საკუთარი მობილური საოპერაციო სისტემა

86
00:05:38,820 --> 00:05:41,050
ასე რომ შეიძლება აწარმოებს განაცხადების მათი არჩევანია

87
00:05:41,050 --> 00:05:44,510
და შეცვალოს რამ სრულ ადმინისტრაციულ უფლებები,

88
00:05:44,510 --> 00:05:49,050
და ისინი არ მინდა ვუთხრა გამყიდველი შესახებ.

89
00:05:49,050 --> 00:05:52,960
ისინი არ მომწონს უსაფრთხოების მკვლევარი, რომელიც არის თეთრი ქუდი უსაფრთხოების მკვლევარი

90
00:05:52,960 --> 00:05:56,600
რომელიც აპირებს პასუხისმგებელი გამჟღავნება და ვუთხრა გამყიდველი შესახებ.

91
00:05:56,600 --> 00:06:01,270
მათ სურთ ეს კვლევა, და მათ სურთ, რომ რეალურად აქვეყნებს

92
00:06:01,270 --> 00:06:06,400
in გამოყენებისათვის ან rootkit ან jailbreak კოდი

93
00:06:06,400 --> 00:06:10,010
და მათ სურთ ამის გაკეთება სტრატეგიულად, როგორც მარჯვენა ფლანგზე

94
00:06:10,010 --> 00:06:13,570
გამყიდველი გემების ახალი ოპერაციული სისტემა.

95
00:06:13,570 --> 00:06:16,350
თქვენ ეს შეჯიბრებითობის ურთიერთობისათვის

96
00:06:16,350 --> 00:06:19,000
ერთად OS დონის ხარვეზებს on mobile,

97
00:06:19,000 --> 00:06:23,150
რაც, ჩემი აზრით საკმაოდ საინტერესო და ერთ ადგილას ჩვენ ვხედავთ,

98
00:06:23,150 --> 00:06:29,210
არის ეს ხდის ასე, რომ არსებობს კარგი გამოქვეყნებული ექსპლოიტის კოდი არსებობს

99
00:06:29,210 --> 00:06:31,750
განთავსების kernel დონის ხარვეზებს,

100
00:06:31,750 --> 00:06:35,040
და ჩვენ ვნახეთ, ვინც რეალურად იქნას გამოყენებული malware მწერლები.

101
00:06:35,040 --> 00:06:38,450
ეს ცოტა განსხვავებული, ვიდრე PC მსოფლიოში.

102
00:06:38,450 --> 00:06:42,530
და შემდეგ საბოლოო ფენა ზედა ფენის, განაცხადის ფენა.

103
00:06:42,530 --> 00:06:45,250
ეს არის ის, რაც მე ვაპირებ ვისაუბრო დღეს.

104
00:06:45,250 --> 00:06:48,970
>> სხვა ფენების არსებობს, და სხვა ფენების ითამაშოს მივანიჭო,

105
00:06:48,970 --> 00:06:53,310
მაგრამ მე ძირითადად ვაპირებ ვისაუბრო იმაზე, თუ რა ხდება განაცხადის ფენის

106
00:06:53,310 --> 00:06:55,560
სადაც კოდი გაშვებულია სავარჯიშოში.

107
00:06:55,560 --> 00:06:58,670
მას არ გააჩნია ადმინისტრაციული პრივილეგიები.

108
00:06:58,670 --> 00:07:02,170
მას აქვს გამოიყენოს APIs მოწყობილობის,

109
00:07:02,170 --> 00:07:06,970
მაგრამ მაინც, ბევრი მუქარის საქმიანობა და ბევრი რისკი შეიძლება მოხდეს, რომ ფენის

110
00:07:06,970 --> 00:07:09,220
იმიტომ, რომ ფენის, სადაც ყველა ინფორმაცია.

111
00:07:09,220 --> 00:07:12,330
Apps შეუძლია ყველა ინფორმაცია მოწყობილობაზე

112
00:07:12,330 --> 00:07:15,390
თუ მათ უფლება აქვთ უფლებები,

113
00:07:15,390 --> 00:07:17,540
და მათ შეუძლიათ სხვადასხვა სენსორები მოწყობილობა,

114
00:07:17,540 --> 00:07:23,950
GPS სენსორი, მიკროფონი, კამერა, რა.

115
00:07:23,950 --> 00:07:27,380
მიუხედავად იმისა, რომ ჩვენ მხოლოდ ვსაუბრობთ განაცხადის ფენის

116
00:07:27,380 --> 00:07:33,700
ჩვენ ბევრი რისკი არსებობს.

117
00:07:33,700 --> 00:07:38,450
სხვა საქმეა, რომ ის განსხვავებული მობილური გარემო

118
00:07:38,450 --> 00:07:45,060
არის ყველა ოპერაციული სისტემის მოთამაშეებს, იქნება ეს BlackBerry და Android

119
00:07:45,060 --> 00:07:53,410
ან iOS ან Windows mobile, მათ აქვთ წვრილმარცვლოვანი ნებართვა მოდელი,

120
00:07:53,410 --> 00:07:56,990
და ეს არის ერთი გზა, რომ ისინი ჩაშენებული ოპერაციული სისტემა

121
00:07:56,990 --> 00:08:01,230
იმ აზრს, რომ ეს არ არის, როგორც სარისკო როგორც თქვენ ფიქრობთ.

122
00:08:01,230 --> 00:08:04,550
მიუხედავად იმისა, რომ თქვენ გაქვთ ყველა თქვენი კონტაქტები იქ, ყველა თქვენი პირადი ინფორმაცია,

123
00:08:04,550 --> 00:08:09,080
თქვენ გაქვთ თქვენი ფოტო, თქვენ გაქვთ თქვენი ადგილმდებარეობის შესახებ არსებობს,

124
00:08:09,080 --> 00:08:14,820
თქვენ შენახვა თქვენი საბანკო pin ავტო შესვლისას იქ, ეს უსაფრთხო, რადგან

125
00:08:14,820 --> 00:08:19,430
apps უნდა ჰქონდეს გარკვეული უფლებები მიიღოს გარკვეული ნაწილები

126
00:08:19,430 --> 00:08:25,080
ინფორმაციის აპარატი და მომხმარებელს უნდა იყოს წარმოდგენილი

127
00:08:25,080 --> 00:08:29,230
ეს უფლებები და აცხადებენ, რომ okay.

128
00:08:29,230 --> 00:08:32,590
>> პრობლემა ის არის, რომ მომხმარებელს ყოველთვის ამბობს okay.

129
00:08:32,590 --> 00:08:35,240
როგორც უსაფრთხოების პირი, მე ვიცი, რომ თქვენ შეგიძლიათ შეეკითხება მომხმარებელს,

130
00:08:35,240 --> 00:08:40,100
ამბობენ, რომ რაღაც ძალიან ცუდი მოხდება, არ გსურთ, რომ მოხდეს?

131
00:08:40,100 --> 00:08:44,680
და თუ ისინი rush ან რაღაც ნამდვილად enticing მეორე მხარეს რომ,

132
00:08:44,680 --> 00:08:47,760
მოსწონს თამაში იქნება დაყენებული, რომ ისინი ელოდა,

133
00:08:47,760 --> 00:08:50,860
ისინი აპირებენ დააწკაპუნეთ okay.

134
00:08:50,860 --> 00:08:56,630
სწორედ ამიტომ ვამბობ, რომ ჩემს slide აქ მხოლოდ ნება მომეცით fling ფრინველები დროს ღორი უკვე,

135
00:08:56,630 --> 00:09:03,150
და ხედავთ on the slide აქ არის მაგალითები BlackBerry ნებართვა ყუთში.

136
00:09:03,150 --> 00:09:05,990
განცხადებაში ნათქვამია, "გთხოვთ დააწესოთ BlackBerry Travel განაცხადის უფლებები

137
00:09:05,990 --> 00:09:09,720
შემდეგ დაჭერით ღილაკს ქვემოთ ", და ძირითადად მომხმარებელს უბრალოდ ვაპირებ ვთქვა

138
00:09:09,720 --> 00:09:12,240
მითითებული უფლებები და შენახვა.

139
00:09:12,240 --> 00:09:18,010
აი Android სწრაფი, სადაც იგი გვიჩვენებს რამ,

140
00:09:18,010 --> 00:09:20,260
და ეს ფაქტიურად აყენებს რაღაც რომ თითქმის ჰგავს გაფრთხილება.

141
00:09:20,260 --> 00:09:25,090
ეს მივიღე სახის სარგებელი ნიშანი არსებობს ამბობდა ქსელის საკომუნიკაციო, სატელეფონო ზარი,

142
00:09:25,090 --> 00:09:28,120
მაგრამ მომხმარებელს აპირებს დააწკაპუნეთ დააყენოთ, არა?

143
00:09:28,120 --> 00:09:32,940
და მაშინ Apple ერთი სრულიად innocuous.

144
00:09:32,940 --> 00:09:34,300
იგი არ იძლევა რაიმე სახის გაფრთხილება.

145
00:09:34,300 --> 00:09:37,380
უბრალოდ Apple სურს გამოიყენოს თქვენი მიმდინარე მდებარეობა.

146
00:09:37,380 --> 00:09:39,670
რა თქმა უნდა, ვაპირებთ დააწკაპუნეთ okay.

147
00:09:39,670 --> 00:09:42,260
>> არსებობს ამ წვრილმარცვლოვანი ნებართვა მოდელი,

148
00:09:42,260 --> 00:09:45,890
და პროგრამები აქვს მანიფესტი ფაილი, სადაც ისინი აცხადებენ

149
00:09:45,890 --> 00:09:49,410
უფლებები, მათ სჭირდებათ, და რომ მიიღებს ნაჩვენები მომხმარებელი,

150
00:09:49,410 --> 00:09:53,480
და მომხმარებელს უნდა ვთქვა, მე ვაძლევ ამ უფლებები.

151
00:09:53,480 --> 00:09:55,080
მაგრამ მოდით იყოს პატიოსანი.

152
00:09:55,080 --> 00:09:58,400
მომხმარებელი უბრალოდ ყოველთვის ვამბობ, okay.

153
00:09:58,400 --> 00:10:04,460
ავიღოთ სწრაფი შევხედოთ ნებართვა, რომ ამ apps ითხოვენ

154
00:10:04,460 --> 00:10:06,850
და ზოგიერთი უფლებები, რომ არსებობს.

155
00:10:06,850 --> 00:10:09,950
ეს კომპანია პრეტორიანელების გააკეთა გასულ წელს ჩატარებული კვლევის

156
00:10:09,950 --> 00:10:14,170
of 53,000 განაცხადების გაანალიზებული Android ბაზარზე და მე -3 პარტიის ბაზრებზე,

157
00:10:14,170 --> 00:10:16,770
ასე რომ, ეს ყველაფერი Android.

158
00:10:16,770 --> 00:10:19,670
და საშუალო app მოითხოვა 3 უფლებები.

159
00:10:19,670 --> 00:10:23,370
ზოგიერთი apps მოთხოვნილი 117 უფლებები,

160
00:10:23,370 --> 00:10:27,480
ასე რომ, ცხადია, ეს ძალიან წვრილმარცვლოვანი და ძალიან კომპლექსი მომხმარებელს მესმის

161
00:10:27,480 --> 00:10:31,600
თუ ისინი წარდგენილი ამ app რომ სჭირდება ეს 117 უფლებები.

162
00:10:31,600 --> 00:10:37,270
ეს იგივეა, საბოლოო მომხმარებლის სალიცენზიო შეთანხმებას, რომ 45 გვერდს.

163
00:10:37,270 --> 00:10:40,240
იქნებ მალე ისინი ყველაფერს აქვს ვარიანტი, სადაც ის მსგავსად

164
00:10:40,240 --> 00:10:43,100
ბეჭდვა უფლებები და გამომიგზავნოთ ელ.

165
00:10:43,100 --> 00:10:45,480
>> მაგრამ თუ გადავხედავთ ზოგიერთი ყველაზე საინტერესო უფლებები

166
00:10:45,480 --> 00:10:50,840
24% apps, რომ გადმოწერილი გარეთ 53,000

167
00:10:50,840 --> 00:10:57,230
მოთხოვნილი GPS ინფორმაციის მოწყობილობა.

168
00:10:57,230 --> 00:10:59,810
8% წაიკითხა კონტაქტები.

169
00:10:59,810 --> 00:11:03,770
4% გაგზავნილი SMS, და 3% მიიღო SMS.

170
00:11:03,770 --> 00:11:07,730
2% ჩაწერილი აუდიო.

171
00:11:07,730 --> 00:11:11,210
1% დამუშავებული გამავალი ზარები.

172
00:11:11,210 --> 00:11:13,140
მე არ ვიცი.

173
00:11:13,140 --> 00:11:17,520
მე არ ვფიქრობ, 4% apps in App Store ნამდვილად უნდა გააგზავნოთ SMS ტექსტური შეტყობინებები,

174
00:11:17,520 --> 00:11:21,410
ამიტომ მე ვფიქრობ, რომ ის მინიშნება, რომ რაღაც untoward ხდება.

175
00:11:21,410 --> 00:11:24,350
8% apps უნდა წაიკითხოთ თქვენი კონტაქტების სიაში.

176
00:11:24,350 --> 00:11:26,510
ეს, ალბათ, არ არის საჭირო.

177
00:11:26,510 --> 00:11:30,990
ერთი სხვა საინტერესო რამ ნებართვების

178
00:11:30,990 --> 00:11:36,740
თუ ლინკი საერთო ბიბლიოთეკები თქვენი განცხადება

179
00:11:36,740 --> 00:11:39,780
იმ მემკვიდრეობის უფლებები გამოყენების,

180
00:11:39,780 --> 00:11:46,570
ასე რომ, თუ თქვენი app სჭირდება საკონტაქტო სიაში ან სჭირდება GPS განთავსების ფუნქციონირებას

181
00:11:46,570 --> 00:11:49,940
და თქვენ ლინკი სარეკლამო ბიბლიოთეკა, მაგალითად,

182
00:11:49,940 --> 00:11:53,170
რომ რეკლამა ბიბლიოთეკაში ასევე შეძლებთ წვდომისათვის კონტაქტები

183
00:11:53,170 --> 00:11:57,630
და ასევე ვერ შეძლონ GPS ადგილმდებარეობა,

184
00:11:57,630 --> 00:12:01,990
და დეველოპერი app შესახებ არაფერი იცის კოდი, რომელიც გაშვებული რეკლამა ბიბლიოთეკაში.

185
00:12:01,990 --> 00:12:05,370
ისინი უბრალოდ აკავშირებს, რომ რადგან მათ სურთ monetize მათი app.

186
00:12:05,370 --> 00:12:09,820
>> ეს არის სადაც და მე ლაპარაკი მაგალითები ამ

187
00:12:09,820 --> 00:12:13,930
განაცხადის მოუწოდა Pandora, სადაც განაცხადის დეველოპერი

188
00:12:13,930 --> 00:12:18,910
შესაძლოა, უნებლიეთ უნდა ჩამოდის ინფორმაციას

189
00:12:18,910 --> 00:12:24,580
მათი წევრებს, რადგან ბიბლიოთეკების ისინი უკავშირდება შემოსული

190
00:12:24,580 --> 00:12:30,110
გამოკითხვა ლანდშაფტის იქ, ეძებს ყველა სხვადასხვა apps

191
00:12:30,110 --> 00:12:34,310
რომ არ მოჰყოლია ახალი ამბები, მუქარის ან თავისსავე მომხმარებლებს არ სურს

192
00:12:34,310 --> 00:12:39,360
და შემდეგ შემოწმების ბევრი apps ჩვენ ბევრი სტატიკური ორობითი ანალიზი მობილური apps,

193
00:12:39,360 --> 00:12:42,010
ასე რომ ჩვენ დაათვალიერა და მათ შევხედე კოდი თვით

194
00:12:42,010 --> 00:12:49,640
ჩვენ გამოვიდა, რაც ჩვენ მოვუწოდებთ ჩვენი top 10 სიაში სარისკო ქცევების განაცხადების.

195
00:12:49,640 --> 00:12:54,180
და ეს ჩაიშალა შევიდა 2 ნაწილად, მუქარის კოდი,

196
00:12:54,180 --> 00:12:57,600
ასე რომ ეს არის ცუდი რამ რომ apps შეიძლება აკეთებს, რომ

197
00:12:57,600 --> 00:13:06,520
სავარაუდოდ, რომ რაღაც მუქარის ინდივიდუალური

198
00:13:06,520 --> 00:13:10,060
საგანგებოდ დააყენა განაცხადი, მაგრამ ცოტა საეჭვო.

199
00:13:10,060 --> 00:13:13,300
ეს შეიძლება იყოს რაღაც, რომ დეველოპერი ფიქრობს არის ჯარიმა,

200
00:13:13,300 --> 00:13:16,350
მაგრამ ეს მთავრდება მიმდინარეობს ფიქრობდა როგორც მუქარის მომხმარებლის მიერ.

201
00:13:16,350 --> 00:13:19,830
>> და შემდეგ მეორე ნაწილი არის ის, რაც ჩვენ მოვუწოდებთ კოდირების ხარვეზებს,

202
00:13:19,830 --> 00:13:24,600
და ეს ის საკითხებია, სადაც დეველოპერი ძირითადად ისეთ შეცდომებს

203
00:13:24,600 --> 00:13:27,200
ან უბრალოდ არ ესმის, თუ როგორ უნდა დაწეროთ app უსაფრთხოდ,

204
00:13:27,200 --> 00:13:30,260
 და ეს აყენებს app შესახებ რისკის ქვეშ.

205
00:13:30,260 --> 00:13:34,060
მე ვაპირებ გაიაროს დეტალურად და მისცეს რამდენიმე მაგალითი.

206
00:13:34,060 --> 00:13:39,620
ცნობისთვის, მინდოდა დაფასოებული OWASP პორტალის top 10 სიაში.

207
00:13:39,620 --> 00:13:43,590
ეს არის 10 საკითხი, რომელიც ჯგუფის OWASP,

208
00:13:43,590 --> 00:13:48,900
ღია Web Application უსაფრთხოების პროექტი, მათ აქვთ სამუშაო ჯგუფი

209
00:13:48,900 --> 00:13:50,620
მუშაობს პორტალის top 10 სიაში.

210
00:13:50,620 --> 00:13:54,600
მათ აქვთ ძალიან ცნობილი ვებ top 10 სიაში, რომლებიც top 10

211
00:13:54,600 --> 00:13:57,180
riskiest რამ, რაც შეიძლება ჰქონდეს ვებ პროგრამა.

212
00:13:57,180 --> 00:13:59,090
ისინი აკეთებენ იგივე მობილური,

213
00:13:59,090 --> 00:14:01,750
და მათი სია ცოტა განსხვავებული, ვიდრე ჩვენია.

214
00:14:01,750 --> 00:14:03,670
6 out of 10 ერთნაირია.

215
00:14:03,670 --> 00:14:06,020
მათ აქვთ 4 რომ განსხვავებულია.

216
00:14:06,020 --> 00:14:10,550
მე ვფიქრობ, რომ აქვს ცოტა განსხვავებული იქირავებენ

217
00:14:10,550 --> 00:14:14,490
რისკის მობილური apps, სადაც ბევრი მათი საკითხები

218
00:14:14,490 --> 00:14:20,490
მართლაც, თუ განაცხადის კომუნიკაციის back-end სერვერის

219
00:14:20,490 --> 00:14:23,100
ან რა ხდება on back-end სერვერის,

220
00:14:23,100 --> 00:14:29,220
არა იმდენად apps რომ აქვს სარისკო ქცევა, რომლებიც მხოლოდ უშუალო კლიენტი apps.

221
00:14:29,220 --> 00:14:36,640
>> პირობა in red აქ განსხვავებები 2 სიებში.

222
00:14:36,640 --> 00:14:40,740
და ზოგიერთი ჩემი კვლევის ჯგუფის ხელს უწყობს ამ პროექტის,

223
00:14:40,740 --> 00:14:44,570
ასე რომ, ჩვენ დავინახავთ, რა მოხდება დროთა განმავლობაში, მაგრამ მე ვფიქრობ, რომ takeaway აქ არის

224
00:14:44,570 --> 00:14:47,550
ჩვენ ნამდვილად არ ვიცი, რა top 10 სიაში მობილური apps, რადგან

225
00:14:47,550 --> 00:14:50,510
ისინი მართლაც მხოლოდ გარშემო 2 ან 3 წელია,

226
00:14:50,510 --> 00:14:57,750
და არ ყოფილა საკმარისი დრო ნამდვილად კვლევაზე ოპერაციული სისტემები

227
00:14:57,750 --> 00:15:00,450
და რა ისინი შეუძლია, და არ ყოფილა საკმარისი დრო

228
00:15:00,450 --> 00:15:06,870
განთავსების მუქარის თანამეგობრობას, თუ გნებავთ, რომ გავატარე საკმარისი დრო

229
00:15:06,870 --> 00:15:12,910
ცდილობენ შეტევა მომხმარებლებს მეშვეობით მობილური apps, ასე რომ, ვიმედოვნებ, რომ ეს სიები შეცვალოს ცოტა.

230
00:15:12,910 --> 00:15:18,720
მაგრამ ახლა, ეს არის ყველაზე 10 რამ ფიქრი.

231
00:15:18,720 --> 00:15:24,150
ალბათ საინტერესოა მობილურ მხარეს, სადაც არ მუქარის პორტალის კოდური

232
00:15:24,150 --> 00:15:28,880
რამდენად შეესაბამება ეს მისაღებად მოწყობილობა?

233
00:15:28,880 --> 00:15:35,210
North Carolina სახელმწიფოს აქვს პროექტის მოუწოდა პორტალის Malware გენომი პროექტი

234
00:15:35,210 --> 00:15:39,520
სადაც ისინი შეგროვება იმდენი პორტალის malware, როგორც მათ შეუძლიათ და ანალიზის გაკეთება,

235
00:15:39,520 --> 00:15:45,270
და ისინი ჩაიშალა ინექცია ვექტორები, რომ მობილური malware იყენებს,

236
00:15:45,270 --> 00:15:51,490
და 86% გამოყენება ტექნიკა მოუწოდა repackaging,

237
00:15:51,490 --> 00:15:54,160
და ეს არის მხოლოდ Android პლატფორმა

238
00:15:54,160 --> 00:15:56,720
შეგიძლიათ მართლაც ამ repackaging.

239
00:15:56,720 --> 00:16:03,100
>> მიზეზი Android კოდი ნაგებია

240
00:16:03,100 --> 00:16:08,130
Java byte კოდი მოუწოდა Dalvik რომელიც ადვილად decompilable.

241
00:16:08,130 --> 00:16:12,460
რა ცუდი ბიჭი შეგვიძლია გავაკეთოთ არის

242
00:16:12,460 --> 00:16:16,590
მიიღოს Android პროგრამა, decompile ეს,

243
00:16:16,590 --> 00:16:20,120
ჩადეთ მათი მუქარის კოდი, recompile ის,

244
00:16:20,120 --> 00:16:28,070
და შემდეგ დააყენოს ის წელს app store დასადასტურებლად, იყოს ახალი ვერსია, რომ განაცხადი,

245
00:16:28,070 --> 00:16:30,330
ან უბრალოდ იქნებ შეცვლის სახელით განცხადება.

246
00:16:30,330 --> 00:16:35,140
თუ ეს იყო ერთგვარი თამაში, შეცვალოს სახელი ოდნავ,

247
00:16:35,140 --> 00:16:42,860
და ეს repackaging არის, თუ როგორ 86% პორტალის malware იღებს ნაწილდება.

248
00:16:42,860 --> 00:16:45,810
არსებობს კიდევ ერთი ტექნიკა მოუწოდა განახლება, რომელიც არის

249
00:16:45,810 --> 00:16:50,030
ძალიან ჰგავს repackaging, მაგრამ თქვენ რეალურად არ დააყენა მუქარის კოდი შემოსული

250
00:16:50,030 --> 00:16:52,870
რას აკეთებთ თქვენ დააყენა პატარა განახლება მექანიზმი.

251
00:16:52,870 --> 00:16:56,660
თქვენ decompile, თქვენ დააყენა განახლება მექანიზმი და recompile ის,

252
00:16:56,660 --> 00:17:02,360
და მაშინ, როდესაც app არის გაშვებული ეს pulls ქვემოთ malware გადატანა მოწყობილობა.

253
00:17:02,360 --> 00:17:06,300
>> გაცილებით უმრავლესობა იმ 2 ტექნიკას.

254
00:17:06,300 --> 00:17:12,710
არ არის ნამდვილად ბევრად ჩამოტვირთვა დისკზე bys ან დისკზე მიერ ჩამოტვირთვების მობილურ ტელეფონზე,

255
00:17:12,710 --> 00:17:15,890
რომელიც შეიძლება ისევე როგორც ფიშინგი თავდასხმა.

256
00:17:15,890 --> 00:17:18,200
Hey, შეამოწმეთ ეს მართლაც მაგარი ნახვა,

257
00:17:18,200 --> 00:17:21,020
ან თქვენ უნდა წასვლა ამ ნახვა და შეავსოთ ეს ფორმა

258
00:17:21,020 --> 00:17:24,420
შენარჩუნება გრძელდება აკეთებს რაღაც.

259
00:17:24,420 --> 00:17:26,230
იმ ფიშინგს შეტევები.

260
00:17:26,230 --> 00:17:28,160
იგივე შეიძლება მოხდეს მობილური პლატფორმა, სადაც ისინი

261
00:17:28,160 --> 00:17:33,830
აღვნიშნო, რომ მობილური app ჩამოტვირთვა, აცხადებენ, რომ "Hi, ეს არის Bank of America".

262
00:17:33,830 --> 00:17:36,070
"ჩვენ ვხედავთ, თქვენ იყენებთ ამ განაცხადს".

263
00:17:36,070 --> 00:17:38,540
"თქვენ უნდა ჩამოტვირთოთ ამ სხვა პროგრამა."

264
00:17:38,540 --> 00:17:41,170
თეორიულად, რომ შეიძლება მუშაობა.

265
00:17:41,170 --> 00:17:48,610
იქნებ უბრალოდ არ გამოიყენება საკმარისი, რათა დადგინდეს, თუ არა ის წარმატებული თუ არა,

266
00:17:48,610 --> 00:17:51,680
მაგრამ აღმოჩნდა, რომ 1% ზე ნაკლები დრო, რომ ტექნიკა გამოიყენება.

267
00:17:51,680 --> 00:17:56,130
უმრავლესობა იმ დროს ეს მართლაც repackaged კოდი.

268
00:17:56,130 --> 00:17:58,710
>> არსებობს კიდევ ერთი კატეგორია მოუწოდა standalone

269
00:17:58,710 --> 00:18:01,420
სადაც ვინმე უბრალოდ აშენებს ახალ განაცხადი.

270
00:18:01,420 --> 00:18:04,020
ისინი აშენება პროგრამა, რომელიც purports იყოს რაღაც.

271
00:18:04,020 --> 00:18:07,360
ეს არ არის repackaging რაღაც, და რომ აქვს მუქარის კოდი.

272
00:18:07,360 --> 00:18:11,230
რომ გამოიყენება 14% გაუტოლდა.

273
00:18:11,230 --> 00:18:17,880
ახლა მინდა ვისაუბროთ რა არის მუქარის კოდი აკეთებს?

274
00:18:17,880 --> 00:18:23,070
ერთი პირველი malware out არსებობს

275
00:18:23,070 --> 00:18:25,490
თქვენ შეიძლება განიხილონ spyware.

276
00:18:25,490 --> 00:18:27,620
ეს ძირითადად ჯაშუშების წლის შესახებ.

277
00:18:27,620 --> 00:18:30,470
ის აგროვებს წერილებს, SMS შეტყობინებები.

278
00:18:30,470 --> 00:18:32,340
თურმე მიკროფონი.

279
00:18:32,340 --> 00:18:37,330
ეს მოსავლის კონტაქტი წიგნი და ის აგზავნის მას off ვინმეს.

280
00:18:37,330 --> 00:18:40,870
ამ ტიპის spyware არსებობს PC,

281
00:18:40,870 --> 00:18:46,200
ასე რომ, ეს ქმნის სრულყოფილი გრძნობა ადამიანი ცდილობს გააკეთოს ეს მობილური მოწყობილობების.

282
00:18:46,200 --> 00:18:53,230
>> ერთი პირველი მაგალითი იყო პროგრამას სახელწოდებით Secret SMS რეპლიკატორი.

283
00:18:53,230 --> 00:18:56,250
ეს იყო Android ბაზარი რამდენიმე წლის წინ,

284
00:18:56,250 --> 00:18:59,960
და იდეა იყო თუ შეეძლოთ სხვისი Android ტელეფონი

285
00:18:59,960 --> 00:19:03,450
რომ თქვენ სურდა თვალთვალისთვის, იქნებ ეს თქვენი მეუღლე

286
00:19:03,450 --> 00:19:07,600
ან თქვენი მნიშვნელოვანი სხვა და გსურთ თვალთვალისთვის მათი ტექსტური შეტყობინებები,

287
00:19:07,600 --> 00:19:11,200
შეგიძლიათ ჩამოტვირთოთ ამ app და დააინსტალირეთ და კონფიგურირება

288
00:19:11,200 --> 00:19:16,540
გააგზავნოთ SMS ტექსტით გაგზავნა თქვენ ასლი

289
00:19:16,540 --> 00:19:21,710
ყველა SMS ტექსტით გაგზავნა ისინი.

290
00:19:21,710 --> 00:19:27,220
ეს აშკარად არის დარღვევის app store მომსახურების პირობები,

291
00:19:27,220 --> 00:19:32,040
და ეს ამოიღეს Android ბაზარი ფარგლებში 18 საათის განმავლობაში იგი არსებობს,

292
00:19:32,040 --> 00:19:36,760
ასე რომ, ძალიან მცირე რაოდენობის ხალხი რისკის გამო.

293
00:19:36,760 --> 00:19:42,510
ახლა, ვფიქრობ, რომ თუ პროგრამა ეწოდა რაღაც იქნებ ცოტა ნაკლებად პროვოკაციული

294
00:19:42,510 --> 00:19:48,690
ისევე როგორც საიდუმლო SMS რეპლიკატორი ალბათ არ მუშაობდა უკეთესი.

295
00:19:48,690 --> 00:19:52,870
მაგრამ ეს იყო ერთგვარი აშკარა.

296
00:19:52,870 --> 00:19:58,680
>> ერთი რამ შეგვიძლია გავაკეთოთ, რათა დადგინდეს, თუ apps აქვს ეს ქცევა, რომელიც ჩვენ არ გვინდა,

297
00:19:58,680 --> 00:20:01,410
არის შეამოწმოს კოდი.

298
00:20:01,410 --> 00:20:06,250
ეს არის რეალურად მართლაც ადვილია on Android, რადგან ჩვენ შეგვიძლია decompile apps.

299
00:20:06,250 --> 00:20:11,050
On iOS შეგიძლიათ გამოიყენოთ disassembler როგორიცაა IDA Pro

300
00:20:11,050 --> 00:20:17,190
შევხედოთ რა APIs app მოუწოდებს და რასაც ის აკეთებს.

301
00:20:17,190 --> 00:20:20,680
ჩვენ წერდა ჩვენი ორობითი სტატიკური ანალიზატორი ჩვენი კოდი

302
00:20:20,680 --> 00:20:24,940
და ჩვენ ამის გაკეთება, და მერე რა შეგიძლიათ გააკეთოთ თქვენ შეიძლება ითქვას,

303
00:20:24,940 --> 00:20:30,490
ამჯამად მოწყობილობის არაფერი რომ ძირითადად მიჰყვება მე ან თვალთვალის me?

304
00:20:30,490 --> 00:20:33,360
და მაქვს რამდენიმე მაგალითი აქ iPhone.

305
00:20:33,360 --> 00:20:41,440
ეს პირველი მაგალითია, თუ როგორ წვდომისათვის uuid ტელეფონით.

306
00:20:41,440 --> 00:20:47,060
ეს არის რეალურად რაღაც, რომ Apple ახლახანს აკრძალული ახალი პროგრამები,

307
00:20:47,060 --> 00:20:52,540
მაგრამ ძველი პროგრამები, ალბათ გაშვებული თქვენი ტელეფონის ჯერ კიდევ შეუძლია ამის გაკეთება,

308
00:20:52,540 --> 00:20:56,500
და ისე, რომ უნიკალური იდენტიფიკატორი შეიძლება გამოყენებულ იქნას აკონტროლოთ თქვენ

309
00:20:56,500 --> 00:21:00,440
ბევრ სხვადასხვა პროგრამებისთვის.

310
00:21:00,440 --> 00:21:07,180
>> On Android, მე მაგალითად აქ მიღების მოწყობილობის ადგილმდებარეობა.

311
00:21:07,180 --> 00:21:10,310
თქვენ ხედავთ, რომ, თუ ეს API მოვუწოდებთ არის, რომ app თვალთვალის,

312
00:21:10,310 --> 00:21:15,000
და ხედავთ თუ არა ის მიღების შესანიშნავი ადგილმდებარეობა ან უხეში ადგილმდებარეობა.

313
00:21:15,000 --> 00:21:18,860
და შემდეგ ბოლოში აქ, მე მაქვს მაგალითი, თუ როგორ მე BlackBerry

314
00:21:18,860 --> 00:21:25,130
განაცხადის შეიძლება შეამოწმონ ელექტრონული ფოსტის მესიჯები თქვენს inbox.

315
00:21:25,130 --> 00:21:27,660
ეს არის სახის რამ შეგიძლიათ შეამოწმოს ვხედავ

316
00:21:27,660 --> 00:21:32,360
თუ app აკეთებს იმ რამ.

317
00:21:32,360 --> 00:21:38,320
მეორე დიდი კატეგორიაში მუქარის ქცევა, და ეს არის ალბათ ყველაზე დიდი გარეშე ახლა,

318
00:21:38,320 --> 00:21:43,950
არის არასანქცირებული დარეკვა, არასანქცირებული პრემია SMS ტექსტური შეტყობინებები

319
00:21:43,950 --> 00:21:46,080
ან არასანქცირებული გადასახადები.

320
00:21:46,080 --> 00:21:48,930
სხვა საქმეა, რომ უნიკალური, რომ ტელეფონი

321
00:21:48,930 --> 00:21:52,700
არის მოწყობილობა ფლანგიდან აქვს საბილინგო ანგარიში,

322
00:21:52,700 --> 00:21:55,960
და როდესაც საქმიანობის მოხდეს ტელეფონი

323
00:21:55,960 --> 00:21:58,510
მას შეუძლია შექმნას ბრალდებით.

324
00:21:58,510 --> 00:22:00,700
თქვენ შეგიძლიათ შეიძინოთ რამ, სატელეფონო,

325
00:22:00,700 --> 00:22:04,390
და როდესაც თქვენ პრემია SMS ტექსტით გაგზავნა თქვენ რეალურად ფულს

326
00:22:04,390 --> 00:22:11,590
ანგარიშის მფლობელი ტელეფონის ნომერი მეორე მხარეს.

327
00:22:11,590 --> 00:22:17,420
ეს შეიქმნა მისაღებად საფონდო ბრჭყალებში, ან მიიღოთ თქვენი ყოველდღიური ჰოროსკოპის ან სხვა რამ,

328
00:22:17,420 --> 00:22:21,680
მაგრამ ისინი შეიძლება შეიქმნას შეუკვეთოთ პროდუქციის გაგზავნით SMS ტექსტით.

329
00:22:21,680 --> 00:22:26,970
ხალხის ფული წითელი ჯვრის გაგზავნით ტექსტის გაგზავნა.

330
00:22:26,970 --> 00:22:30,650
შეგიძლიათ $ 10 რომ გზა.

331
00:22:30,650 --> 00:22:34,190
>> თავდამსხმელები, რასაც ისინი გავაკეთეთ ისინი შეიქმნა

332
00:22:34,190 --> 00:22:38,750
ანგარიშები უცხო ქვეყნებში, და მათ ხმა malware

333
00:22:38,750 --> 00:22:42,840
რომ ტელეფონი გამოგიგზავნით პრემია SMS ტექსტური შეტყობინება,

334
00:22:42,840 --> 00:22:47,700
ამბობენ, რამდენიმე დღეში, და თვის ბოლოს ხვდები, თქვენ გაატარა

335
00:22:47,700 --> 00:22:52,090
ათობით ან თუნდაც ასობით დოლარი, და ისინი ფეხით მოშორებით ფული.

336
00:22:52,090 --> 00:22:57,280
ეს იმდენად ცუდია, რომ ეს იყო პირველი რამ, რომ Android

337
00:22:57,280 --> 00:23:00,760
Marketplace ან Google ადგილას, ეს იყო Android Marketplace დროს,

338
00:23:00,760 --> 00:23:04,430
და ეს არის Google Play-პირველი, რაც Google დაიწყო შემოწმება.

339
00:23:04,430 --> 00:23:08,700
როდესაც Google დაიწყო გავრცელებისათვის Android apps მათი app store

340
00:23:08,700 --> 00:23:11,350
მათ განაცხადეს, რომ ისინი არ აპირებენ, რათა შეამოწმოთ არაფერი.

341
00:23:11,350 --> 00:23:15,630
ჩვენ გაიყვანოს apps ერთხელ ჩვენ ეცნობა ისინი გატეხილი ჩვენი მომსახურების პირობები,

342
00:23:15,630 --> 00:23:17,520
მაგრამ ჩვენ არ ვაპირებთ შევამოწმოთ არაფერი.

343
00:23:17,520 --> 00:23:24,350
ასევე, დაახლოებით ერთი წლის წინ მას იმდენად ცუდი, ამ პრემიის SMS ტექსტით გაგზავნა malware

344
00:23:24,350 --> 00:23:28,030
რომ ეს არის პირველი რამ დაიწყეს შემოწმება.

345
00:23:28,030 --> 00:23:31,770
თუ app შეგიძლიათ გააგზავნოთ SMS ტექსტური შეტყობინებები

346
00:23:31,770 --> 00:23:34,750
ისინი შემდგომი ხელით დეტალურად რომ განაცხადი.

347
00:23:34,750 --> 00:23:38,770
ისინი ამისთვის APIs რომ მოვუწოდო ამ,

348
00:23:38,770 --> 00:23:40,580
და ახლა, მას შემდეგ Google გაფართოვდა,

349
00:23:40,580 --> 00:23:46,900
მაგრამ ეს იყო პირველი, რაც მათ დაიწყეს ეძებს.

350
00:23:46,900 --> 00:23:50,690
>> ზოგიერთი სხვა apps, რომ გარკვეული SMS ტექსტური შეტყობინებები,

351
00:23:50,690 --> 00:23:56,980
ამ Android Qicsomos, ვფიქრობ, მას უწოდებენ.

352
00:23:56,980 --> 00:24:02,670
იყო ეს დღევანდელი ღონისძიება პორტალის სადაც ეს CarrierIQ გამოვიდა

353
00:24:02,670 --> 00:24:07,720
როგორც spyware-მა მოწყობილობაზე მიერ მატარებლები,

354
00:24:07,720 --> 00:24:10,820
ასე რომ, ადამიანებს აინტერესებდათ, თუ მათი ტელეფონში იყო დაუცველი ამ,

355
00:24:10,820 --> 00:24:13,890
და ეს იყო უფასო app რომ გამოცდილი, რომ.

356
00:24:13,890 --> 00:24:17,520
ისე, რა თქმა უნდა, ეს ოთახი არ იყო, რომ გაიგზავნება პრემია SMS ტექსტური შეტყობინებები,

357
00:24:17,520 --> 00:24:20,090
ასე ტესტირების თუ თქვენ ინფიცირებული spyware

358
00:24:20,090 --> 00:24:24,930
თქვენ დატვირთული malware გადატანა თქვენს აპარატში.

359
00:24:24,930 --> 00:24:27,310
ჩვენ ვნახეთ იგივე მოხდეს უკანასკნელი Super Bowl.

360
00:24:27,310 --> 00:24:33,180
იყო გაყალბებულად მობილური Madden ფეხბურთის თამაში

361
00:24:33,180 --> 00:24:38,320
რომ იგზავნება პრემია SMS ტექსტური შეტყობინებები.

362
00:24:38,320 --> 00:24:45,750
რეალურად ცდილობდა შექმნას bot ქსელი ძალიან მოწყობილობა.

363
00:24:45,750 --> 00:24:48,090
აქ მაქვს რამდენიმე მაგალითი.

364
00:24:48,090 --> 00:24:52,640
საინტერესოა, Apple იყო საკმაოდ ჭკვიანი,

365
00:24:52,640 --> 00:24:58,470
და ისინი არ დაუშვას განაცხადების გაგზავნის SMS ტექსტური შეტყობინებები ყველა.

366
00:24:58,470 --> 00:25:00,350
არარის app შეგიძლიათ ეს გააკეთოთ.

367
00:25:00,350 --> 00:25:03,530
ეს დიდი გზა მოშორების მთელი კლასი დაუცველობის,

368
00:25:03,530 --> 00:25:09,040
მაგრამ Android შეგიძლიათ ამის გაკეთება, და რა თქმა უნდა, BlackBerry თქვენ შეგიძლიათ ამის გაკეთება ძალიან.

369
00:25:09,040 --> 00:25:13,060
საინტერესოა, რომ BlackBerry გჭირდებათ ინტერნეტ უფლებები

370
00:25:13,060 --> 00:25:18,370
გააგზავნოთ SMS ტექსტით გაგზავნა.

371
00:25:18,370 --> 00:25:21,580
>> სხვა რამ მართლაც რომ ჩვენ ვეძებთ

372
00:25:21,580 --> 00:25:24,780
როდესაც ჩვენ ვეძებთ თუ რაღაც მუქარის არის მხოლოდ რაიმე სახის

373
00:25:24,780 --> 00:25:28,100
არასანქცირებული ქსელის აქტივობის, ისევე შევხედოთ ქსელის საქმიანობას

374
00:25:28,100 --> 00:25:31,570
ოთახი უნდა აქვს თავისი ფუნქცია,

375
00:25:31,570 --> 00:25:35,380
და შევხედოთ ამ სხვა ქსელის საქმიანობაში.

376
00:25:35,380 --> 00:25:43,380
ალბათ app, მუშაობა, აქვს მიიღოს მონაცემთა HTTP,

377
00:25:43,380 --> 00:25:47,500
მაგრამ თუ ის აკეთებს რამ მეტი ელექტრონული ფოსტით ან SMS-ით ან Bluetooth ან რამე მაგდაგვარს

378
00:25:47,500 --> 00:25:52,890
ახლა რომ app შესაძლოა იყოს მუქარის, ასე რომ ეს არის კიდევ ერთი რამ, შეგიძლიათ შეამოწმოს ამისთვის.

379
00:25:52,890 --> 00:26:00,430
და ამ slide აქ მაქვს რამოდენიმე მაგალითი, რომ.

380
00:26:00,430 --> 00:26:05,950
სხვა საინტერესო რამ ვნახეთ და malware მოხდა უკან 2009 წელს,

381
00:26:05,950 --> 00:26:07,600
და ეს მოხდა დიდი გზა.

382
00:26:07,600 --> 00:26:11,390
მე არ ვიცი, თუ ეს მოხდა, იმდენად მას შემდეგ, მაგრამ ეს app

383
00:26:11,390 --> 00:26:15,140
რომ impersonated სხვა პროგრამის მიერ.

384
00:26:15,140 --> 00:26:21,700
იყო კომპლექტი apps, და ეს იყო გახმოვანებული 09Droid თავდასხმა,

385
00:26:21,700 --> 00:26:29,770
და ვიღაცამ გადაწყვიტა, რომ იქ ბევრი მცირე, რეგიონალური midsize ბანკები

386
00:26:29,770 --> 00:26:32,260
რომ არ აქვს საბანკო განცხადებები,

387
00:26:32,260 --> 00:26:36,870
ასე რომ, რაც გააკეთეს იყო მათ ააშენეს 50 ონლაინ საბანკო განცხადებები

388
00:26:36,870 --> 00:26:39,410
რომ ისინი არ იყო მიიღოს მომხმარებლის სახელი და პაროლი

389
00:26:39,410 --> 00:26:42,190
და გადამისამართება თქვენ ვებგვერდზე.

390
00:26:42,190 --> 00:26:47,470
და ა.შ. ისინი ამ ყველა up in Google ბაზარი,

391
00:26:47,470 --> 00:26:51,530
ამ Android ბაზარი, და როცა ვინმე გაჩხრიკეს თუ მათი საბანკო

392
00:26:51,530 --> 00:26:56,000
ჰქონდა განაცხადი, რომ იპოვოს ყალბი განცხადება,

393
00:26:56,000 --> 00:27:01,230
რომელიც შეგროვებული მათ სიგელები და შემდეგ გადამისამართება მათ მათი ნახვა.

394
00:27:01,230 --> 00:27:06,640
ისე, რომ ეს რეალურად გახდა-apps იყო იქ რამდენიმე კვირის განმავლობაში,

395
00:27:06,640 --> 00:27:09,050
და იქ ათასობით ჩამოტვირთვების.

396
00:27:09,050 --> 00:27:12,910
>> გზა ამ მოვიდა სინათლე იყო ვინმე იყო, რომელსაც პრობლემა

397
00:27:12,910 --> 00:27:15,740
ერთი განაცხადი, და მათ მოუწოდა მათ ბანკი,

398
00:27:15,740 --> 00:27:18,390
და მათ მოუწოდა მათ ბანკის მომხმარებელთა მხარდაჭერა ხაზი და განაცხადა,

399
00:27:18,390 --> 00:27:21,180
"მე მქონე პრობლემა თქვენი მობილური ბანკინგის პროგრამა."

400
00:27:21,180 --> 00:27:23,460
"ვერ დამეხმარებით out?"

401
00:27:23,460 --> 00:27:26,540
ხოლო მათ ჰრქუეს: "ჩვენ არ გვაქვს მობილური ბანკინგის პროგრამა."

402
00:27:26,540 --> 00:27:28,120
დაიწყო გამოძიება.

403
00:27:28,120 --> 00:27:31,200
რომ ბანკის მოუწოდა Google, და შემდეგ Google ჩანდა და განაცხადა,

404
00:27:31,200 --> 00:27:37,220
"Wow, იმავე ავტორის დაწერილი 50 საბანკო განცხადებები," და წაიყვანეს ყველა ქვემოთ.

405
00:27:37,220 --> 00:27:43,410
მაგრამ რა თქმა უნდა, ეს შეიძლება განმეორდეს.

406
00:27:43,410 --> 00:27:51,790
აქ არის ჩამონათვალი სხვადასხვა ბანკებში აქ

407
00:27:51,790 --> 00:27:55,870
რომ ნაწილი იყო ამ scam.

408
00:27:55,870 --> 00:28:02,050
სხვა რამ app შეგიძლიათ გააკეთოთ ამჟამად UI კიდევ ერთი განაცხადი.

409
00:28:02,050 --> 00:28:06,430
მიუხედავად იმისა, რომ გაშვებული ეს შეიძლება პოპ up Facebook UI.

410
00:28:06,430 --> 00:28:09,540
იგი აცხადებს, რომ თქვენ უნდა დააყენოს თქვენი მომხმარებლის სახელი და პაროლი, რომ გაგრძელდება

411
00:28:09,540 --> 00:28:15,090
ან განათავსოთ ნებისმიერი მომხმარებლის სახელი და პაროლი UI განთავსების ნახვა

412
00:28:15,090 --> 00:28:18,420
რომ იქნებ პროფაილი იყენებს უბრალოდ ცდილობენ Trick შესახებ

413
00:28:18,420 --> 00:28:21,340
თარგმნეს აყენებს მათი მიდგომებით შემოსული

414
00:28:21,340 --> 00:28:25,590
ეს ნამდვილად სწორი პარალელურად ელ ფიშინგს შეტევები

415
00:28:25,590 --> 00:28:28,210
სადაც ვინმე აგზავნის თქვენ წერილს

416
00:28:28,210 --> 00:28:33,050
და გაძლევთ ძირითადად ყალბი UI განთავსების ნახვა

417
00:28:33,050 --> 00:28:37,320
რომ თქვენ გაქვთ.

418
00:28:37,320 --> 00:28:41,590
>> სხვა რამ ჩვენ ვეძებთ მუქარის კოდი არის სისტემის მოდიფიკაციით.

419
00:28:41,590 --> 00:28:48,160
თქვენ შეგიძლიათ შეხედოთ ყველა API ზარები, რომელიც საჭიროებს root პრივილეგია

420
00:28:48,160 --> 00:28:50,870
რათა შესრულდეს სწორად.

421
00:28:50,870 --> 00:28:56,160
შეცვლის მოწყობილობის ვებ მარიონეტული იქნება რაღაც, რომ განაცხადი

422
00:28:56,160 --> 00:28:59,530
არ უნდა იყოს, ვერ გააკეთებს.

423
00:28:59,530 --> 00:29:03,030
მაგრამ თუ განაცხადი კოდი იქ უნდა გავაკეთოთ, რომ

424
00:29:03,030 --> 00:29:05,960
თქვენ იცით, რომ ეს, ალბათ, მუქარის განაცხადი

425
00:29:05,960 --> 00:29:09,620
ან ძალიან მაღალ სავარაუდოდ მუქარის გამოყენების,

426
00:29:09,620 --> 00:29:13,910
და მერე რა მოხდება, ის არის, რომ app ექნება გარკვეული გზა ესკალაცია პრივილეგია.

427
00:29:13,910 --> 00:29:17,200
ეს იქნებოდა გარკვეული პრივილეგია ესკალაცია გამოყენებისათვის

428
00:29:17,200 --> 00:29:20,730
განაცხადის და შემდეგ მას შემდეგ, რაც გამწვავდა პრივილეგიები

429
00:29:20,730 --> 00:29:23,800
იგი ყველაფერს გააკეთებს ამ სისტემის მოდიფიცირება.

430
00:29:23,800 --> 00:29:28,010
შეგიძლია malware, რომელსაც აქვს პრივილეგია ესკალაცია

431
00:29:28,010 --> 00:29:32,550
ის გარეშეც იცის როგორ პრივილეგია ესკალაცია

432
00:29:32,550 --> 00:29:37,960
გამოყენება მოხდება, და ეს ლამაზი, მარტივი გზა

433
00:29:37,960 --> 00:29:41,220
ვეძებოთ malware.

434
00:29:41,220 --> 00:29:46,030
DroidDream იყო ალბათ ყველაზე ცნობილი ნაჭერი Android malware.

435
00:29:46,030 --> 00:29:50,530
მე ვფიქრობ, რომ დაზარალებულ დაახლოებით 250,000 წევრებს და რამოდენიმე დღის განმავლობაში

436
00:29:50,530 --> 00:29:52,810
ადრე ი.

437
00:29:52,810 --> 00:29:56,890
ისინი repackaged 50 გაყალბებულად განცხადებები,

438
00:29:56,890 --> 00:30:00,370
ამით მათ Android App Store,

439
00:30:00,370 --> 00:30:10,940
და არსებითად გამოიყენება Android jailbreak კოდი ესკალაცია პრივილეგიები

440
00:30:10,940 --> 00:30:16,380
და შემდეგ დააყენოთ ბრძანება და კონტროლი და აქციოს ყველა მსხვერპლი

441
00:30:16,380 --> 00:30:20,690
შევიდა bot net, მაგრამ თქვენ შეიძლება არ გამოვლინდა ამ

442
00:30:20,690 --> 00:30:24,170
თუ თქვენ სკანირების განცხადება და მხოლოდ ეძებს

443
00:30:24,170 --> 00:30:32,230
API მოუწოდებს, რომ საჭიროა root ნებართვა შეასრულოს სწორად.

444
00:30:32,230 --> 00:30:40,150
>> და იქ მაგალითად აქ მაქვს, რომელიც შეცვლის მარიონეტული,

445
00:30:40,150 --> 00:30:46,380
და ეს რეალურად არის მხოლოდ ხელმისაწვდომი Android.

446
00:30:46,380 --> 00:30:49,070
თქვენ ხედავთ, მე გაძლევთ უამრავი მაგალითი on Android

447
00:30:49,070 --> 00:30:53,990
იმიტომ, რომ ეს არის, სადაც ყველაზე აქტიური malware ეკოსისტემა

448
00:30:53,990 --> 00:30:58,690
იმიტომ, რომ ეს მართლაც ადვილია თავდამსხმელი მისაღებად მუქარის კოდი

449
00:30:58,690 --> 00:31:01,470
შევიდა Android ბაზარი.

450
00:31:01,470 --> 00:31:06,480
ეს ასე არ არის ადვილი გასაკეთებელი, რომ Apple App Store

451
00:31:06,480 --> 00:31:10,250
რადგან Apple მოითხოვს დეველოპერები იდენტიფიცირება თავს

452
00:31:10,250 --> 00:31:12,790
და ხელი მოაწეროს კოდი.

453
00:31:12,790 --> 00:31:20,340
ისინი რეალურად შეამოწმოს, ვინ ხარ შენ, და Apple რეალურად აკრიტიკებდა პროგრამა.

454
00:31:20,340 --> 00:31:27,450
ჩვენ ვერ ვხედავთ ბევრი ნამდვილი malware, სადაც მოწყობილობის დღითიდღე დათმობაზე წავიდა.

455
00:31:27,450 --> 00:31:32,250
ვილაპარაკებ რამდენიმე მაგალითი, სადაც ეს მართლაც კონფიდენციალურობის, რომ არც დათმობაზე წავიდა,

456
00:31:32,250 --> 00:31:38,460
და რომ ის, რაც რეალურად ხდება Apple მოწყობილობა.

457
00:31:38,460 --> 00:31:44,090
კიდევ ერთი რამ უნდა ვეძებოთ მუქარის კოდი, სარისკო კოდი მოწყობილობები

458
00:31:44,090 --> 00:31:50,300
არის ლოგიკა ან დრო ბომბები, და დრო ბომბები, ალბათ,

459
00:31:50,300 --> 00:31:53,370
ბევრად უფრო ადვილია უნდა ვეძებოთ, ვიდრე ლოგიკური ბომბები.

460
00:31:53,370 --> 00:31:57,030
მაგრამ დროთა განმავლობაში ბომბები, თუ რა შეგიძლიათ გააკეთოთ თქვენ შეგიძლიათ მოიძიოთ

461
00:31:57,030 --> 00:32:04,760
ადგილები კოდი, სადაც დრო არის გამოცდილი და აბსოლუტური დრო ეძებდნენ

462
00:32:04,760 --> 00:32:08,190
ადრე გარკვეული ფუნქციონალური app ხდება.

463
00:32:08,190 --> 00:32:14,200
და ეს შეიძლება გაკეთდეს იმისათვის, რომ მალავს, რომ საქმიანობის შესახებ,

464
00:32:14,200 --> 00:32:17,510
ასე ხდება, გვიან ღამით.

465
00:32:17,510 --> 00:32:24,350
DroidDream ყველაფერი თავის საქმიანობას შორის 11 საათზე და 8 საათზე ადგილობრივი დრო

466
00:32:24,350 --> 00:32:30,650
ცდილობს გააკეთოს ეს მაშინ, როცა მომხმარებელს შეიძლება არ იყოს გამოყენებით მათი მოწყობილობა.

467
00:32:30,650 --> 00:32:38,680
>> კიდევ ერთი მიზეზი, ამის თუ ადამიანი იყენებს ქცევითი ანალიზი განაცხადი,

468
00:32:38,680 --> 00:32:43,430
გაშვებული ოთახი სავარჯიშოში რა ქცევის პროგრამა,

469
00:32:43,430 --> 00:32:51,090
მათ შეუძლიათ გამოიყენონ დრო დაფუძნებული ლოგიკა გავაკეთოთ საქმიანობა

470
00:32:51,090 --> 00:32:54,640
როდესაც app არ არის სავარჯიშოში.

471
00:32:54,640 --> 00:33:01,520
მაგალითად, app store როგორიცაა Apple

472
00:33:01,520 --> 00:33:07,940
ეშვება პროგრამა, მაგრამ ალბათ არ აწარმოებს ყველა განცხადება, ვთქვათ, 30 დღის განმავლობაში

473
00:33:07,940 --> 00:33:10,550
დამტკიცებამდე, ასე რომ თქვენ შეგიძლიათ განათავსოთ

474
00:33:10,550 --> 00:33:14,120
ლოგიკა, თქვენი განაცხადი, რომ განაცხადა, okay, მხოლოდ ცუდი რამ

475
00:33:14,120 --> 00:33:20,490
30 დღის შემდეგ წავიდა მიერ ან მის შემდეგ 30 დღის განმავლობაში გამოაქვეყნოს თარიღი განაცხადი,

476
00:33:20,490 --> 00:33:27,020
და რომ შეუძლია დაეხმაროს მუქარის კოდი დამალვა ადამიანი შემოწმების მას.

477
00:33:27,020 --> 00:33:30,050
იმ შემთხვევაში, თუ ანტივირუსული კომპანიების გაშვებული რამ sandboxes

478
00:33:30,050 --> 00:33:36,370
ან app მაღაზიები თავად ეს შეიძლება დაეხმაროს

479
00:33:36,370 --> 00:33:39,260
მალავს, რომ რომ შემოწმება.

480
00:33:39,260 --> 00:33:43,020
ახლა, Flip მხარე, რომ ეს ადვილია სტატიკური ანალიზი,

481
00:33:43,020 --> 00:33:46,170
ასე რომ, რეალურად შემოწმების კოდი თქვენ შეგიძლიათ მოიძიოთ ყველა ის ადგილები,

482
00:33:46,170 --> 00:33:54,010
თუ განაცხადის ამოწმებს დრო და შეამოწმოს, რომ გზა.

483
00:33:54,010 --> 00:33:58,850
და აქ მაქვს რამოდენიმე მაგალითი ამ 3 სხვადასხვა პლატფორმების

484
00:33:58,850 --> 00:34:05,640
როგორ დრო შეიძლება შემოწმდება მიერ app maker

485
00:34:05,640 --> 00:34:10,520
ასე რომ თქვენ იცით რა უნდა ვეძებოთ, თუ თქვენ შემოწმების app statically.

486
00:34:10,520 --> 00:34:14,570
>> უბრალოდ გაიარა მთელი bunch სხვადასხვა მუქარის საქმიანობა

487
00:34:14,570 --> 00:34:18,969
რომ ჩვენ ვნახეთ ველური, მაგრამ რაც პირობა არის ყველაზე გავრცელებული?

488
00:34:18,969 --> 00:34:23,940
იმავე სასწავლო North Carolina სახელმწიფო პორტალის გენომი პროექტი

489
00:34:23,940 --> 00:34:28,560
გამოქვეყნებული მონაცემები, და არ იყო, ძირითადად, 4 ტერიტორიებზე

490
00:34:28,560 --> 00:34:32,850
რომ დაინახეს, სადაც არ იყო ბევრი საქმიანობაში.

491
00:34:32,850 --> 00:34:35,370
37% apps გააკეთა პრივილეგია ესკალაცია,

492
00:34:35,370 --> 00:34:38,429
ასე რომ მათ ჰქონდათ გარკვეული ტიპის jailbreak კოდი არსებობს

493
00:34:38,429 --> 00:34:42,070
სადაც ისინი ცდილობდნენ სიტუაციის გამწვავებასა პრივილეგიები ისე, რომ მათ შეეძლოთ

494
00:34:42,070 --> 00:34:48,360
არ API ბრძანებები გაშვებული როგორც ოპერაციული სისტემა.

495
00:34:48,360 --> 00:34:52,520
45% apps out არსებობს გააკეთა პრემია SMS,

496
00:34:52,520 --> 00:34:57,260
ასე რომ დიდი პროცენტი, რომელიც ცდილობს პირდაპირ monetize.

497
00:34:57,260 --> 00:35:02,640
93% გააკეთეს, დისტანციური მართვის, ამიტომ ისინი ცდილობდნენ შეიქმნა bot net, მობილური bot net.

498
00:35:02,640 --> 00:35:08,990
და 45% მოსავალს საიდენტიფიკაციო ინფორმაციის

499
00:35:08,990 --> 00:35:16,230
მოსწონს ტელეფონის ნომერი, UUIDs, GPS ადგილმდებარეობა, მომხმარებლის ანგარიშებზე,

500
00:35:16,230 --> 00:35:22,870
და ეს დასძენს მდე მეტი 100 რადგან malware ცდილობს გააკეთოს რამდენიმე რამ.

501
00:35:22,870 --> 00:35:27,070
>> მე ვაპირებ გადახვიდეთ მეორე ნახევარში და ვისაუბროთ კოდი ხარვეზებს.

502
00:35:27,070 --> 00:35:29,480
ეს არის მეორე ნახევარში სარისკო საქმიანობაში.

503
00:35:29,480 --> 00:35:33,450
ეს არის სადაც არსებითად დეველოპერი მიღების შეცდომები.

504
00:35:33,450 --> 00:35:37,210
ლეგიტიმური დეველოპერი წერილობით ლეგიტიმური app

505
00:35:37,210 --> 00:35:41,830
მიღების შეცდომები ან ignorant რისკების მობილური პლატფორმა.

506
00:35:41,830 --> 00:35:44,780
მათ უბრალოდ არ იციან, თუ როგორ, რათა უსაფრთხო პორტალის app,

507
00:35:44,780 --> 00:35:47,700
ან ზოგჯერ დეველოპერი არ აინტერესებს აყენებს მომხმარებელს რისკის ქვეშ.

508
00:35:47,700 --> 00:35:50,850
ზოგჯერ ნაწილი მათი ბიზნეს მოდელის შეიძლება იყოს

509
00:35:50,850 --> 00:35:54,610
მოსავლის მომხმარებლის პირად ინფორმაციას.

510
00:35:54,610 --> 00:35:58,090
ეს ერთგვარი სხვა კატეგორიაში, და ამიტომ ზოგიერთი ამ მუქარის

511
00:35:58,090 --> 00:36:03,200
წინააღმდეგ ლეგიტიმური იწყება bleed მეტი, რადგან არსებობს აზრთა სხვადასხვაობა

512
00:36:03,200 --> 00:36:10,440
შორის რა მომხმარებელს სურს და რა შესახებ მიაჩნია სარისკო

513
00:36:10,440 --> 00:36:13,050
და რა განაცხადის დეველოპერი მიიჩნევს სარისკო.

514
00:36:13,050 --> 00:36:18,380
რა თქმა უნდა, ეს არ არის განაცხადის დეველოპერი მონაცემები ხშირ შემთხვევაში.

515
00:36:18,380 --> 00:36:22,030
>> და მაშინ საბოლოოდ, სხვა გზა ეს ხდება არის დეველოპერი, შესაძლოა ბმულზე

516
00:36:22,030 --> 00:36:28,600
საერთო ბიბლიოთეკა, რომელსაც აქვს ხარვეზებს ან ამ სარისკო ქცევა მას

517
00:36:28,600 --> 00:36:32,480
unbeknownst მათ.

518
00:36:32,480 --> 00:36:37,060
პირველი კატეგორიის მგრძნობიარე მონაცემები გაჟონვა

519
00:36:37,060 --> 00:36:40,030
და ეს მაშინ, როდესაც app აგროვებს ინფორმაციას

520
00:36:40,030 --> 00:36:44,980
როგორიცაა ადგილმდებარეობა, მისამართი წიგნი ინფორმაციის მფლობელი ინფორმაცია

521
00:36:44,980 --> 00:36:48,000
და აგზავნის, რომ off მოწყობილობა.

522
00:36:48,000 --> 00:36:53,050
და კიდევ ეს off მოწყობილობის, ჩვენ არ ვიცით, რა ხდება ამ ინფორმაციას.

523
00:36:53,050 --> 00:36:57,170
ეს შეიძლება იყოს შენახული insecurely განაცხადის დეველოპერი.

524
00:36:57,170 --> 00:37:02,070
ჩვენ ვნახეთ განაცხადის დეველოპერები მისაღებად კომპრომეტირებული,

525
00:37:02,070 --> 00:37:05,820
და მონაცემები, რომ ისინი შენახვა იღებს მიღებული.

526
00:37:05,820 --> 00:37:10,970
ეს მოხდა რამდენიმე თვის წინ დეველოპერი ქვემოთ Florida

527
00:37:10,970 --> 00:37:21,660
სადაც დიდი რაოდენობით-ის იყო, iPad UUIDs და მოწყობილობა სახელები

528
00:37:21,660 --> 00:37:25,270
იყო გაჟონა იმიტომ, რომ ვიღაცას, მე ვფიქრობ, რომ ეს იყო ანონიმური,

529
00:37:25,270 --> 00:37:29,460
აცხადებდა, რომ ამის გაკეთება, შეიჭრნენ ამ დეველოპერი სერვერები

530
00:37:29,460 --> 00:37:34,920
და მოიპარეს მილიონობით iPad UUIDs

531
00:37:34,920 --> 00:37:37,390
და კომპიუტერული სახელები.

532
00:37:37,390 --> 00:37:40,260
არ არის ყველაზე სარისკო ინფორმაცია,

533
00:37:40,260 --> 00:37:46,820
მაგრამ თუ ეს იყო შენახვა მომხმარებლის სახელები და პაროლები

534
00:37:46,820 --> 00:37:48,170
და მთავარი მისამართები?

535
00:37:48,170 --> 00:37:51,100
არსებობს უამრავი apps, რომ შესანახად, რომ სახის ინფორმაციას.

536
00:37:51,100 --> 00:37:53,230
რისკი არსებობს.

537
00:37:53,230 --> 00:37:56,620
>> სხვა რამ, რაც შეიძლება მოხდეს არის თუ დეველოპერი არ ზრუნავს

538
00:37:56,620 --> 00:38:01,370
შესანარჩუნებლად მონაცემები არხი, და ეს კიდევ ერთი დიდი დაუცველობის მე ვაპირებ ვისაუბრო,

539
00:38:01,370 --> 00:38:05,160
რომ მონაცემები იგზავნება ნათელი.

540
00:38:05,160 --> 00:38:09,040
თუ მომხმარებელს საჯარო Wi-Fi ქსელის

541
00:38:09,040 --> 00:38:12,330
ან ვინმე sniffing ინტერნეტში სადღაც

542
00:38:12,330 --> 00:38:19,260
სვლა რომ მონაცემები მიმდინარეობს დაუცველებს.

543
00:38:19,260 --> 00:38:23,790
ერთი ძალიან ცნობილი საქმე ამ ინფორმაციის გაჟონვა მოხდა Pandora,

544
00:38:23,790 --> 00:38:27,250
და ეს არის რაღაც ჩვენ გამოკვლეული at Veracode.

545
00:38:27,250 --> 00:38:33,200
გავიგეთ, რომ არ იყო, მე ვფიქრობ, რომ ეს იყო ფედერალური სავაჭრო კომისიის

546
00:38:33,200 --> 00:38:35,310
გამოძიება მიმდინარეობს Pandora.

547
00:38:35,310 --> 00:38:39,830
ჩვენ ვთქვით, "რა ხდება იქ? დავიწყოთ თხრა შევიდა Pandora პროგრამა."

548
00:38:39,830 --> 00:38:46,690
და რა ჩვენ გადაწყვეტილი იყო Pandora განაცხადის შეგროვებული

549
00:38:46,690 --> 00:38:51,270
თქვენი სქესი და ასაკი,

550
00:38:51,270 --> 00:38:56,660
და ასევე გამოიყენოთ თქვენი GPS ადგილმდებარეობა და Pandora განცხადება

551
00:38:56,660 --> 00:39:00,200
ეს, რაც მათ განაცხადა, რომ იყო კანონიერი მიზეზების გამო.

552
00:39:00,200 --> 00:39:05,360
მუსიკა, რომ ისინი თამაშობენ-Pandora არის მუსიკა ნაკადი app-

553
00:39:05,360 --> 00:39:07,530
მუსიკა ისინი თამაშობენ მხოლოდ ლიცენზირებული შეერთებული შტატები,

554
00:39:07,530 --> 00:39:13,020
ამიტომ მათ უნდა შეამოწმოს შეესაბამება მათი სალიცენზიო ხელშეკრულებები, რომ მათ

555
00:39:13,020 --> 00:39:17,240
მუსიკალურ რომ მომხმარებელს იყო შეერთებული შტატები.

556
00:39:17,240 --> 00:39:25,070
ისინი ასევე ითხოვდნენ, რომ დაიცვას მშობლის მრჩეველთა

557
00:39:25,070 --> 00:39:33,790
დაახლოებით ზრდასრული ენის მუსიკა,

558
00:39:33,790 --> 00:39:37,500
და ამიტომ ნებაყოფლობითი პროგრამა, მაგრამ უნდოდათ შეესაბამება, რომ

559
00:39:37,500 --> 00:39:43,010
და არ უთამაშია გამოკვეთილ ლექსები ბავშვებისთვის 13 და ქვეშ.

560
00:39:43,010 --> 00:39:46,280
>> ჰქონდათ ლეგიტიმური მიზეზი შეგროვება ამ მონაცემებს.

561
00:39:46,280 --> 00:39:49,160
მათი app ჰქონდა უფლებები უნდა გავაკეთოთ.

562
00:39:49,160 --> 00:39:52,000
მომხმარებლის ეგონა, ეს იყო ლეგიტიმური. მაგრამ რა მოხდა?

563
00:39:52,000 --> 00:39:55,810
ისინი დაკავშირებულია 3 ან 4 სხვადასხვა რეკლამა ბიბლიოთეკები.

564
00:39:55,810 --> 00:39:59,140
ახლა უეცრად ყველა ამ რეკლამის ბიბლიოთეკები

565
00:39:59,140 --> 00:40:02,970
მიღების ხელმისაწვდომობის იგივე ინფორმაციას.

566
00:40:02,970 --> 00:40:05,830
რეკლამა ბიბლიოთეკების, თუ გადავხედავთ კოდი რეკლამა ბიბლიოთეკები

567
00:40:05,830 --> 00:40:08,430
რას აკეთებს ყოველ რეკლამა ბიბლიოთეკის ამბობს

568
00:40:08,430 --> 00:40:11,340
"ნუთუ ჩემი app გაქვთ მიიღოს GPS განთავსების?"

569
00:40:11,340 --> 00:40:14,890
"ოჰ, ეს არ? Okay, მითხრათ GPS ადგილმდებარეობა".

570
00:40:14,890 --> 00:40:16,620
ყოველი რეკლამის ბიბლიოთეკა აკეთებს, რომ,

571
00:40:16,620 --> 00:40:19,740
და თუ app ამჯამად არ აქვს GPS ნებართვა

572
00:40:19,740 --> 00:40:23,460
ეს არ იქნება შეუძლია მიიღოს, მაგრამ თუ ეს ასეა, იგი მიიღებს მას.

573
00:40:23,460 --> 00:40:26,240
ეს არის სადაც ბიზნეს მოდელის რეკლამის ბიბლიოთეკები

574
00:40:26,240 --> 00:40:31,160
ეწინააღმდეგებოდა კონფიდენციალურობის შესახებ.

575
00:40:31,160 --> 00:40:34,980
და იქ უკვე კვლევები არსებობს, რომ არ იტყვის, თუ იცით ასაკი

576
00:40:34,980 --> 00:40:38,430
პირი, და თქვენ იცით, მათი ადგილმდებარეობის

577
00:40:38,430 --> 00:40:42,530
სადაც ისინი ძილის ღამით, რადგან თქვენ მათი GPS კოორდინატები

578
00:40:42,530 --> 00:40:46,030
ხოლო ისინი, შესაძლოა, საძილე, თქვენ იცით ზუსტად ვინ, რომ პირი

579
00:40:46,030 --> 00:40:50,230
რადგან თქვენ შეგიძლიათ განსაზღვრავს, თუ რომელი წევრი რომ ოჯახის რომ პირი.

580
00:40:50,230 --> 00:40:54,780
სინამდვილეში ეს საიდენტიფიკაციო განმცხადებელს

581
00:40:54,780 --> 00:40:59,530
ზუსტად ვინ ხარ შენ, და როგორც ჩანს, ეს იყო ლეგიტიმური.

582
00:40:59,530 --> 00:41:02,800
მე მხოლოდ მინდა, რომ ჩემი ნაკადი მუსიკა, და ეს არის ერთადერთი გზა მიიღოს იგი.

583
00:41:02,800 --> 00:41:05,370
>> ისე, ჩვენ დაუცველებს ეს.

584
00:41:05,370 --> 00:41:08,030
ჩვენ წერდა ამ up რამდენიმე დღიურში შეტყობინება,

585
00:41:08,030 --> 00:41:13,280
და აღმოჩნდა, რომ ვინმე Rolling Stone ჟურნალი

586
00:41:13,280 --> 00:41:18,810
წაიკითხეთ ჩვენი ბლოგის პოსტები და დაწერა საკუთარი დღიურის in Rolling Stone შესახებ,

587
00:41:18,810 --> 00:41:22,120
და მეორე დღეს Pandora, რომ ეს იყო კარგი იდეა

588
00:41:22,120 --> 00:41:27,600
ამოიღონ რეკლამა ბიბლიოთეკების მათი განაცხადი.

589
00:41:27,600 --> 00:41:31,270
რამდენადაც მე ვიცი, ისინი მხოლოდ მათ უნდა შეაქო.

590
00:41:31,270 --> 00:41:35,770
მე ვფიქრობ, რომ ისინი მხოლოდ freemium ტიპის app რომ გააკეთა ეს.

591
00:41:35,770 --> 00:41:38,660
ყველა სხვა freemium apps აქვს იგივე საქციელი,

592
00:41:38,660 --> 00:41:41,780
ასე რომ თქვენ მოხვდით ვიფიქროთ, თუ რა სახის მონაცემები თქვენ აძლევდა

593
00:41:41,780 --> 00:41:48,330
ამ freemium განაცხადების იმიტომ, რომ ეს ყველა აპირებს განმცხადებელს.

594
00:41:48,330 --> 00:41:53,390
პრეტორიანელების ასევე გააკეთა კვლევის შესახებ საერთო ბიბლიოთეკები და განაცხადა,

595
00:41:53,390 --> 00:41:57,100
"მოდით შევხედოთ, თუ რა საერთო ბიბლიოთეკები არის ყველაზე საერთო ბიბლიოთეკები", და ეს იყო მონაცემები.

596
00:41:57,100 --> 00:41:59,420
>> მათ გააანალიზეს 53,000 apps,

597
00:41:59,420 --> 00:42:01,900
და 1 საერთო ბიბლიოთეკა იყო Admob.

598
00:42:01,900 --> 00:42:06,060
ეს იყო, ფაქტობრივად, 38% განაცხადების out არსებობს,

599
00:42:06,060 --> 00:42:08,800
ასე 38% განაცხადების თქვენ იყენებთ

600
00:42:08,800 --> 00:42:11,250
სავარაუდოდ მოსავლის თქვენი პირადი ინფორმაცია

601
00:42:11,250 --> 00:42:16,650
და გაგზავნის მას სარეკლამო ქსელებს.

602
00:42:16,650 --> 00:42:19,350
Apache და Android იყო 8% და 6%,

603
00:42:19,350 --> 00:42:22,960
და მაშინ ეს სხვა პირობა ქვემოთ ბოლოში, Google Ads, Flurry,

604
00:42:22,960 --> 00:42:26,600
მობ ქალაქი და ათასწლიანი მედია,

605
00:42:26,600 --> 00:42:30,500
ეს არის ყველა სარეკლამო კომპანიებს, შემდეგ კი, საინტერესოა,

606
00:42:30,500 --> 00:42:33,500
4% უკავშირდება Facebook ბიბლიოთეკა

607
00:42:33,500 --> 00:42:38,870
ალბათ უნდა გავაკეთოთ ავტორიზაციის მეშვეობით Facebook

608
00:42:38,870 --> 00:42:40,810
ამიტომ app შეიძლება სინამდვილის Facebook.

609
00:42:40,810 --> 00:42:44,660
მაგრამ ეს ასევე ნიშნავს, რომ კორპორაცია Facebook აკონტროლებს კოდი

610
00:42:44,660 --> 00:42:49,010
რომ გაშვებული 4% Android მობილური apps out არსებობს,

611
00:42:49,010 --> 00:42:53,490
და მათ ხელმისაწვდომობას ყველა მონაცემები, რომ app აქვს ნებართვის მისაღებად.

612
00:42:53,490 --> 00:42:57,170
Facebook არსებითად ცდილობს გაყიდოს სარეკლამო სივრცე.

613
00:42:57,170 --> 00:43:00,120
სწორედ მათი ბიზნეს მოდელის.

614
00:43:00,120 --> 00:43:02,920
>> თუ გადავხედავთ ეს მთელი ეკოსისტემის ამ უფლებები

615
00:43:02,920 --> 00:43:07,740
და საერთო ბიბლიოთეკები დაიწყება ვხედავთ, რომ

616
00:43:07,740 --> 00:43:13,850
თქვენ გაქვთ ბევრი რისკის სავარაუდოდ ლეგიტიმური განაცხადი.

617
00:43:13,850 --> 00:43:19,360
ამავე მსგავსი რამ რომ მოხდა Pandora

618
00:43:19,360 --> 00:43:22,340
მოხდა განაცხადის მოუწოდა გზა,

619
00:43:22,340 --> 00:43:27,660
და გზა, რომ ისინი, რომ სასარგებლოა, მეგობრული პროგრამისტებს.

620
00:43:27,660 --> 00:43:32,160
ისინი უბრალოდ ცდილობს მოგცემთ დიდი მომხმარებლის, გამოცდილება,

621
00:43:32,160 --> 00:43:37,810
და აღმოჩნდა, რომ გარეშე რითაც მომხმარებელს ან ვეუბნებოდი შესახებ არაფერი

622
00:43:37,810 --> 00:43:40,400
და ეს მოხდა iPhone და Android,

623
00:43:40,400 --> 00:43:44,420
Pandora app იყო iPhone და Android-

624
00:43:44,420 --> 00:43:48,890
რომ Path განაცხადი grabbing თქვენი მთელი მისამართების წიგნაკი

625
00:43:48,890 --> 00:43:52,830
და ატვირთვა მას Path მხოლოდ მაშინ, როდესაც თქვენ დაყენებული და გაიქცა განაცხადი,

626
00:43:52,830 --> 00:43:55,840
და არ გეტყვით ამის შესახებ.

627
00:43:55,840 --> 00:43:58,750
ისინი ფიქრობდნენ, რომ ეს იყო მართლაც გამოსადეგი თქვენთვის

628
00:43:58,750 --> 00:44:04,040
შეძლებს გაზიარება ყველა ადამიანი თქვენი მისამართი წიგნი

629
00:44:04,040 --> 00:44:06,920
რომ თქვენ იყენებთ Path განაცხადი.

630
00:44:06,920 --> 00:44:09,490
>> ისე, ცხადია, Path, რომ ეს იყო დიდი მათი კომპანია.

631
00:44:09,490 --> 00:44:13,510
არც თუ ისე დიდი მომხმარებელს.

632
00:44:13,510 --> 00:44:19,020
თქვენ უნდა ვიფიქროთ, რომ ეს არის ერთ ერთი რამ, თუ შესაძლოა, მოზარდი

633
00:44:19,020 --> 00:44:23,700
გამოყენებით ამ განაცხადს და მათი ათობით მეგობრები არიან იქ,

634
00:44:23,700 --> 00:44:29,360
მაგრამ რა, თუ ის აღმასრულებელი დირექტორი კომპანია, რომელიც მოყვება Path

635
00:44:29,360 --> 00:44:33,170
და მერე უეცრად მთელი მისამართი წიგნი არის?

636
00:44:33,170 --> 00:44:38,310
თქვენ აპირებს კიდევ ბევრი პოტენციურად ღირებული საკონტაქტო ინფორმაცია

637
00:44:38,310 --> 00:44:40,920
ბევრი ადამიანი.

638
00:44:40,920 --> 00:44:44,500
რეპორტიორის საწყისი New York Times, თქვენ შესაძლოა მიიღოთ ტელეფონის ნომერი

639
00:44:44,500 --> 00:44:47,380
ყოფილი პრეზიდენტები მათი მისამართი წიგნი,

640
00:44:47,380 --> 00:44:54,780
ასე რომ, ცხადია, ბევრი მგრძნობიარე ინფორმაციას იღებს გადაცემული რაღაც მოსწონს ეს.

641
00:44:54,780 --> 00:44:58,090
იყო ასეთი დიდი flap შესახებ, რომ გზა ბოდიში მოუხადა.

642
00:44:58,090 --> 00:45:01,610
მათ შეიცვალეს app, და ეს კი იმოქმედა Apple.

643
00:45:01,610 --> 00:45:06,950
Apple განაცხადა, "ჩვენ ვაპირებთ, რათა აიძულოს app მოვაჭრეებს უბიძგონ მომხმარებლებს

644
00:45:06,950 --> 00:45:12,650
თუ ისინი აპირებენ შეაგროვოს მთელი თავისი მისამართი წიგნი. "

645
00:45:12,650 --> 00:45:15,360
>> ეს ჰგავს, რა ხდება აქ არის

646
00:45:15,360 --> 00:45:19,430
როდესაც არსებობს ერთი დიდი კონფიდენციალურობის დარღვევა და ეს ქმნის პრესისთვის

647
00:45:19,430 --> 00:45:21,680
ჩვენ ვხედავთ ცვლილება არსებობს.

648
00:45:21,680 --> 00:45:23,230
მაგრამ, რა თქმა უნდა, არსებობს სხვა რამ არსებობს.

649
00:45:23,230 --> 00:45:27,440
LinkedIn განაცხადის მოსავლის თქვენი კალენდარული entries,

650
00:45:27,440 --> 00:45:34,530
მაგრამ Apple არ მიიღოს მომხმარებელს მოთხოვნილია შესახებ.

651
00:45:34,530 --> 00:45:38,030
კალენდარი entries შეიძლება ჰქონდეს გასაცვლელად მათ ძალიან.

652
00:45:38,030 --> 00:45:40,000
სად მიდიხარ გაავლო ზღვარი?

653
00:45:40,000 --> 00:45:43,960
ეს მართლაც სახის ვითარდება ადგილი

654
00:45:43,960 --> 00:45:47,640
იქ, სადაც ნამდვილად არ არის კარგი სტანდარტი არსებობს

655
00:45:47,640 --> 00:45:51,990
მომხმარებლებს, რომ გავიგოთ, როდესაც მათი ინფორმაცია იქნება რისკის

656
00:45:51,990 --> 00:45:57,820
და როდესაც ისინი აპირებენ ვიცი, რომ მიმდინარეობს გადაიყვანეს.

657
00:45:57,820 --> 00:46:03,040
ჩვენ წერდა app at Veracode მოუწოდა Adios,

658
00:46:03,040 --> 00:46:08,350
და არსებითად ეს საშუალებას გაძლევთ აღვნიშნო app თქვენს iTunes დირექტორია

659
00:46:08,350 --> 00:46:12,550
და შევხედოთ ყველა განაცხადი, რომ მოსავლის თქვენი სრული მისამართი წიგნი.

660
00:46:12,550 --> 00:46:19,760
და როგორც ხედავთ ამ სიაში აქ, Angry Birds,

661
00:46:19,760 --> 00:46:21,590
AIM, AroundMe.

662
00:46:21,590 --> 00:46:24,050
რატომ Angry Birds გვჭირდება თქვენი მისამართი წიგნი?

663
00:46:24,050 --> 00:46:29,160
მე არ ვიცი, მაგრამ ეს იმას რატომღაც.

664
00:46:29,160 --> 00:46:32,310
>> ეს არის ის, რომ ბევრი, ბევრი განაცხადების გაკეთება.

665
00:46:32,310 --> 00:46:34,780
შეგიძლიათ შეამოწმოს კოდი ეს.

666
00:46:34,780 --> 00:46:38,660
არსებობს კარგად ჩამოყალიბებული APIs for iPhone, Android და BlackBerry

667
00:46:38,660 --> 00:46:42,120
მიიღოს მისამართი წიგნი.

668
00:46:42,120 --> 00:46:48,520
თქვენ ნამდვილად ადვილად შეამოწმოს ამ, და ეს არის ის, რაც ჩვენ გავაკეთეთ ჩვენი Adios განაცხადი.

669
00:46:48,520 --> 00:46:52,320
მომდევნო კატეგორიაში სახიფათო მგრძნობიარე მონაცემთა შენახვის,

670
00:46:52,320 --> 00:46:55,670
არის რაღაც სადაც დეველოპერები მიიღოს რაღაც pin ან ანგარიშის ნომერი

671
00:46:55,670 --> 00:46:58,530
ან პაროლი და ჩაწეროთ იგი ნათელი მოწყობილობა.

672
00:46:58,530 --> 00:47:02,310
უფრო მეტიც, მათ შეიძლება ჩაწეროთ იგი ტერიტორია ტელეფონი

673
00:47:02,310 --> 00:47:06,820
რომელიც გლობალურად ხელმისაწვდომი, ისევე როგორც SD card.

674
00:47:06,820 --> 00:47:11,320
ხედავთ ამ უფრო ხშირად Android, რადგან Android საშუალებას SD card.

675
00:47:11,320 --> 00:47:13,200
IPhone მოწყობილობა არა.

676
00:47:13,200 --> 00:47:17,900
მაგრამ ჩვენ კი დაინახა ეს მოხდეს სითიგრუპის განაცხადი.

677
00:47:17,900 --> 00:47:25,450
მათი ელექტრონული საბანკო განაცხადის ინახება ანგარიშის ნომერი insecurely,

678
00:47:25,450 --> 00:47:28,120
მხოლოდ ნათელია, ასე რომ, თუ თქვენ დაკარგეთ თქვენი მოწყობილობა,

679
00:47:28,120 --> 00:47:30,670
არსებითად თქვენ დაკარგეთ საბანკო ანგარიშზე.

680
00:47:30,670 --> 00:47:36,000
სწორედ ამიტომ მე პირადად არ გააკეთებს საბანკო ჩემს iPhone.

681
00:47:36,000 --> 00:47:43,710
მე ვფიქრობ, რომ ძალიან სარისკო ახლა უნდა გააკეთოს ამ სახის საქმიანობას.

682
00:47:43,710 --> 00:47:45,950
>> Skype გააკეთა იგივე.

683
00:47:45,950 --> 00:47:49,870
Skype, რა თქმა უნდა, აქვს ბალანსი, მომხმარებლის სახელი და პაროლი

684
00:47:49,870 --> 00:47:51,030
რომ შედიხართ, რომ ბალანსი.

685
00:47:51,030 --> 00:48:00,080
ისინი შენახვის, რომ ყველა ინფორმაციის ნათელი მობილური მოწყობილობა.

686
00:48:00,080 --> 00:48:05,760
მაქვს რამოდენიმე მაგალითი აქ შექმნაში ფაილი

687
00:48:05,760 --> 00:48:10,310
რომ არ აქვს უფლება ნებართვა ან წერილობით დისკი

688
00:48:10,310 --> 00:48:17,260
და არა რაიმე კოდირების მოხდეს, რომ.

689
00:48:17,260 --> 00:48:20,190
ამ მომდევნო ტერიტორია, სახიფათო მგრძნობიარე მონაცემთა გადაცემა,

690
00:48:20,190 --> 00:48:24,450
მე გააკეთა მინიშნება ამ რამდენჯერმე, და რადგან საჯარო Wi-Fi

691
00:48:24,450 --> 00:48:27,770
ეს არის ის, რომ apps აბსოლუტურად უნდა გავაკეთოთ,

692
00:48:27,770 --> 00:48:31,250
და ეს, ალბათ, რასაც ჩვენ ვხედავთ არასწორი საუკეთესო.

693
00:48:31,250 --> 00:48:34,920
მე ვიტყოდი-სინამდვილეში, ვფიქრობ მაქვს ფაქტობრივი მონაცემები,

694
00:48:34,920 --> 00:48:38,120
მაგრამ ახლოს ნახევარ მობილური პროგრამები

695
00:48:38,120 --> 00:48:41,780
ხრახნიანი up აკეთებს SSL.

696
00:48:41,780 --> 00:48:43,910
მათ უბრალოდ არ გამოიყენოს APIs სწორად.

697
00:48:43,910 --> 00:48:47,970
ვგულისხმობ, თქვენ მოხვდით გავაკეთოთ არის მითითებებს და გამოიყენოთ APIs,

698
00:48:47,970 --> 00:48:54,720
მაგრამ ისინი რამ, როგორიცაა, არ ამოწმებენ, არის თუ არა არასწორი სერთიფიკატით ჩაეგდო,

699
00:48:54,720 --> 00:49:02,120
არ შეამოწმოთ, თუ ჩაეგდო ცდილობს ოქმს downgrade თავდასხმა.

700
00:49:02,120 --> 00:49:07,200
>> დეველოპერები, მათ სურთ მიიღონ მათი ჩამრთველი, არა?

701
00:49:07,200 --> 00:49:11,910
მათი მოთხოვნა არის გამოიყენოს ამ გაყიდოს. ისინი გამოიყენება ამ გაყიდოს.

702
00:49:11,910 --> 00:49:14,800
მოთხოვნა არ არის, გამოიყენოს ეს გაყიდოს უსაფრთხოდ,

703
00:49:14,800 --> 00:49:19,680
და ა.შ. ამიტომ ყველა პროგრამა რომ გამოიყენოთ SSL შესანარჩუნებლად მონაცემები

704
00:49:19,680 --> 00:49:23,470
როგორც ეს მიმდინარეობს გადამდები off მოწყობილობის ნამდვილად უნდა შემოწმდეს

705
00:49:23,470 --> 00:49:28,950
დარწმუნდით, რომ განხორციელდა სწორად.

706
00:49:28,950 --> 00:49:32,850
და აქ მაქვს რამდენიმე მაგალითი, სადაც შეგიძლიათ ნახოთ განაცხადის

707
00:49:32,850 --> 00:49:37,400
შეიძლება გამოყენებით HTTP ნაცვლად HTTPS.

708
00:49:37,400 --> 00:49:40,510
ზოგიერთ შემთხვევაში apps დაეცემა თავში HTTP

709
00:49:40,510 --> 00:49:44,250
თუ HTTPS არ მუშაობს.

710
00:49:44,250 --> 00:49:49,070
მაქვს კიდევ ერთი ზარი აქ Android სადაც ისინი გამორთულია მოწმობის შემოწმება,

711
00:49:49,070 --> 00:49:51,700
ასე რომ, კაცი-in-the-შუა თავდასხმა შეიძლება მოხდეს.

712
00:49:51,700 --> 00:49:56,370
ბათილად ცნობა არ მიიღება.

713
00:49:56,370 --> 00:50:01,920
ეს არის ყველა შემთხვევაში, როდესაც თავდამსხმელებმა იქნება შეუძლია მიიღოს

714
00:50:01,920 --> 00:50:07,150
იგივე Wi-Fi კავშირი, როგორც მომხმარებელს და ხელმისაწვდომობის ყველა მონაცემები

715
00:50:07,150 --> 00:50:11,650
რომ იგზავნება ინტერნეტში.

716
00:50:11,650 --> 00:50:15,970
>> და ბოლოს, უკანასკნელი კატეგორიაში მაქვს აქ არის hardcoded დაგავიწყდათ და გასაღებები.

717
00:50:15,970 --> 00:50:21,470
ჩვენ რეალურად ვხედავთ ბევრი დეველოპერები გამოიყენოთ იგივე კოდირების სტილი

718
00:50:21,470 --> 00:50:25,900
რომ მათ, როდესაც ისინი აშენებენ სერვერზე პროგრამები,

719
00:50:25,900 --> 00:50:29,700
ასე რომ, ისინი აშენებენ Java სერვერის პროგრამა და ისინი hardcoding გასაღები.

720
00:50:29,700 --> 00:50:31,940
ისე, როდესაც თქვენ მშენებლობის სერვერზე განაცხადი, yeah,

721
00:50:31,940 --> 00:50:34,240
hardcoding გასაღები არ არის კარგი იდეა.

722
00:50:34,240 --> 00:50:36,290
ის ართულებს, რომ შეიცვალოს.

723
00:50:36,290 --> 00:50:40,700
მაგრამ ეს ასე არ არის ცუდი სერვერის მხარეს, რადგან, რომელსაც აქვს წვდომა სერვერის მხარეს?

724
00:50:40,700 --> 00:50:43,140
მხოლოდ ადმინისტრატორები.

725
00:50:43,140 --> 00:50:48,100
მაგრამ თუ თქვენ მიიღოს იგივე კოდი და დაასხა გადასცა მობილური განაცხადი

726
00:50:48,100 --> 00:50:52,550
ახლა ყველას, ვისაც აქვს, რომ მობილური განაცხადის ხელი მიუწვდება, რომ hardcoded გასაღები,

727
00:50:52,550 --> 00:50:56,380
და ჩვენ, ფაქტობრივად, რომ ეს ბევრი ჯერ, და მაქვს ზოგიერთი სტატისტიკა

728
00:50:56,380 --> 00:51:00,920
რამდენად ხშირად ვხედავთ, ეს მოხდება.

729
00:51:00,920 --> 00:51:04,940
ის რეალურად იყო, მაგალითად კოდი, რომელიც MasterCard გამოქვეყნებული

730
00:51:04,940 --> 00:51:06,850
თუ როგორ გამოიყენოთ მათი მომსახურება.

731
00:51:06,850 --> 00:51:11,860
მაგალითად კოდი გვიჩვენა, თუ როგორ თქვენ უბრალოდ მიიღოს დაგავიწყდათ

732
00:51:11,860 --> 00:51:14,850
და დააყენოს ის hardcoded string უფლება არსებობს,

733
00:51:14,850 --> 00:51:19,380
და ჩვენ ვიცით, როგორ დეველოპერები მიყვარს დააკოპირეთ და ჩასვით კოდი snippets

734
00:51:19,380 --> 00:51:22,360
როდესაც ისინი ცდილობენ რაღაც, ასე რომ თქვენ დააკოპირეთ და ჩასვით კოდი snippet

735
00:51:22,360 --> 00:51:28,450
რომ მათ მაგალითს კოდი და თქვენ უნდა არასაიმედო პროგრამა.

736
00:51:28,450 --> 00:51:31,490
>> და აქ ჩვენ გვაქვს რამდენიმე მაგალითი.

737
00:51:31,490 --> 00:51:35,840
ეს პირველი არის ერთ ერთი ჩვენ ვხედავთ ბევრი სადაც ისინი hardcode

738
00:51:35,840 --> 00:51:40,510
მონაცემთა მარჯვენა URL, რომელიც იღებს გაიგზავნა.

739
00:51:40,510 --> 00:51:45,120
ზოგჯერ ჩვენ ვხედავთ string დაგავიწყდათ = დაგავიწყდათ.

740
00:51:45,120 --> 00:51:49,060
ეს საკმაოდ ადვილი შესამჩნევია, ან სიმებიანი პაროლის BlackBerry და Android.

741
00:51:49,060 --> 00:51:53,680
ეს რეალურად საკმაოდ მარტივია, რათა შეამოწმოს, რადგან თითქმის ყოველთვის

742
00:51:53,680 --> 00:51:57,030
დეველოპერი სახელები ცვლადი რომელიც მართავს დაგავიწყდათ

743
00:51:57,030 --> 00:52:02,290
ზოგიერთი ვარიაცია პაროლი.

744
00:52:02,290 --> 00:52:05,200
აღვნიშნე, რომ ჩვენ სტატიკური ანალიზი Veracode,

745
00:52:05,200 --> 00:52:11,790
ასე რომ ჩვენ გაანალიზებული რამდენიმე ასეული Android და iOS პროგრამა.

746
00:52:11,790 --> 00:52:15,160
ჩვენ ავაშენეთ სრულ მოდელები მათ, და ჩვენ შეუძლია სკანირების მათ

747
00:52:15,160 --> 00:52:19,280
სხვადასხვა ხარვეზებს, განსაკუთრებით მოწყვლადი მე ვსაუბრობთ,

748
00:52:19,280 --> 00:52:21,050
და მაქვს გარკვეული მონაცემები აქ.

749
00:52:21,050 --> 00:52:24,320
68.5% of Android apps ჩვენ შევხედე

750
00:52:24,320 --> 00:52:28,590
ჰქონდა გატეხილი კრიპტოგრაფიული კოდი

751
00:52:28,590 --> 00:52:33,240
რომელიც ჩვენთვის, ჩვენ ვერ აღმოაჩინოს, თუ თქვენ გააკეთა თქვენი crypto რუტინული,

752
00:52:33,240 --> 00:52:38,980
არა, რომ კარგი იდეა, მაგრამ ეს რეალურად გამოყენებით გამოქვეყნებული APIs

753
00:52:38,980 --> 00:52:42,530
რომ არის პლატფორმა, მაგრამ აკეთებს ისე,

754
00:52:42,530 --> 00:52:46,680
რომ შიფრის იქნებოდა დაუცველი, 68.5.

755
00:52:46,680 --> 00:52:49,870
და ეს არის ხალხი, რომელიც გაგზავნის us მათი განცხადებები, ფაქტობრივად, იმის გამო, რომ

756
00:52:49,870 --> 00:52:53,730
მათი აზრით, ეს არის კარგი იდეა უნდა გავაკეთოთ უსაფრთხოების ტესტირება.

757
00:52:53,730 --> 00:52:56,960
ეს არის უკვე ადამიანი, რომელიც ალბათ ფიქრობს, უსაფრთხოდ,

758
00:52:56,960 --> 00:52:59,540
ასე რომ, ალბათ, კიდევ უარესი.

759
00:52:59,540 --> 00:53:02,690
>> მე არ საუბრობენ საკონტროლო ხაზი feed საინექციო.

760
00:53:02,690 --> 00:53:07,640
ეს რაღაც ჩვენ შევამოწმოთ, მაგრამ ეს არ ნიშნავს, რომ სარისკო საკითხი.

761
00:53:07,640 --> 00:53:15,390
ინფორმაციის გაჟონვა, ეს არის სადაც მნიშვნელოვანი მონაცემები იგზავნება off მოწყობილობა.

762
00:53:15,390 --> 00:53:19,270
აღმოჩნდა, რომ 40% პროგრამები.

763
00:53:19,270 --> 00:53:23,540
დრო და სახელმწიფოს, იმ რასის მდგომარეობა ტიპის საკითხები, როგორც წესი, საკმაოდ რთული გამოყენებისათვის,

764
00:53:23,540 --> 00:53:26,170
ასე რომ მე არ საუბრობენ, მაგრამ ჩვენ შევხედე მას.

765
00:53:26,170 --> 00:53:28,750
23% ჰქონდა SQL ინექცია საკითხები.

766
00:53:28,750 --> 00:53:32,020
ბევრი ადამიანი არ ვიცი, რომ ბევრი განცხადება

767
00:53:32,020 --> 00:53:35,880
გამოყენება პატარა პატარა SQL მონაცემთა ბაზაში მათი უკან ბოლომდე მონაცემების შესანახად.

768
00:53:35,880 --> 00:53:40,430
ისე, თუ მონაცემები, რომ თქვენ grabbing მეტი ქსელის

769
00:53:40,430 --> 00:53:43,800
აქვს SQL ინექცია თავდასხმა strings ის

770
00:53:43,800 --> 00:53:45,970
ვინმეს შეუძლია კომპრომისზე მოწყობილობის მეშვეობით, რომ

771
00:53:45,970 --> 00:53:49,800
და მე ვფიქრობ, რომ ჩვენ დაახლოებით 40% ვებ პროგრამა აქვს ეს პრობლემა,

772
00:53:49,800 --> 00:53:52,840
რომელიც უზარმაზარი ეპიდემიის პრობლემა.

773
00:53:52,840 --> 00:53:55,740
მიგვაჩნია, რომ ეს 23% დროის მობილური apps

774
00:53:55,740 --> 00:54:02,030
და ეს ალბათ იმიტომ, რომ კიდევ ბევრი ვებ პროგრამა გამოიყენოთ SQL ვიდრე მობილური.

775
00:54:02,030 --> 00:54:05,580
>> და შემდეგ ჩვენ ვხედავთ ზოგიერთი ჯვარი ადგილზე სკრიპტირების, უფლებამოსილების საკითხები,

776
00:54:05,580 --> 00:54:09,400
და შემდეგ დიპლომი მართვის, რომ სადაც თქვენ გაქვთ თქვენი hardcoded პაროლი.

777
00:54:09,400 --> 00:54:14,540
5% განაცხადების ჩვენ ვხედავთ, რომ.

778
00:54:14,540 --> 00:54:17,970
და მაშინ ჩვენ გვაქვს გარკვეული მონაცემები iOS.

779
00:54:17,970 --> 00:54:20,180
81% ჰქონდა შეცდომის გამოტანას საკითხები.

780
00:54:20,180 --> 00:54:23,130
ეს არის უფრო კოდი ხარისხის პრობლემა,

781
00:54:23,130 --> 00:54:28,010
მაგრამ 67% ჰქონდა კრიპტოგრაფიული საკითხები, ისე არ არის, როგორც ცუდი, როგორც Android.

782
00:54:28,010 --> 00:54:32,440
იქნებ APIs ცოტა უფრო ადვილია, მაგალითად კოდები ცოტა უკეთესი on iOS.

783
00:54:32,440 --> 00:54:35,420
მაგრამ მაინც ძალიან მაღალი პროცენტი.

784
00:54:35,420 --> 00:54:39,040
ჩვენ გვქონდა 54% ინფორმაციის გაჟონვა

785
00:54:39,040 --> 00:54:42,080
დაახლოებით 30% ბუფერულ მართვის შეცდომები.

786
00:54:42,080 --> 00:54:45,930
ეს არის ის ადგილები, სადაც შესაძლოა იყოს მეხსიერების კორუფციის საკითხი.

787
00:54:45,930 --> 00:54:50,350
აღმოჩნდება, რომ ეს ასე არ არის, როგორც დიდი პრობლემა ექსპლუატაციის

788
00:54:50,350 --> 00:54:56,450
on iOS რადგან ყველა კოდი უნდა იყოს ხელმოწერილი,

789
00:54:56,450 --> 00:55:02,210
ასე ძნელია შემტევს სიკვდილი თვითნებური კოდი on iOS.

790
00:55:02,210 --> 00:55:07,880
Code ხარისხი, დირექტორია გასვლის, მაგრამ შემდეგ რწმუნებათა სიგელების გადაცემის მართვის აქ 14,6%,

791
00:55:07,880 --> 00:55:09,250
ასე რომ უარესი, ვიდრე Android.

792
00:55:09,250 --> 00:55:13,240
ჩვენ ხალხს არ გატარება პაროლები სწორად.

793
00:55:13,240 --> 00:55:15,790
და შემდეგ რიცხვითი შეცდომები და ბუფერული overflow,

794
00:55:15,790 --> 00:55:22,680
იმ უფრო იქნება კოდი quality საკითხები iOS.

795
00:55:22,680 --> 00:55:26,110
>> სწორედ ეს ჩემი პრეზენტაცია. მე არ ვიცი, თუ ჩვენ გარეთ დრო თუ არა.

796
00:55:26,110 --> 00:55:29,540
მე არ ვიცი, თუ არსებობს რაიმე შეკითხვებს.

797
00:55:29,540 --> 00:55:33,220
[კაცი] სწრაფი კითხვა გარშემო ფრაგმენტაცია და Android ბაზარზე.

798
00:55:33,220 --> 00:55:36,240
Apple მაინც ფლობს ბებკი.

799
00:55:36,240 --> 00:55:40,780
ისინი აკეთებენ კარგ საქმეს მიღების out არსებობს, ხოლო ნაკლებად ასე Android სივრცეში.

800
00:55:40,780 --> 00:55:44,280
თქვენ თითქმის უნდა jailbreak თქვენი ტელეფონი დარჩენა მიმდინარე

801
00:55:44,280 --> 00:55:46,660
მიმდინარე გათავისუფლებას Android.

802
00:55:46,660 --> 00:55:50,960
ჰო, დიდი პრობლემა და ასე თუ ფიქრობთ-

803
00:55:50,960 --> 00:55:52,280
[კაცი] რატომ ვერ ვიმეორებ ეს?

804
00:55:52,280 --> 00:55:55,610
>> Oh, უფლება, ასე რომ კითხვა იყო, რაც შეეხება ფრაგმენტაცია

805
00:55:55,610 --> 00:56:00,410
ოპერაციული სისტემის Android პლატფორმა?

806
00:56:00,410 --> 00:56:05,890
როგორ ამჯამად რომ გავლენა მოახდინოს riskiness იმ მოწყობილობა?

807
00:56:05,890 --> 00:56:09,700
და ის რეალურად არის დიდი პრობლემა, რადგან რა ხდება

808
00:56:09,700 --> 00:56:15,110
ძველი მოწყობილობები, როცა ვინმე მოდის ერთად jailbreak, რომ მოწყობილობა,

809
00:56:15,110 --> 00:56:19,960
არსებითად ეს პრივილეგია ესკალაცია, და სანამ, რომ ოპერაციული სისტემის განახლება

810
00:56:19,960 --> 00:56:25,350
ნებისმიერი malware შეგიძლიათ შემდეგ გამოიყენოთ, რომ დაუცველობის სრულიად კომპრომისზე მოწყობილობა,

811
00:56:25,350 --> 00:56:30,200
და რა ჩვენ ვხედავთ, რომ Android არის იმისათვის, რომ ახალი ოპერაციული სისტემა

812
00:56:30,200 --> 00:56:34,690
Google აქვს დააყენოს out ოპერაციული სისტემა, შემდეგ კი ტექნიკის მწარმოებელი

813
00:56:34,690 --> 00:56:39,390
აქვს სახის, და შემდეგ გადამზიდავი აქვს სახის და გამოაქვეყნებს იგი.

814
00:56:39,390 --> 00:56:43,070
თქვენ ძირითადად 3 მოძრავი ნაწილები აქ,

815
00:56:43,070 --> 00:56:47,210
და ის გარდამტეხი, რომ მატარებლები არ მაინტერესებს,

816
00:56:47,210 --> 00:56:50,400
და ტექნიკის მწარმოებლები არ მაინტერესებს, და Google არ არის prodding მათ საკმარისი

817
00:56:50,400 --> 00:56:54,430
არაფერი, ისე არსებითად ნახევარზე მეტი მოწყობილობა არსებობს

818
00:56:54,430 --> 00:57:00,590
აქვს ოპერაციული სისტემები რომ აქვს ეს პრივილეგია ესკალაცია ხარვეზებს მათ,

819
00:57:00,590 --> 00:57:08,440
და ა.შ. თუ თქვენ გაქვთ malware თქვენი Android მოწყობილობა გაცილებით მეტი პრობლემა.

820
00:57:08,440 --> 00:57:10,350
>> Okay, დიდი მადლობა.

821
00:57:10,350 --> 00:57:12,310
[ტაში]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]