[სემინარი] [იცავდა უკან მოწყობილობა: მობილური განაცხადის Security]
 [Chris Wysopal] [ჰარვარდის უნივერსიტეტის]
 [ეს არის CS50.] [CS50.TV]
 

მოგესალმებით. ჩემი სახელი არის კრის Wysopal.
 მე CTO და თანადამფუძნებელი Veracode.
 Veracode არის პროგრამა, უსაფრთხოების კომპანია.
 ჩვენ ვამოწმებთ ყველა სახის სხვადასხვა პროგრამები,
 და რა მე ვაპირებ ვისაუბრო დღეს არის პორტალის განაცხადის უსაფრთხოებას.
 ჩემი ფონზე მე უკვე აკეთებს უსაფრთხოების კვლევა
 ძალიან დიდი ხანია, ალბათ დაახლოებით რადგან არავის.
 დავიწყე შუა 90,
 და ეს იყო დრო, რომ იყო საკმაოდ საინტერესო, რადგან
 ჩვენ გვქონდა პარადიგმის ცვლილება შუა 90.
 უეცრად ყველას კომპიუტერი hooked მდე ინტერნეტში,
 და მაშინ ჩვენ გვქონდა დასაწყისი ვებ პროგრამები,
 და რომ ის, რაც მე ფოკუსირებული ბევრი შემდეგ.
 საინტერესოა.
 ახლა ჩვენ გვაქვს ერთი პარადიგმის ცვლილება ხდება კომპიუტერული,
 რომელიც გადასვლას მობილური პროგრამები.
 

ვგრძნობ, რომ ეს ერთგვარი მსგავსი დრო მაშინ ეს იყო გვიან 90
 როდესაც ჩვენ იძიებს ვებ განაცხადების და მოძიებაში დეფექტების როგორიცაა
 სხდომაზე მართვის შეცდომები და SQL ინექცია
 რომელიც რეალურად არ არსებობდა ადრე, და უეცრად ისინი ყველგან
 ვებ პროგრამები, და ახლა ბევრი დრო ვატარებ
 ეძებს პორტალის განაცხადების და ეძებს, თუ რა ხდება იქ გარეული.
 პორტალის განაცხადების ნამდვილად იქნება დომინანტური კომპიუტერული პლატფორმა,
 ასე რომ, ჩვენ ნამდვილად უნდა გაატაროთ ბევრი დრო თუ თქვენ უსაფრთხოების ინდუსტრიაში
 აქცენტი ვებ პროგრამა.
 იყო 29 მილიარდი მობილური apps downloaded 2011 წელს.
 ის წინასწარმეტყველებს, რომ იყოს 76 მილიარდი apps მიერ 2014.
 იქ 686 მილიონი მოწყობილობების, რომ ვაპირებთ იყოს შეძენილი წელს,
 ასე რომ ეს არის, სადაც ხალხი იქნება აკეთებს
  უმრავლესობა მათი კლიენტის კომპიუტერული მიდის.
 

მე საუბარი ვიცე პრეზიდენტი Fidelity Investments
 რამდენიმე თვის წინ, მან განაცხადა, რომ ისინი უბრალოდ ვნახე უფრო საგზაო
 აკეთებს ფინანსური ოპერაციების მათი სამომხმარებლო ბაზა
 მათი მობილური განაცხადის ვიდრე მათი ნახვა,
 ასე რომ საერთო სარგებლობის ვებ წარსულში უკვე
 შემოწმების თქვენი საფონდო ბრჭყალებში, მართვის თქვენი პორტფელის,
 და ჩვენ რეალურად ვხედავთ, რომ 2012 წელს switch მეტი
 უნდა იყოს უფრო დომინანტური მობილური პლატფორმა.
 რა თქმა უნდა, თუ არ იქნება რაიმე დანაშაულებრივი საქმიანობის,
 ნებისმიერი მუქარის საქმიანობაში, ის აპირებს დაიწყოს იყოს ფოკუსირებული მობილური პლატფორმა
 დროთა განმავლობაში, როგორც ადამიანი გადართოთ მეტი რომ.
 თუ გადავხედავთ მობილური პლატფორმა,
 შევხედოთ რისკების პლატფორმა ეს სასარგებლოა შესვენება მას შევიდა სხვადასხვა ფენებს,
 ისევე, როგორც თქვენ, რომ ამის შესახებ კომპიუტერი,
 და ფიქრობთ სხვადასხვა ფენებს, პროგრამული უზრუნველყოფა, ოპერაციული სისტემა,
 ქსელის ფენა, ტექნიკა ფენა, და რა თქმა უნდა, არსებობს ხარვეზებს ყველა იმ ფენებს.
 

იგივე ხდება mobile.
 მაგრამ მობილურ ჩანს, რომ ზოგიერთი იმ ფენების უარესი off.
 ერთი, ქსელის ფენა უფრო პრობლემურია მობილური
 იმის გამო, რომ ბევრი ადამიანი, მათ ოფისში ან სახლში
 სახაზო კავშირები ან მათ უსაფრთხო Wi-Fi კავშირები,
 და ბევრი მობილური მოწყობილობებისთვის თქვენ აშკარად გარეთ მთავარი
 ან გარეთ ოფისის ბევრი, და თუ თქვენ იყენებთ Wi-Fi არის
 თქვენ შეიძლება გამოყენებით დაუცველი Wi-Fi კავშირი,
 რაღაც რომ საჯარო Wi-Fi კავშირი,
 ასე რომ, როდესაც ჩვენ ვიფიქროთ მობილური apps ჩვენ უნდა გაითვალისწინოს
 რომ ქსელის გარემოს riskier იმ პროგრამები
 როდესაც Wi-Fi გამოიყენება.
 და როცა შეღწევას მეტი მობილური განაცხადის რისკები
 თქვენ ნახავთ, თუ რატომ არის უფრო მნიშვნელოვანი.
 არსებობს რისკების at ტექნიკის დონეს მობილური მოწყობილობებისთვის.
 ეს არის ადგილი, მიმდინარე კვლევა.
 ხალხი მოვუწოდებთ ამ ფართოზოლოვანი თავდასხმები ან baseband შეტევა
 სადაც თქვენ თავს firmware რომ მოსმენის რადიო.
 

ეს არის მართლაც საშინელი შეტევები გამო
 მომხმარებელს არ აქვს არაფერს.
 თქვენ შეგიძლიათ მოხვდა უამრავი მოწყობილობები ფარგლებში RF სპექტრი
 ერთდროულად, და როგორც ჩანს, როდესაც ამ კვლევის bubbles up
 ის სწრაფად იღებს კლასიფიცირდება, სადაც
 ადამიანები swoop გარშემო და აცხადებენ, რომ "აქ, მოგვითხრობს, რომ, და გთხოვთ შეაჩეროთ საუბარი ამის შესახებ."
 არსებობს რამდენიმე კვლევა მიმდინარეობს ფართოზოლოვანი ტერიტორია,
 მაგრამ, როგორც ჩანს, ძალიან hush hush.
 ვფიქრობ, ეს უფრო სახელმწიფოს ტიპის კვლევა, რომელიც ხდება.
 ფართობი აქტიური კვლევა, თუმცა, არის ოპერაციული სისტემა ფენა,
 და ისევ, ეს არის სხვადასხვა, ვიდრე desktop კომპიუტერული სამყაროს
 იმიტომ, რომ მობილურ სივრცეში თქვენ გაქვთ ეს გუნდები ხალხმა Jailbreakers,
 და Jailbreakers განსხვავებულია, ვიდრე რეგულარული დაუცველობის მკვლევარები.
 ისინი ცდილობენ გაარკვიონ ხარვეზებს ოპერაციული სისტემა,
 მაგრამ მიზეზი, რომ ისინი ცდილობენ გაარკვიონ ხარვეზებს არ არის
 შესვენება შევიდა სხვისი მანქანა და კომპრომისზე იგი.
 ეს შესვენება შევიდა საკუთარი კომპიუტერი.
 

უნდათ შესვენება შევიდა საკუთარი მობილური, შეცვალოს საკუთარი მობილური საოპერაციო სისტემა
 ასე რომ შეიძლება აწარმოებს განაცხადების მათი არჩევანია
 და შეცვალოს რამ სრულ ადმინისტრაციულ უფლებები,
 და ისინი არ მინდა ვუთხრა გამყიდველი შესახებ. ისინი არ მომწონს უსაფრთხოების მკვლევარი, რომელიც არის თეთრი ქუდი უსაფრთხოების მკვლევარი
 რომელიც აპირებს პასუხისმგებელი გამჟღავნება და ვუთხრა გამყიდველი შესახებ.
 მათ სურთ ეს კვლევა, და მათ სურთ, რომ რეალურად აქვეყნებს
 in გამოყენებისათვის ან rootkit ან jailbreak კოდი
 და მათ სურთ ამის გაკეთება სტრატეგიულად, როგორც მარჯვენა ფლანგზე
 გამყიდველი გემების ახალი ოპერაციული სისტემა.
 თქვენ ეს შეჯიბრებითობის ურთიერთობისათვის
 ერთად OS დონის ხარვეზებს on mobile,
 რაც, ჩემი აზრით საკმაოდ საინტერესო და ერთ ადგილას ჩვენ ვხედავთ,
 არის ეს ხდის ასე, რომ არსებობს კარგი გამოქვეყნებული ექსპლოიტის კოდი არსებობს
 განთავსების kernel დონის ხარვეზებს,
 და ჩვენ ვნახეთ, ვინც რეალურად იქნას გამოყენებული malware მწერლები.
 ეს ცოტა განსხვავებული, ვიდრე PC მსოფლიოში.
 და შემდეგ საბოლოო ფენა ზედა ფენის, განაცხადის ფენა.
 ეს არის ის, რაც მე ვაპირებ ვისაუბრო დღეს.
 

სხვა ფენების არსებობს, და სხვა ფენების ითამაშოს მივანიჭო,
 მაგრამ მე ძირითადად ვაპირებ ვისაუბრო იმაზე, თუ რა ხდება განაცხადის ფენის
 სადაც კოდი გაშვებულია სავარჯიშოში.
 მას არ გააჩნია ადმინისტრაციული პრივილეგიები.
 მას აქვს გამოიყენოს APIs მოწყობილობის,
 მაგრამ მაინც, ბევრი მუქარის საქმიანობა და ბევრი რისკი შეიძლება მოხდეს, რომ ფენის
 იმიტომ, რომ ფენის, სადაც ყველა ინფორმაცია.
 Apps შეუძლია ყველა ინფორმაცია მოწყობილობაზე
 თუ მათ უფლება აქვთ უფლებები,
 და მათ შეუძლიათ სხვადასხვა სენსორები მოწყობილობა,
 GPS სენსორი, მიკროფონი, კამერა, რა.
 მიუხედავად იმისა, რომ ჩვენ მხოლოდ ვსაუბრობთ განაცხადის ფენის
 ჩვენ ბევრი რისკი არსებობს.
 სხვა საქმეა, რომ ის განსხვავებული მობილური გარემო
 არის ყველა ოპერაციული სისტემის მოთამაშეებს, იქნება ეს BlackBerry და Android
 ან iOS ან Windows mobile, მათ აქვთ წვრილმარცვლოვანი ნებართვა მოდელი,
 და ეს არის ერთი გზა, რომ ისინი ჩაშენებული ოპერაციული სისტემა
 იმ აზრს, რომ ეს არ არის, როგორც სარისკო როგორც თქვენ ფიქრობთ.
 მიუხედავად იმისა, რომ თქვენ გაქვთ ყველა თქვენი კონტაქტები იქ, ყველა თქვენი პირადი ინფორმაცია,
 თქვენ გაქვთ თქვენი ფოტო, თქვენ გაქვთ თქვენი ადგილმდებარეობის შესახებ არსებობს,
 თქვენ შენახვა თქვენი საბანკო pin ავტო შესვლისას იქ, ეს უსაფრთხო, რადგან
 apps უნდა ჰქონდეს გარკვეული უფლებები მიიღოს გარკვეული ნაწილები
 ინფორმაციის აპარატი და მომხმარებელს უნდა იყოს წარმოდგენილი
 ეს უფლებები და აცხადებენ, რომ okay.
 

პრობლემა ის არის, რომ მომხმარებელს ყოველთვის ამბობს okay.
 როგორც უსაფრთხოების პირი, მე ვიცი, რომ თქვენ შეგიძლიათ შეეკითხება მომხმარებელს,
 ამბობენ, რომ რაღაც ძალიან ცუდი მოხდება, არ გსურთ, რომ მოხდეს?
 და თუ ისინი rush ან რაღაც ნამდვილად enticing მეორე მხარეს რომ,
 მოსწონს თამაში იქნება დაყენებული, რომ ისინი ელოდა,
 ისინი აპირებენ დააწკაპუნეთ okay.
 სწორედ ამიტომ ვამბობ, რომ ჩემს slide აქ მხოლოდ ნება მომეცით fling ფრინველები დროს ღორი უკვე,
 და ხედავთ on the slide აქ არის მაგალითები BlackBerry ნებართვა ყუთში.
 განცხადებაში ნათქვამია, "გთხოვთ დააწესოთ BlackBerry Travel განაცხადის უფლებები
 შემდეგ დაჭერით ღილაკს ქვემოთ ", და ძირითადად მომხმარებელს უბრალოდ ვაპირებ ვთქვა
 მითითებული უფლებები და შენახვა.
 აი Android სწრაფი, სადაც იგი გვიჩვენებს რამ,
 და ეს ფაქტიურად აყენებს რაღაც რომ თითქმის ჰგავს გაფრთხილება.
 ეს მივიღე სახის სარგებელი ნიშანი არსებობს ამბობდა ქსელის საკომუნიკაციო, სატელეფონო ზარი,
 მაგრამ მომხმარებელს აპირებს დააწკაპუნეთ დააყენოთ, არა?
 და მაშინ Apple ერთი სრულიად innocuous.
 იგი არ იძლევა რაიმე სახის გაფრთხილება.
 უბრალოდ Apple სურს გამოიყენოს თქვენი მიმდინარე მდებარეობა.
 რა თქმა უნდა, ვაპირებთ დააწკაპუნეთ okay.
 

არსებობს ამ წვრილმარცვლოვანი ნებართვა მოდელი,
 და პროგრამები აქვს მანიფესტი ფაილი, სადაც ისინი აცხადებენ
 უფლებები, მათ სჭირდებათ, და რომ მიიღებს ნაჩვენები მომხმარებელი,
 და მომხმარებელს უნდა ვთქვა, მე ვაძლევ ამ უფლებები.
 მაგრამ მოდით იყოს პატიოსანი.
 მომხმარებელი უბრალოდ ყოველთვის ვამბობ, okay.
 ავიღოთ სწრაფი შევხედოთ ნებართვა, რომ ამ apps ითხოვენ
 და ზოგიერთი უფლებები, რომ არსებობს.
 ეს კომპანია პრეტორიანელების გააკეთა გასულ წელს ჩატარებული კვლევის
 of 53,000 განაცხადების გაანალიზებული Android ბაზარზე და მე -3 პარტიის ბაზრებზე,
 ასე რომ, ეს ყველაფერი Android.
 და საშუალო app მოითხოვა 3 უფლებები.
 ზოგიერთი apps მოთხოვნილი 117 უფლებები,
 ასე რომ, ცხადია, ეს ძალიან წვრილმარცვლოვანი და ძალიან კომპლექსი მომხმარებელს მესმის
 თუ ისინი წარდგენილი ამ app რომ სჭირდება ეს 117 უფლებები.
 ეს იგივეა, საბოლოო მომხმარებლის სალიცენზიო შეთანხმებას, რომ 45 გვერდს.
 იქნებ მალე ისინი ყველაფერს აქვს ვარიანტი, სადაც ის მსგავსად
 ბეჭდვა უფლებები და გამომიგზავნოთ ელ.
 

მაგრამ თუ გადავხედავთ ზოგიერთი ყველაზე საინტერესო უფლებები
 24% apps, რომ გადმოწერილი გარეთ 53,000
 მოთხოვნილი GPS ინფორმაციის მოწყობილობა.
 8% წაიკითხა კონტაქტები.
 4% გაგზავნილი SMS, და 3% მიიღო SMS.
 2% ჩაწერილი აუდიო.
 1% დამუშავებული გამავალი ზარები.
 მე არ ვიცი.
 მე არ ვფიქრობ, 4% apps in App Store ნამდვილად უნდა გააგზავნოთ SMS ტექსტური შეტყობინებები,
 ამიტომ მე ვფიქრობ, რომ ის მინიშნება, რომ რაღაც untoward ხდება.
 8% apps უნდა წაიკითხოთ თქვენი კონტაქტების სიაში. ეს, ალბათ, არ არის საჭირო.
 ერთი სხვა საინტერესო რამ ნებართვების
 თუ ლინკი საერთო ბიბლიოთეკები თქვენი განცხადება
 იმ მემკვიდრეობის უფლებები გამოყენების,
 ასე რომ, თუ თქვენი app სჭირდება საკონტაქტო სიაში ან სჭირდება GPS განთავსების ფუნქციონირებას
 და თქვენ ლინკი სარეკლამო ბიბლიოთეკა, მაგალითად,
 რომ რეკლამა ბიბლიოთეკაში ასევე შეძლებთ წვდომისათვის კონტაქტები
 და ასევე ვერ შეძლონ GPS ადგილმდებარეობა,
 და დეველოპერი app შესახებ არაფერი იცის კოდი, რომელიც გაშვებული რეკლამა ბიბლიოთეკაში.
 ისინი უბრალოდ აკავშირებს, რომ რადგან მათ სურთ monetize მათი app.
 

ეს არის სადაც და მე ლაპარაკი მაგალითები ამ
 განაცხადის მოუწოდა Pandora, სადაც განაცხადის დეველოპერი
 შესაძლოა, უნებლიეთ უნდა ჩამოდის ინფორმაციას
 მათი წევრებს, რადგან ბიბლიოთეკების ისინი უკავშირდება შემოსული
 გამოკითხვა ლანდშაფტის იქ, ეძებს ყველა სხვადასხვა apps
 რომ არ მოჰყოლია ახალი ამბები, მუქარის ან თავისსავე მომხმარებლებს არ სურს
 და შემდეგ შემოწმების ბევრი apps ჩვენ ბევრი სტატიკური ორობითი ანალიზი მობილური apps,
 ასე რომ ჩვენ დაათვალიერა და მათ შევხედე კოდი თვით
 ჩვენ გამოვიდა, რაც ჩვენ მოვუწოდებთ ჩვენი top 10 სიაში სარისკო ქცევების განაცხადების.
 და ეს ჩაიშალა შევიდა 2 ნაწილად, მუქარის კოდი,
 ასე რომ ეს არის ცუდი რამ რომ apps შეიძლება აკეთებს, რომ
 სავარაუდოდ, რომ რაღაც მუქარის ინდივიდუალური
 საგანგებოდ დააყენა განაცხადი, მაგრამ ცოტა საეჭვო.
 ეს შეიძლება იყოს რაღაც, რომ დეველოპერი ფიქრობს არის ჯარიმა,
 მაგრამ ეს მთავრდება მიმდინარეობს ფიქრობდა როგორც მუქარის მომხმარებლის მიერ.
 

და შემდეგ მეორე ნაწილი არის ის, რაც ჩვენ მოვუწოდებთ კოდირების ხარვეზებს,
 და ეს ის საკითხებია, სადაც დეველოპერი ძირითადად ისეთ შეცდომებს
 ან უბრალოდ არ ესმის, თუ როგორ უნდა დაწეროთ app უსაფრთხოდ,
  და ეს აყენებს app შესახებ რისკის ქვეშ.
 მე ვაპირებ გაიაროს დეტალურად და მისცეს რამდენიმე მაგალითი.
 ცნობისთვის, მინდოდა დაფასოებული OWASP პორტალის top 10 სიაში.
 ეს არის 10 საკითხი, რომელიც ჯგუფის OWASP,
 ღია Web Application უსაფრთხოების პროექტი, მათ აქვთ სამუშაო ჯგუფი
 მუშაობს პორტალის top 10 სიაში.
 მათ აქვთ ძალიან ცნობილი ვებ top 10 სიაში, რომლებიც top 10
 riskiest რამ, რაც შეიძლება ჰქონდეს ვებ პროგრამა.
 ისინი აკეთებენ იგივე მობილური,
 და მათი სია ცოტა განსხვავებული, ვიდრე ჩვენია.
 6 out of 10 ერთნაირია.
 მათ აქვთ 4 რომ განსხვავებულია.
 მე ვფიქრობ, რომ აქვს ცოტა განსხვავებული იქირავებენ
 რისკის მობილური apps, სადაც ბევრი მათი საკითხები
 მართლაც, თუ განაცხადის კომუნიკაციის back-end სერვერის
 ან რა ხდება on back-end სერვერის,
 არა იმდენად apps რომ აქვს სარისკო ქცევა, რომლებიც მხოლოდ უშუალო კლიენტი apps.
 

პირობა in red აქ განსხვავებები 2 სიებში.
 და ზოგიერთი ჩემი კვლევის ჯგუფის ხელს უწყობს ამ პროექტის,
 ასე რომ, ჩვენ დავინახავთ, რა მოხდება დროთა განმავლობაში, მაგრამ მე ვფიქრობ, რომ takeaway აქ არის
 ჩვენ ნამდვილად არ ვიცი, რა top 10 სიაში მობილური apps, რადგან
 ისინი მართლაც მხოლოდ გარშემო 2 ან 3 წელია,
 და არ ყოფილა საკმარისი დრო ნამდვილად კვლევაზე ოპერაციული სისტემები
 და რა ისინი შეუძლია, და არ ყოფილა საკმარისი დრო
 განთავსების მუქარის თანამეგობრობას, თუ გნებავთ, რომ გავატარე საკმარისი დრო
 ცდილობენ შეტევა მომხმარებლებს მეშვეობით მობილური apps, ასე რომ, ვიმედოვნებ, რომ ეს სიები შეცვალოს ცოტა.
 მაგრამ ახლა, ეს არის ყველაზე 10 რამ ფიქრი.
 ალბათ საინტერესოა მობილურ მხარეს, სადაც არ მუქარის პორტალის კოდური
 რამდენად შეესაბამება ეს მისაღებად მოწყობილობა?
 North Carolina სახელმწიფოს აქვს პროექტის მოუწოდა პორტალის Malware გენომი პროექტი
 სადაც ისინი შეგროვება იმდენი პორტალის malware, როგორც მათ შეუძლიათ და ანალიზის გაკეთება,
 და ისინი ჩაიშალა ინექცია ვექტორები, რომ მობილური malware იყენებს,
 და 86% გამოყენება ტექნიკა მოუწოდა repackaging,
 და ეს არის მხოლოდ Android პლატფორმა
 შეგიძლიათ მართლაც ამ repackaging.
 

მიზეზი Android კოდი ნაგებია
 Java byte კოდი მოუწოდა Dalvik რომელიც ადვილად decompilable.
 რა ცუდი ბიჭი შეგვიძლია გავაკეთოთ არის
 მიიღოს Android პროგრამა, decompile ეს,
 ჩადეთ მათი მუქარის კოდი, recompile ის,
 და შემდეგ დააყენოს ის წელს app store დასადასტურებლად, იყოს ახალი ვერსია, რომ განაცხადი,
 ან უბრალოდ იქნებ შეცვლის სახელით განცხადება.
 თუ ეს იყო ერთგვარი თამაში, შეცვალოს სახელი ოდნავ,
 და ეს repackaging არის, თუ როგორ 86% პორტალის malware იღებს ნაწილდება.
 არსებობს კიდევ ერთი ტექნიკა მოუწოდა განახლება, რომელიც არის
 ძალიან ჰგავს repackaging, მაგრამ თქვენ რეალურად არ დააყენა მუქარის კოდი შემოსული
 რას აკეთებთ თქვენ დააყენა პატარა განახლება მექანიზმი.
 თქვენ decompile, თქვენ დააყენა განახლება მექანიზმი და recompile ის,
 და მაშინ, როდესაც app არის გაშვებული ეს pulls ქვემოთ malware გადატანა მოწყობილობა.
 

გაცილებით უმრავლესობა იმ 2 ტექნიკას.
 არ არის ნამდვილად ბევრად ჩამოტვირთვა დისკზე bys ან დისკზე მიერ ჩამოტვირთვების მობილურ ტელეფონზე,
 რომელიც შეიძლება ისევე როგორც ფიშინგი თავდასხმა.
 Hey, შეამოწმეთ ეს მართლაც მაგარი ნახვა,
 ან თქვენ უნდა წასვლა ამ ნახვა და შეავსოთ ეს ფორმა
 შენარჩუნება გრძელდება აკეთებს რაღაც. იმ ფიშინგს შეტევები.
 იგივე შეიძლება მოხდეს მობილური პლატფორმა, სადაც ისინი
 აღვნიშნო, რომ მობილური app ჩამოტვირთვა, აცხადებენ, რომ "Hi, ეს არის Bank of America".
 "ჩვენ ვხედავთ, თქვენ იყენებთ ამ განაცხადს".
 "თქვენ უნდა ჩამოტვირთოთ ამ სხვა პროგრამა."
 თეორიულად, რომ შეიძლება მუშაობა.
 იქნებ უბრალოდ არ გამოიყენება საკმარისი, რათა დადგინდეს, თუ არა ის წარმატებული თუ არა,
 მაგრამ აღმოჩნდა, რომ 1% ზე ნაკლები დრო, რომ ტექნიკა გამოიყენება.
 უმრავლესობა იმ დროს ეს მართლაც repackaged კოდი.
 

არსებობს კიდევ ერთი კატეგორია მოუწოდა standalone
 სადაც ვინმე უბრალოდ აშენებს ახალ განაცხადი.
 ისინი აშენება პროგრამა, რომელიც purports იყოს რაღაც.
 ეს არ არის repackaging რაღაც, და რომ აქვს მუქარის კოდი.
 რომ გამოიყენება 14% გაუტოლდა.
 ახლა მინდა ვისაუბროთ რა არის მუქარის კოდი აკეთებს?
 ერთი პირველი malware out არსებობს
 თქვენ შეიძლება განიხილონ spyware.
 ეს ძირითადად ჯაშუშების წლის შესახებ.
 ის აგროვებს წერილებს, SMS შეტყობინებები.
 თურმე მიკროფონი.
 ეს მოსავლის კონტაქტი წიგნი და ის აგზავნის მას off ვინმეს.
 ამ ტიპის spyware არსებობს PC,
 ასე რომ, ეს ქმნის სრულყოფილი გრძნობა ადამიანი ცდილობს გააკეთოს ეს მობილური მოწყობილობების.
 

ერთი პირველი მაგალითი იყო პროგრამას სახელწოდებით Secret SMS რეპლიკატორი.
 ეს იყო Android ბაზარი რამდენიმე წლის წინ,
 და იდეა იყო თუ შეეძლოთ სხვისი Android ტელეფონი
 რომ თქვენ სურდა თვალთვალისთვის, იქნებ ეს თქვენი მეუღლე
 ან თქვენი მნიშვნელოვანი სხვა და გსურთ თვალთვალისთვის მათი ტექსტური შეტყობინებები,
 შეგიძლიათ ჩამოტვირთოთ ამ app და დააინსტალირეთ და კონფიგურირება
 გააგზავნოთ SMS ტექსტით გაგზავნა თქვენ ასლი
 ყველა SMS ტექსტით გაგზავნა ისინი.
 ეს აშკარად არის დარღვევის app store მომსახურების პირობები,
 და ეს ამოიღეს Android ბაზარი ფარგლებში 18 საათის განმავლობაში იგი არსებობს,
 ასე რომ, ძალიან მცირე რაოდენობის ხალხი რისკის გამო.
 ახლა, ვფიქრობ, რომ თუ პროგრამა ეწოდა რაღაც იქნებ ცოტა ნაკლებად პროვოკაციული
 ისევე როგორც საიდუმლო SMS რეპლიკატორი ალბათ არ მუშაობდა უკეთესი.
 მაგრამ ეს იყო ერთგვარი აშკარა.
 

ერთი რამ შეგვიძლია გავაკეთოთ, რათა დადგინდეს, თუ apps აქვს ეს ქცევა, რომელიც ჩვენ არ გვინდა,
 არის შეამოწმოს კოდი.
 ეს არის რეალურად მართლაც ადვილია on Android, რადგან ჩვენ შეგვიძლია decompile apps.
 On iOS შეგიძლიათ გამოიყენოთ disassembler როგორიცაა IDA Pro
 შევხედოთ რა APIs app მოუწოდებს და რასაც ის აკეთებს.
 ჩვენ წერდა ჩვენი ორობითი სტატიკური ანალიზატორი ჩვენი კოდი
 და ჩვენ ამის გაკეთება, და მერე რა შეგიძლიათ გააკეთოთ თქვენ შეიძლება ითქვას,
 ამჯამად მოწყობილობის არაფერი რომ ძირითადად მიჰყვება მე ან თვალთვალის me?
 და მაქვს რამდენიმე მაგალითი აქ iPhone.
 ეს პირველი მაგალითია, თუ როგორ წვდომისათვის uuid ტელეფონით.
 ეს არის რეალურად რაღაც, რომ Apple ახლახანს აკრძალული ახალი პროგრამები,
 მაგრამ ძველი პროგრამები, ალბათ გაშვებული თქვენი ტელეფონის ჯერ კიდევ შეუძლია ამის გაკეთება,
 და ისე, რომ უნიკალური იდენტიფიკატორი შეიძლება გამოყენებულ იქნას აკონტროლოთ თქვენ
 ბევრ სხვადასხვა პროგრამებისთვის.
 

On Android, მე მაგალითად აქ მიღების მოწყობილობის ადგილმდებარეობა.
 თქვენ ხედავთ, რომ, თუ ეს API მოვუწოდებთ არის, რომ app თვალთვალის,
 და ხედავთ თუ არა ის მიღების შესანიშნავი ადგილმდებარეობა ან უხეში ადგილმდებარეობა.
 და შემდეგ ბოლოში აქ, მე მაქვს მაგალითი, თუ როგორ მე BlackBerry
 განაცხადის შეიძლება შეამოწმონ ელექტრონული ფოსტის მესიჯები თქვენს inbox.
 ეს არის სახის რამ შეგიძლიათ შეამოწმოს ვხედავ
 თუ app აკეთებს იმ რამ.
 მეორე დიდი კატეგორიაში მუქარის ქცევა, და ეს არის ალბათ ყველაზე დიდი გარეშე ახლა,
 არის არასანქცირებული დარეკვა, არასანქცირებული პრემია SMS ტექსტური შეტყობინებები
 ან არასანქცირებული გადასახადები.
 სხვა საქმეა, რომ უნიკალური, რომ ტელეფონი
 არის მოწყობილობა ფლანგიდან აქვს საბილინგო ანგარიში,
 და როდესაც საქმიანობის მოხდეს ტელეფონი
 მას შეუძლია შექმნას ბრალდებით.
 თქვენ შეგიძლიათ შეიძინოთ რამ, სატელეფონო,
 და როდესაც თქვენ პრემია SMS ტექსტით გაგზავნა თქვენ რეალურად ფულს
 ანგარიშის მფლობელი ტელეფონის ნომერი მეორე მხარეს.
 ეს შეიქმნა მისაღებად საფონდო ბრჭყალებში, ან მიიღოთ თქვენი ყოველდღიური ჰოროსკოპის ან სხვა რამ,
 მაგრამ ისინი შეიძლება შეიქმნას შეუკვეთოთ პროდუქციის გაგზავნით SMS ტექსტით.
 ხალხის ფული წითელი ჯვრის გაგზავნით ტექსტის გაგზავნა.
 შეგიძლიათ $ 10 რომ გზა.
 

თავდამსხმელები, რასაც ისინი გავაკეთეთ ისინი შეიქმნა
 ანგარიშები უცხო ქვეყნებში, და მათ ხმა malware
 რომ ტელეფონი გამოგიგზავნით პრემია SMS ტექსტური შეტყობინება,
 ამბობენ, რამდენიმე დღეში, და თვის ბოლოს ხვდები, თქვენ გაატარა
 ათობით ან თუნდაც ასობით დოლარი, და ისინი ფეხით მოშორებით ფული.
 ეს იმდენად ცუდია, რომ ეს იყო პირველი რამ, რომ Android
 Marketplace ან Google ადგილას, ეს იყო Android Marketplace დროს,
 და ეს არის Google Play-პირველი, რაც Google დაიწყო შემოწმება.
 როდესაც Google დაიწყო გავრცელებისათვის Android apps მათი app store
 მათ განაცხადეს, რომ ისინი არ აპირებენ, რათა შეამოწმოთ არაფერი.
 ჩვენ გაიყვანოს apps ერთხელ ჩვენ ეცნობა ისინი გატეხილი ჩვენი მომსახურების პირობები,
 მაგრამ ჩვენ არ ვაპირებთ შევამოწმოთ არაფერი. ასევე, დაახლოებით ერთი წლის წინ მას იმდენად ცუდი, ამ პრემიის SMS ტექსტით გაგზავნა malware
 რომ ეს არის პირველი რამ დაიწყეს შემოწმება.
 თუ app შეგიძლიათ გააგზავნოთ SMS ტექსტური შეტყობინებები
 ისინი შემდგომი ხელით დეტალურად რომ განაცხადი.
 ისინი ამისთვის APIs რომ მოვუწოდო ამ,
 და ახლა, მას შემდეგ Google გაფართოვდა,
 მაგრამ ეს იყო პირველი, რაც მათ დაიწყეს ეძებს.
 

ზოგიერთი სხვა apps, რომ გარკვეული SMS ტექსტური შეტყობინებები,
 ამ Android Qicsomos, ვფიქრობ, მას უწოდებენ.
 იყო ეს დღევანდელი ღონისძიება პორტალის სადაც ეს CarrierIQ გამოვიდა
 როგორც spyware-მა მოწყობილობაზე მიერ მატარებლები,
 ასე რომ, ადამიანებს აინტერესებდათ, თუ მათი ტელეფონში იყო დაუცველი ამ,
 და ეს იყო უფასო app რომ გამოცდილი, რომ.
 ისე, რა თქმა უნდა, ეს ოთახი არ იყო, რომ გაიგზავნება პრემია SMS ტექსტური შეტყობინებები,
 ასე ტესტირების თუ თქვენ ინფიცირებული spyware
 თქვენ დატვირთული malware გადატანა თქვენს აპარატში.
 ჩვენ ვნახეთ იგივე მოხდეს უკანასკნელი Super Bowl.
 იყო გაყალბებულად მობილური Madden ფეხბურთის თამაში
 რომ იგზავნება პრემია SMS ტექსტური შეტყობინებები.
 რეალურად ცდილობდა შექმნას bot ქსელი ძალიან მოწყობილობა.
 აქ მაქვს რამდენიმე მაგალითი.
 საინტერესოა, Apple იყო საკმაოდ ჭკვიანი,
 და ისინი არ დაუშვას განაცხადების გაგზავნის SMS ტექსტური შეტყობინებები ყველა.
 არარის app შეგიძლიათ ეს გააკეთოთ.
 ეს დიდი გზა მოშორების მთელი კლასი დაუცველობის,
 მაგრამ Android შეგიძლიათ ამის გაკეთება, და რა თქმა უნდა, BlackBerry თქვენ შეგიძლიათ ამის გაკეთება ძალიან.
 საინტერესოა, რომ BlackBerry გჭირდებათ ინტერნეტ უფლებები
 გააგზავნოთ SMS ტექსტით გაგზავნა.
 

სხვა რამ მართლაც რომ ჩვენ ვეძებთ
 როდესაც ჩვენ ვეძებთ თუ რაღაც მუქარის არის მხოლოდ რაიმე სახის
 არასანქცირებული ქსელის აქტივობის, ისევე შევხედოთ ქსელის საქმიანობას
 ოთახი უნდა აქვს თავისი ფუნქცია,
 და შევხედოთ ამ სხვა ქსელის საქმიანობაში.
 ალბათ app, მუშაობა, აქვს მიიღოს მონაცემთა HTTP,
 მაგრამ თუ ის აკეთებს რამ მეტი ელექტრონული ფოსტით ან SMS-ით ან Bluetooth ან რამე მაგდაგვარს
 ახლა რომ app შესაძლოა იყოს მუქარის, ასე რომ ეს არის კიდევ ერთი რამ, შეგიძლიათ შეამოწმოს ამისთვის.
 და ამ slide აქ მაქვს რამოდენიმე მაგალითი, რომ.
 სხვა საინტერესო რამ ვნახეთ და malware მოხდა უკან 2009 წელს,
 და ეს მოხდა დიდი გზა.
 მე არ ვიცი, თუ ეს მოხდა, იმდენად მას შემდეგ, მაგრამ ეს app
 რომ impersonated სხვა პროგრამის მიერ.
 იყო კომპლექტი apps, და ეს იყო გახმოვანებული 09Droid თავდასხმა,
 და ვიღაცამ გადაწყვიტა, რომ იქ ბევრი მცირე, რეგიონალური midsize ბანკები
 რომ არ აქვს საბანკო განცხადებები,
 ასე რომ, რაც გააკეთეს იყო მათ ააშენეს 50 ონლაინ საბანკო განცხადებები
 რომ ისინი არ იყო მიიღოს მომხმარებლის სახელი და პაროლი
 და გადამისამართება თქვენ ვებგვერდზე.
 და ა.შ. ისინი ამ ყველა up in Google ბაზარი,
 ამ Android ბაზარი, და როცა ვინმე გაჩხრიკეს თუ მათი საბანკო
 ჰქონდა განაცხადი, რომ იპოვოს ყალბი განცხადება,
 რომელიც შეგროვებული მათ სიგელები და შემდეგ გადამისამართება მათ მათი ნახვა.
 ისე, რომ ეს რეალურად გახდა-apps იყო იქ რამდენიმე კვირის განმავლობაში,
 და იქ ათასობით ჩამოტვირთვების.
 

გზა ამ მოვიდა სინათლე იყო ვინმე იყო, რომელსაც პრობლემა
 ერთი განაცხადი, და მათ მოუწოდა მათ ბანკი,
 და მათ მოუწოდა მათ ბანკის მომხმარებელთა მხარდაჭერა ხაზი და განაცხადა,
 "მე მქონე პრობლემა თქვენი მობილური ბანკინგის პროგრამა."
 "ვერ დამეხმარებით out?"
 ხოლო მათ ჰრქუეს: "ჩვენ არ გვაქვს მობილური ბანკინგის პროგრამა."
 დაიწყო გამოძიება.
 რომ ბანკის მოუწოდა Google, და შემდეგ Google ჩანდა და განაცხადა,
 "Wow, იმავე ავტორის დაწერილი 50 საბანკო განცხადებები," და წაიყვანეს ყველა ქვემოთ.
 მაგრამ რა თქმა უნდა, ეს შეიძლება განმეორდეს.
 აქ არის ჩამონათვალი სხვადასხვა ბანკებში აქ
 რომ ნაწილი იყო ამ scam.
 სხვა რამ app შეგიძლიათ გააკეთოთ ამჟამად UI კიდევ ერთი განაცხადი.
 მიუხედავად იმისა, რომ გაშვებული ეს შეიძლება პოპ up Facebook UI.
 იგი აცხადებს, რომ თქვენ უნდა დააყენოს თქვენი მომხმარებლის სახელი და პაროლი, რომ გაგრძელდება
 ან განათავსოთ ნებისმიერი მომხმარებლის სახელი და პაროლი UI განთავსების ნახვა
 რომ იქნებ პროფაილი იყენებს უბრალოდ ცდილობენ Trick შესახებ
 თარგმნეს აყენებს მათი მიდგომებით შემოსული
 ეს ნამდვილად სწორი პარალელურად ელ ფიშინგს შეტევები
 სადაც ვინმე აგზავნის თქვენ წერილს
 და გაძლევთ ძირითადად ყალბი UI განთავსების ნახვა
 რომ თქვენ გაქვთ.
 

სხვა რამ ჩვენ ვეძებთ მუქარის კოდი არის სისტემის მოდიფიკაციით.
 თქვენ შეგიძლიათ შეხედოთ ყველა API ზარები, რომელიც საჭიროებს root პრივილეგია
 რათა შესრულდეს სწორად.
 შეცვლის მოწყობილობის ვებ მარიონეტული იქნება რაღაც, რომ განაცხადი
 არ უნდა იყოს, ვერ გააკეთებს.
 მაგრამ თუ განაცხადი კოდი იქ უნდა გავაკეთოთ, რომ
 თქვენ იცით, რომ ეს, ალბათ, მუქარის განაცხადი
 ან ძალიან მაღალ სავარაუდოდ მუქარის გამოყენების,
 და მერე რა მოხდება, ის არის, რომ app ექნება გარკვეული გზა ესკალაცია პრივილეგია.
 ეს იქნებოდა გარკვეული პრივილეგია ესკალაცია გამოყენებისათვის
 განაცხადის და შემდეგ მას შემდეგ, რაც გამწვავდა პრივილეგიები
 იგი ყველაფერს გააკეთებს ამ სისტემის მოდიფიცირება. შეგიძლია malware, რომელსაც აქვს პრივილეგია ესკალაცია
 ის გარეშეც იცის როგორ პრივილეგია ესკალაცია
 გამოყენება მოხდება, და ეს ლამაზი, მარტივი გზა
 ვეძებოთ malware.
 DroidDream იყო ალბათ ყველაზე ცნობილი ნაჭერი Android malware.
 მე ვფიქრობ, რომ დაზარალებულ დაახლოებით 250,000 წევრებს და რამოდენიმე დღის განმავლობაში
 ადრე ი.
 ისინი repackaged 50 გაყალბებულად განცხადებები,
 ამით მათ Android App Store,
 და არსებითად გამოიყენება Android jailbreak კოდი ესკალაცია პრივილეგიები
 და შემდეგ დააყენოთ ბრძანება და კონტროლი და აქციოს ყველა მსხვერპლი
 შევიდა bot net, მაგრამ თქვენ შეიძლება არ გამოვლინდა ამ
 თუ თქვენ სკანირების განცხადება და მხოლოდ ეძებს
 API მოუწოდებს, რომ საჭიროა root ნებართვა შეასრულოს სწორად.
 

და იქ მაგალითად აქ მაქვს, რომელიც შეცვლის მარიონეტული,
 და ეს რეალურად არის მხოლოდ ხელმისაწვდომი Android.
 თქვენ ხედავთ, მე გაძლევთ უამრავი მაგალითი on Android
 იმიტომ, რომ ეს არის, სადაც ყველაზე აქტიური malware ეკოსისტემა
 იმიტომ, რომ ეს მართლაც ადვილია თავდამსხმელი მისაღებად მუქარის კოდი
 შევიდა Android ბაზარი.
 ეს ასე არ არის ადვილი გასაკეთებელი, რომ Apple App Store
 რადგან Apple მოითხოვს დეველოპერები იდენტიფიცირება თავს
 და ხელი მოაწეროს კოდი.
 ისინი რეალურად შეამოწმოს, ვინ ხარ შენ, და Apple რეალურად აკრიტიკებდა პროგრამა.
 ჩვენ ვერ ვხედავთ ბევრი ნამდვილი malware, სადაც მოწყობილობის დღითიდღე დათმობაზე წავიდა.
 ვილაპარაკებ რამდენიმე მაგალითი, სადაც ეს მართლაც კონფიდენციალურობის, რომ არც დათმობაზე წავიდა,
 და რომ ის, რაც რეალურად ხდება Apple მოწყობილობა.
 კიდევ ერთი რამ უნდა ვეძებოთ მუქარის კოდი, სარისკო კოდი მოწყობილობები
 არის ლოგიკა ან დრო ბომბები, და დრო ბომბები, ალბათ,
 ბევრად უფრო ადვილია უნდა ვეძებოთ, ვიდრე ლოგიკური ბომბები.
 მაგრამ დროთა განმავლობაში ბომბები, თუ რა შეგიძლიათ გააკეთოთ თქვენ შეგიძლიათ მოიძიოთ
 ადგილები კოდი, სადაც დრო არის გამოცდილი და აბსოლუტური დრო ეძებდნენ
 ადრე გარკვეული ფუნქციონალური app ხდება.
 და ეს შეიძლება გაკეთდეს იმისათვის, რომ მალავს, რომ საქმიანობის შესახებ,
 ასე ხდება, გვიან ღამით.
 DroidDream ყველაფერი თავის საქმიანობას შორის 11 საათზე და 8 საათზე ადგილობრივი დრო
 ცდილობს გააკეთოს ეს მაშინ, როცა მომხმარებელს შეიძლება არ იყოს გამოყენებით მათი მოწყობილობა.
 

კიდევ ერთი მიზეზი, ამის თუ ადამიანი იყენებს ქცევითი ანალიზი განაცხადი,
 გაშვებული ოთახი სავარჯიშოში რა ქცევის პროგრამა,
 მათ შეუძლიათ გამოიყენონ დრო დაფუძნებული ლოგიკა გავაკეთოთ საქმიანობა
 როდესაც app არ არის სავარჯიშოში.
 მაგალითად, app store როგორიცაა Apple
 ეშვება პროგრამა, მაგრამ ალბათ არ აწარმოებს ყველა განცხადება, ვთქვათ, 30 დღის განმავლობაში
 დამტკიცებამდე, ასე რომ თქვენ შეგიძლიათ განათავსოთ
 ლოგიკა, თქვენი განაცხადი, რომ განაცხადა, okay, მხოლოდ ცუდი რამ
 30 დღის შემდეგ წავიდა მიერ ან მის შემდეგ 30 დღის განმავლობაში გამოაქვეყნოს თარიღი განაცხადი,
 და რომ შეუძლია დაეხმაროს მუქარის კოდი დამალვა ადამიანი შემოწმების მას.
 იმ შემთხვევაში, თუ ანტივირუსული კომპანიების გაშვებული რამ sandboxes
 ან app მაღაზიები თავად ეს შეიძლება დაეხმაროს
 მალავს, რომ რომ შემოწმება.
 ახლა, Flip მხარე, რომ ეს ადვილია სტატიკური ანალიზი,
 ასე რომ, რეალურად შემოწმების კოდი თქვენ შეგიძლიათ მოიძიოთ ყველა ის ადგილები,
 თუ განაცხადის ამოწმებს დრო და შეამოწმოს, რომ გზა.
 და აქ მაქვს რამოდენიმე მაგალითი ამ 3 სხვადასხვა პლატფორმების
 როგორ დრო შეიძლება შემოწმდება მიერ app maker
 ასე რომ თქვენ იცით რა უნდა ვეძებოთ, თუ თქვენ შემოწმების app statically.
 

უბრალოდ გაიარა მთელი bunch სხვადასხვა მუქარის საქმიანობა
 რომ ჩვენ ვნახეთ ველური, მაგრამ რაც პირობა არის ყველაზე გავრცელებული?
 იმავე სასწავლო North Carolina სახელმწიფო პორტალის გენომი პროექტი
 გამოქვეყნებული მონაცემები, და არ იყო, ძირითადად, 4 ტერიტორიებზე
 რომ დაინახეს, სადაც არ იყო ბევრი საქმიანობაში.
 37% apps გააკეთა პრივილეგია ესკალაცია,
 ასე რომ მათ ჰქონდათ გარკვეული ტიპის jailbreak კოდი არსებობს
 სადაც ისინი ცდილობდნენ სიტუაციის გამწვავებასა პრივილეგიები ისე, რომ მათ შეეძლოთ
 არ API ბრძანებები გაშვებული როგორც ოპერაციული სისტემა.
 45% apps out არსებობს გააკეთა პრემია SMS,
 ასე რომ დიდი პროცენტი, რომელიც ცდილობს პირდაპირ monetize.
 93% გააკეთეს, დისტანციური მართვის, ამიტომ ისინი ცდილობდნენ შეიქმნა bot net, მობილური bot net.
 და 45% მოსავალს საიდენტიფიკაციო ინფორმაციის
 მოსწონს ტელეფონის ნომერი, UUIDs, GPS ადგილმდებარეობა, მომხმარებლის ანგარიშებზე,
 და ეს დასძენს მდე მეტი 100 რადგან malware ცდილობს გააკეთოს რამდენიმე რამ.
 

მე ვაპირებ გადახვიდეთ მეორე ნახევარში და ვისაუბროთ კოდი ხარვეზებს.
 ეს არის მეორე ნახევარში სარისკო საქმიანობაში.
 ეს არის სადაც არსებითად დეველოპერი მიღების შეცდომები.
 ლეგიტიმური დეველოპერი წერილობით ლეგიტიმური app
 მიღების შეცდომები ან ignorant რისკების მობილური პლატფორმა.
 მათ უბრალოდ არ იციან, თუ როგორ, რათა უსაფრთხო პორტალის app,
 ან ზოგჯერ დეველოპერი არ აინტერესებს აყენებს მომხმარებელს რისკის ქვეშ.
 ზოგჯერ ნაწილი მათი ბიზნეს მოდელის შეიძლება იყოს
 მოსავლის მომხმარებლის პირად ინფორმაციას.
 ეს ერთგვარი სხვა კატეგორიაში, და ამიტომ ზოგიერთი ამ მუქარის
 წინააღმდეგ ლეგიტიმური იწყება bleed მეტი, რადგან არსებობს აზრთა სხვადასხვაობა
 შორის რა მომხმარებელს სურს და რა შესახებ მიაჩნია სარისკო
 და რა განაცხადის დეველოპერი მიიჩნევს სარისკო. რა თქმა უნდა, ეს არ არის განაცხადის დეველოპერი მონაცემები ხშირ შემთხვევაში.
 

და მაშინ საბოლოოდ, სხვა გზა ეს ხდება არის დეველოპერი, შესაძლოა ბმულზე
 საერთო ბიბლიოთეკა, რომელსაც აქვს ხარვეზებს ან ამ სარისკო ქცევა მას
 unbeknownst მათ.
 პირველი კატეგორიის მგრძნობიარე მონაცემები გაჟონვა
 და ეს მაშინ, როდესაც app აგროვებს ინფორმაციას
 როგორიცაა ადგილმდებარეობა, მისამართი წიგნი ინფორმაციის მფლობელი ინფორმაცია
 და აგზავნის, რომ off მოწყობილობა.
 და კიდევ ეს off მოწყობილობის, ჩვენ არ ვიცით, რა ხდება ამ ინფორმაციას.
 ეს შეიძლება იყოს შენახული insecurely განაცხადის დეველოპერი.
 ჩვენ ვნახეთ განაცხადის დეველოპერები მისაღებად კომპრომეტირებული,
 და მონაცემები, რომ ისინი შენახვა იღებს მიღებული.
 ეს მოხდა რამდენიმე თვის წინ დეველოპერი ქვემოთ Florida
 სადაც დიდი რაოდენობით-ის იყო, iPad UUIDs და მოწყობილობა სახელები
 იყო გაჟონა იმიტომ, რომ ვიღაცას, მე ვფიქრობ, რომ ეს იყო ანონიმური,
 აცხადებდა, რომ ამის გაკეთება, შეიჭრნენ ამ დეველოპერი სერვერები
 და მოიპარეს მილიონობით iPad UUIDs
 და კომპიუტერული სახელები.
 არ არის ყველაზე სარისკო ინფორმაცია,
 მაგრამ თუ ეს იყო შენახვა მომხმარებლის სახელები და პაროლები
 და მთავარი მისამართები?
 არსებობს უამრავი apps, რომ შესანახად, რომ სახის ინფორმაციას.
 რისკი არსებობს.
 

სხვა რამ, რაც შეიძლება მოხდეს არის თუ დეველოპერი არ ზრუნავს
 შესანარჩუნებლად მონაცემები არხი, და ეს კიდევ ერთი დიდი დაუცველობის მე ვაპირებ ვისაუბრო,
 რომ მონაცემები იგზავნება ნათელი.
 თუ მომხმარებელს საჯარო Wi-Fi ქსელის
 ან ვინმე sniffing ინტერნეტში სადღაც
 სვლა რომ მონაცემები მიმდინარეობს დაუცველებს.
 ერთი ძალიან ცნობილი საქმე ამ ინფორმაციის გაჟონვა მოხდა Pandora,
 და ეს არის რაღაც ჩვენ გამოკვლეული at Veracode.
 გავიგეთ, რომ არ იყო, მე ვფიქრობ, რომ ეს იყო ფედერალური სავაჭრო კომისიის
 გამოძიება მიმდინარეობს Pandora.
 ჩვენ ვთქვით, "რა ხდება იქ? დავიწყოთ თხრა შევიდა Pandora პროგრამა."
 და რა ჩვენ გადაწყვეტილი იყო Pandora განაცხადის შეგროვებული
 თქვენი სქესი და ასაკი,
 და ასევე გამოიყენოთ თქვენი GPS ადგილმდებარეობა და Pandora განცხადება
 ეს, რაც მათ განაცხადა, რომ იყო კანონიერი მიზეზების გამო.
 მუსიკა, რომ ისინი თამაშობენ-Pandora არის მუსიკა ნაკადი app-
 მუსიკა ისინი თამაშობენ მხოლოდ ლიცენზირებული შეერთებული შტატები,
 ამიტომ მათ უნდა შეამოწმოს შეესაბამება მათი სალიცენზიო ხელშეკრულებები, რომ მათ
 მუსიკალურ რომ მომხმარებელს იყო შეერთებული შტატები.
 ისინი ასევე ითხოვდნენ, რომ დაიცვას მშობლის მრჩეველთა
 დაახლოებით ზრდასრული ენის მუსიკა,
 და ამიტომ ნებაყოფლობითი პროგრამა, მაგრამ უნდოდათ შეესაბამება, რომ
 და არ უთამაშია გამოკვეთილ ლექსები ბავშვებისთვის 13 და ქვეშ.
 

ჰქონდათ ლეგიტიმური მიზეზი შეგროვება ამ მონაცემებს.
 მათი app ჰქონდა უფლებები უნდა გავაკეთოთ.
 მომხმარებლის ეგონა, ეს იყო ლეგიტიმური. მაგრამ რა მოხდა?
 ისინი დაკავშირებულია 3 ან 4 სხვადასხვა რეკლამა ბიბლიოთეკები.
 ახლა უეცრად ყველა ამ რეკლამის ბიბლიოთეკები
 მიღების ხელმისაწვდომობის იგივე ინფორმაციას.
 რეკლამა ბიბლიოთეკების, თუ გადავხედავთ კოდი რეკლამა ბიბლიოთეკები
 რას აკეთებს ყოველ რეკლამა ბიბლიოთეკის ამბობს
 "ნუთუ ჩემი app გაქვთ მიიღოს GPS განთავსების?"
 "ოჰ, ეს არ? Okay, მითხრათ GPS ადგილმდებარეობა".
 ყოველი რეკლამის ბიბლიოთეკა აკეთებს, რომ,
 და თუ app ამჯამად არ აქვს GPS ნებართვა
 ეს არ იქნება შეუძლია მიიღოს, მაგრამ თუ ეს ასეა, იგი მიიღებს მას.
 ეს არის სადაც ბიზნეს მოდელის რეკლამის ბიბლიოთეკები
 ეწინააღმდეგებოდა კონფიდენციალურობის შესახებ.
 და იქ უკვე კვლევები არსებობს, რომ არ იტყვის, თუ იცით ასაკი
 პირი, და თქვენ იცით, მათი ადგილმდებარეობის
 სადაც ისინი ძილის ღამით, რადგან თქვენ მათი GPS კოორდინატები
 ხოლო ისინი, შესაძლოა, საძილე, თქვენ იცით ზუსტად ვინ, რომ პირი
 რადგან თქვენ შეგიძლიათ განსაზღვრავს, თუ რომელი წევრი რომ ოჯახის რომ პირი.
 სინამდვილეში ეს საიდენტიფიკაციო განმცხადებელს
 ზუსტად ვინ ხარ შენ, და როგორც ჩანს, ეს იყო ლეგიტიმური.
 მე მხოლოდ მინდა, რომ ჩემი ნაკადი მუსიკა, და ეს არის ერთადერთი გზა მიიღოს იგი.
 

ისე, ჩვენ დაუცველებს ეს.
 ჩვენ წერდა ამ up რამდენიმე დღიურში შეტყობინება,
 და აღმოჩნდა, რომ ვინმე Rolling Stone ჟურნალი
 წაიკითხეთ ჩვენი ბლოგის პოსტები და დაწერა საკუთარი დღიურის in Rolling Stone შესახებ,
 და მეორე დღეს Pandora, რომ ეს იყო კარგი იდეა
 ამოიღონ რეკლამა ბიბლიოთეკების მათი განაცხადი.
 რამდენადაც მე ვიცი, ისინი მხოლოდ მათ უნდა შეაქო.
 მე ვფიქრობ, რომ ისინი მხოლოდ freemium ტიპის app რომ გააკეთა ეს.
 ყველა სხვა freemium apps აქვს იგივე საქციელი,
 ასე რომ თქვენ მოხვდით ვიფიქროთ, თუ რა სახის მონაცემები თქვენ აძლევდა
 ამ freemium განაცხადების იმიტომ, რომ ეს ყველა აპირებს განმცხადებელს.
 პრეტორიანელების ასევე გააკეთა კვლევის შესახებ საერთო ბიბლიოთეკები და განაცხადა,
 "მოდით შევხედოთ, თუ რა საერთო ბიბლიოთეკები არის ყველაზე საერთო ბიბლიოთეკები", და ეს იყო მონაცემები.
 

მათ გააანალიზეს 53,000 apps,
 და 1 საერთო ბიბლიოთეკა იყო Admob.
 ეს იყო, ფაქტობრივად, 38% განაცხადების out არსებობს,
 ასე 38% განაცხადების თქვენ იყენებთ
 სავარაუდოდ მოსავლის თქვენი პირადი ინფორმაცია
 და გაგზავნის მას სარეკლამო ქსელებს. Apache და Android იყო 8% და 6%,
 და მაშინ ეს სხვა პირობა ქვემოთ ბოლოში, Google Ads, Flurry,
 მობ ქალაქი და ათასწლიანი მედია,
 ეს არის ყველა სარეკლამო კომპანიებს, შემდეგ კი, საინტერესოა,
 4% უკავშირდება Facebook ბიბლიოთეკა
 ალბათ უნდა გავაკეთოთ ავტორიზაციის მეშვეობით Facebook
 ამიტომ app შეიძლება სინამდვილის Facebook.
 მაგრამ ეს ასევე ნიშნავს, რომ კორპორაცია Facebook აკონტროლებს კოდი
 რომ გაშვებული 4% Android მობილური apps out არსებობს,
 და მათ ხელმისაწვდომობას ყველა მონაცემები, რომ app აქვს ნებართვის მისაღებად.
 Facebook არსებითად ცდილობს გაყიდოს სარეკლამო სივრცე.
 სწორედ მათი ბიზნეს მოდელის.
 

თუ გადავხედავთ ეს მთელი ეკოსისტემის ამ უფლებები
 და საერთო ბიბლიოთეკები დაიწყება ვხედავთ, რომ
 თქვენ გაქვთ ბევრი რისკის სავარაუდოდ ლეგიტიმური განაცხადი.
 ამავე მსგავსი რამ რომ მოხდა Pandora
 მოხდა განაცხადის მოუწოდა გზა,
 და გზა, რომ ისინი, რომ სასარგებლოა, მეგობრული პროგრამისტებს.
 ისინი უბრალოდ ცდილობს მოგცემთ დიდი მომხმარებლის, გამოცდილება,
 და აღმოჩნდა, რომ გარეშე რითაც მომხმარებელს ან ვეუბნებოდი შესახებ არაფერი
 და ეს მოხდა iPhone და Android,
 Pandora app იყო iPhone და Android-
 რომ Path განაცხადი grabbing თქვენი მთელი მისამართების წიგნაკი
 და ატვირთვა მას Path მხოლოდ მაშინ, როდესაც თქვენ დაყენებული და გაიქცა განაცხადი,
 და არ გეტყვით ამის შესახებ.
 ისინი ფიქრობდნენ, რომ ეს იყო მართლაც გამოსადეგი თქვენთვის
 შეძლებს გაზიარება ყველა ადამიანი თქვენი მისამართი წიგნი
 რომ თქვენ იყენებთ Path განაცხადი.
 

ისე, ცხადია, Path, რომ ეს იყო დიდი მათი კომპანია.
 არც თუ ისე დიდი მომხმარებელს.
 თქვენ უნდა ვიფიქროთ, რომ ეს არის ერთ ერთი რამ, თუ შესაძლოა, მოზარდი
 გამოყენებით ამ განაცხადს და მათი ათობით მეგობრები არიან იქ,
 მაგრამ რა, თუ ის აღმასრულებელი დირექტორი კომპანია, რომელიც მოყვება Path
 და მერე უეცრად მთელი მისამართი წიგნი არის?
 თქვენ აპირებს კიდევ ბევრი პოტენციურად ღირებული საკონტაქტო ინფორმაცია
 ბევრი ადამიანი.
 რეპორტიორის საწყისი New York Times, თქვენ შესაძლოა მიიღოთ ტელეფონის ნომერი
 ყოფილი პრეზიდენტები მათი მისამართი წიგნი,
 ასე რომ, ცხადია, ბევრი მგრძნობიარე ინფორმაციას იღებს გადაცემული რაღაც მოსწონს ეს.
 იყო ასეთი დიდი flap შესახებ, რომ გზა ბოდიში მოუხადა.
 მათ შეიცვალეს app, და ეს კი იმოქმედა Apple.
 Apple განაცხადა, "ჩვენ ვაპირებთ, რათა აიძულოს app მოვაჭრეებს უბიძგონ მომხმარებლებს
 თუ ისინი აპირებენ შეაგროვოს მთელი თავისი მისამართი წიგნი. "
 

ეს ჰგავს, რა ხდება აქ არის
 როდესაც არსებობს ერთი დიდი კონფიდენციალურობის დარღვევა და ეს ქმნის პრესისთვის
 ჩვენ ვხედავთ ცვლილება არსებობს.
 მაგრამ, რა თქმა უნდა, არსებობს სხვა რამ არსებობს.
 LinkedIn განაცხადის მოსავლის თქვენი კალენდარული entries,
 მაგრამ Apple არ მიიღოს მომხმარებელს მოთხოვნილია შესახებ.
 კალენდარი entries შეიძლება ჰქონდეს გასაცვლელად მათ ძალიან.
 სად მიდიხარ გაავლო ზღვარი?
 ეს მართლაც სახის ვითარდება ადგილი
 იქ, სადაც ნამდვილად არ არის კარგი სტანდარტი არსებობს
 მომხმარებლებს, რომ გავიგოთ, როდესაც მათი ინფორმაცია იქნება რისკის
 და როდესაც ისინი აპირებენ ვიცი, რომ მიმდინარეობს გადაიყვანეს.
 ჩვენ წერდა app at Veracode მოუწოდა Adios,
 და არსებითად ეს საშუალებას გაძლევთ აღვნიშნო app თქვენს iTunes დირექტორია
 და შევხედოთ ყველა განაცხადი, რომ მოსავლის თქვენი სრული მისამართი წიგნი.
 და როგორც ხედავთ ამ სიაში აქ, Angry Birds,
 AIM, AroundMe.
 რატომ Angry Birds გვჭირდება თქვენი მისამართი წიგნი?
 მე არ ვიცი, მაგრამ ეს იმას რატომღაც.
 

ეს არის ის, რომ ბევრი, ბევრი განაცხადების გაკეთება.
 შეგიძლიათ შეამოწმოს კოდი ეს.
 არსებობს კარგად ჩამოყალიბებული APIs for iPhone, Android და BlackBerry
 მიიღოს მისამართი წიგნი.
 თქვენ ნამდვილად ადვილად შეამოწმოს ამ, და ეს არის ის, რაც ჩვენ გავაკეთეთ ჩვენი Adios განაცხადი.
 მომდევნო კატეგორიაში სახიფათო მგრძნობიარე მონაცემთა შენახვის,
 არის რაღაც სადაც დეველოპერები მიიღოს რაღაც pin ან ანგარიშის ნომერი
 ან პაროლი და ჩაწეროთ იგი ნათელი მოწყობილობა.
 უფრო მეტიც, მათ შეიძლება ჩაწეროთ იგი ტერიტორია ტელეფონი
 რომელიც გლობალურად ხელმისაწვდომი, ისევე როგორც SD card.
 ხედავთ ამ უფრო ხშირად Android, რადგან Android საშუალებას SD card.
 IPhone მოწყობილობა არა.
 მაგრამ ჩვენ კი დაინახა ეს მოხდეს სითიგრუპის განაცხადი.
 მათი ელექტრონული საბანკო განაცხადის ინახება ანგარიშის ნომერი insecurely,
 მხოლოდ ნათელია, ასე რომ, თუ თქვენ დაკარგეთ თქვენი მოწყობილობა,
 არსებითად თქვენ დაკარგეთ საბანკო ანგარიშზე.
 სწორედ ამიტომ მე პირადად არ გააკეთებს საბანკო ჩემს iPhone.
 მე ვფიქრობ, რომ ძალიან სარისკო ახლა უნდა გააკეთოს ამ სახის საქმიანობას.
 

Skype გააკეთა იგივე.
 Skype, რა თქმა უნდა, აქვს ბალანსი, მომხმარებლის სახელი და პაროლი
 რომ შედიხართ, რომ ბალანსი.
 ისინი შენახვის, რომ ყველა ინფორმაციის ნათელი მობილური მოწყობილობა.
 მაქვს რამოდენიმე მაგალითი აქ შექმნაში ფაილი
 რომ არ აქვს უფლება ნებართვა ან წერილობით დისკი
 და არა რაიმე კოდირების მოხდეს, რომ.
 ამ მომდევნო ტერიტორია, სახიფათო მგრძნობიარე მონაცემთა გადაცემა,
 მე გააკეთა მინიშნება ამ რამდენჯერმე, და რადგან საჯარო Wi-Fi
 ეს არის ის, რომ apps აბსოლუტურად უნდა გავაკეთოთ,
 და ეს, ალბათ, რასაც ჩვენ ვხედავთ არასწორი საუკეთესო. მე ვიტყოდი-სინამდვილეში, ვფიქრობ მაქვს ფაქტობრივი მონაცემები,
 მაგრამ ახლოს ნახევარ მობილური პროგრამები
 ხრახნიანი up აკეთებს SSL.
 მათ უბრალოდ არ გამოიყენოს APIs სწორად.
 ვგულისხმობ, თქვენ მოხვდით გავაკეთოთ არის მითითებებს და გამოიყენოთ APIs,
 მაგრამ ისინი რამ, როგორიცაა, არ ამოწმებენ, არის თუ არა არასწორი სერთიფიკატით ჩაეგდო,
 არ შეამოწმოთ, თუ ჩაეგდო ცდილობს ოქმს downgrade თავდასხმა.
 

დეველოპერები, მათ სურთ მიიღონ მათი ჩამრთველი, არა?
 მათი მოთხოვნა არის გამოიყენოს ამ გაყიდოს. ისინი გამოიყენება ამ გაყიდოს.
 მოთხოვნა არ არის, გამოიყენოს ეს გაყიდოს უსაფრთხოდ,
 და ა.შ. ამიტომ ყველა პროგრამა რომ გამოიყენოთ SSL შესანარჩუნებლად მონაცემები
 როგორც ეს მიმდინარეობს გადამდები off მოწყობილობის ნამდვილად უნდა შემოწმდეს
 დარწმუნდით, რომ განხორციელდა სწორად.
 და აქ მაქვს რამდენიმე მაგალითი, სადაც შეგიძლიათ ნახოთ განაცხადის
 შეიძლება გამოყენებით HTTP ნაცვლად HTTPS.
 ზოგიერთ შემთხვევაში apps დაეცემა თავში HTTP
 თუ HTTPS არ მუშაობს.
 მაქვს კიდევ ერთი ზარი აქ Android სადაც ისინი გამორთულია მოწმობის შემოწმება,
 ასე რომ, კაცი-in-the-შუა თავდასხმა შეიძლება მოხდეს.
 ბათილად ცნობა არ მიიღება.
 ეს არის ყველა შემთხვევაში, როდესაც თავდამსხმელებმა იქნება შეუძლია მიიღოს
 იგივე Wi-Fi კავშირი, როგორც მომხმარებელს და ხელმისაწვდომობის ყველა მონაცემები
 რომ იგზავნება ინტერნეტში.
 

და ბოლოს, უკანასკნელი კატეგორიაში მაქვს აქ არის hardcoded დაგავიწყდათ და გასაღებები.
 ჩვენ რეალურად ვხედავთ ბევრი დეველოპერები გამოიყენოთ იგივე კოდირების სტილი
 რომ მათ, როდესაც ისინი აშენებენ სერვერზე პროგრამები,
 ასე რომ, ისინი აშენებენ Java სერვერის პროგრამა და ისინი hardcoding გასაღები.
 ისე, როდესაც თქვენ მშენებლობის სერვერზე განაცხადი, yeah,
 hardcoding გასაღები არ არის კარგი იდეა.
 ის ართულებს, რომ შეიცვალოს.
 მაგრამ ეს ასე არ არის ცუდი სერვერის მხარეს, რადგან, რომელსაც აქვს წვდომა სერვერის მხარეს?
 მხოლოდ ადმინისტრატორები.
 მაგრამ თუ თქვენ მიიღოს იგივე კოდი და დაასხა გადასცა მობილური განაცხადი
 ახლა ყველას, ვისაც აქვს, რომ მობილური განაცხადის ხელი მიუწვდება, რომ hardcoded გასაღები,
 და ჩვენ, ფაქტობრივად, რომ ეს ბევრი ჯერ, და მაქვს ზოგიერთი სტატისტიკა
 რამდენად ხშირად ვხედავთ, ეს მოხდება.
 ის რეალურად იყო, მაგალითად კოდი, რომელიც MasterCard გამოქვეყნებული
 თუ როგორ გამოიყენოთ მათი მომსახურება.
 მაგალითად კოდი გვიჩვენა, თუ როგორ თქვენ უბრალოდ მიიღოს დაგავიწყდათ
 და დააყენოს ის hardcoded string უფლება არსებობს,
 და ჩვენ ვიცით, როგორ დეველოპერები მიყვარს დააკოპირეთ და ჩასვით კოდი snippets
 როდესაც ისინი ცდილობენ რაღაც, ასე რომ თქვენ დააკოპირეთ და ჩასვით კოდი snippet
 რომ მათ მაგალითს კოდი და თქვენ უნდა არასაიმედო პროგრამა.
 

და აქ ჩვენ გვაქვს რამდენიმე მაგალითი.
 ეს პირველი არის ერთ ერთი ჩვენ ვხედავთ ბევრი სადაც ისინი hardcode
 მონაცემთა მარჯვენა URL, რომელიც იღებს გაიგზავნა.
 ზოგჯერ ჩვენ ვხედავთ string დაგავიწყდათ = დაგავიწყდათ.
 ეს საკმაოდ ადვილი შესამჩნევია, ან სიმებიანი პაროლის BlackBerry და Android.
 ეს რეალურად საკმაოდ მარტივია, რათა შეამოწმოს, რადგან თითქმის ყოველთვის
 დეველოპერი სახელები ცვლადი რომელიც მართავს დაგავიწყდათ
 ზოგიერთი ვარიაცია პაროლი.
 აღვნიშნე, რომ ჩვენ სტატიკური ანალიზი Veracode,
 ასე რომ ჩვენ გაანალიზებული რამდენიმე ასეული Android და iOS პროგრამა.
 ჩვენ ავაშენეთ სრულ მოდელები მათ, და ჩვენ შეუძლია სკანირების მათ
 სხვადასხვა ხარვეზებს, განსაკუთრებით მოწყვლადი მე ვსაუბრობთ,
 და მაქვს გარკვეული მონაცემები აქ.
 68.5% of Android apps ჩვენ შევხედე
 ჰქონდა გატეხილი კრიპტოგრაფიული კოდი
 რომელიც ჩვენთვის, ჩვენ ვერ აღმოაჩინოს, თუ თქვენ გააკეთა თქვენი crypto რუტინული,
 არა, რომ კარგი იდეა, მაგრამ ეს რეალურად გამოყენებით გამოქვეყნებული APIs
 რომ არის პლატფორმა, მაგრამ აკეთებს ისე,
 რომ შიფრის იქნებოდა დაუცველი, 68.5.
 და ეს არის ხალხი, რომელიც გაგზავნის us მათი განცხადებები, ფაქტობრივად, იმის გამო, რომ
 მათი აზრით, ეს არის კარგი იდეა უნდა გავაკეთოთ უსაფრთხოების ტესტირება.
 ეს არის უკვე ადამიანი, რომელიც ალბათ ფიქრობს, უსაფრთხოდ,
 ასე რომ, ალბათ, კიდევ უარესი.
 

მე არ საუბრობენ საკონტროლო ხაზი feed საინექციო.
 ეს რაღაც ჩვენ შევამოწმოთ, მაგრამ ეს არ ნიშნავს, რომ სარისკო საკითხი.
 ინფორმაციის გაჟონვა, ეს არის სადაც მნიშვნელოვანი მონაცემები იგზავნება off მოწყობილობა.
 აღმოჩნდა, რომ 40% პროგრამები.
 დრო და სახელმწიფოს, იმ რასის მდგომარეობა ტიპის საკითხები, როგორც წესი, საკმაოდ რთული გამოყენებისათვის,
 ასე რომ მე არ საუბრობენ, მაგრამ ჩვენ შევხედე მას.
 23% ჰქონდა SQL ინექცია საკითხები.
 ბევრი ადამიანი არ ვიცი, რომ ბევრი განცხადება
 გამოყენება პატარა პატარა SQL მონაცემთა ბაზაში მათი უკან ბოლომდე მონაცემების შესანახად.
 ისე, თუ მონაცემები, რომ თქვენ grabbing მეტი ქსელის
 აქვს SQL ინექცია თავდასხმა strings ის
 ვინმეს შეუძლია კომპრომისზე მოწყობილობის მეშვეობით, რომ
 და მე ვფიქრობ, რომ ჩვენ დაახლოებით 40% ვებ პროგრამა აქვს ეს პრობლემა,
 რომელიც უზარმაზარი ეპიდემიის პრობლემა.
 მიგვაჩნია, რომ ეს 23% დროის მობილური apps
 და ეს ალბათ იმიტომ, რომ კიდევ ბევრი ვებ პროგრამა გამოიყენოთ SQL ვიდრე მობილური.
 

და შემდეგ ჩვენ ვხედავთ ზოგიერთი ჯვარი ადგილზე სკრიპტირების, უფლებამოსილების საკითხები,
 და შემდეგ დიპლომი მართვის, რომ სადაც თქვენ გაქვთ თქვენი hardcoded პაროლი.
 5% განაცხადების ჩვენ ვხედავთ, რომ.
 და მაშინ ჩვენ გვაქვს გარკვეული მონაცემები iOS.
 81% ჰქონდა შეცდომის გამოტანას საკითხები. ეს არის უფრო კოდი ხარისხის პრობლემა,
 მაგრამ 67% ჰქონდა კრიპტოგრაფიული საკითხები, ისე არ არის, როგორც ცუდი, როგორც Android.
 იქნებ APIs ცოტა უფრო ადვილია, მაგალითად კოდები ცოტა უკეთესი on iOS.
 მაგრამ მაინც ძალიან მაღალი პროცენტი.
 ჩვენ გვქონდა 54% ინფორმაციის გაჟონვა
 დაახლოებით 30% ბუფერულ მართვის შეცდომები.
 ეს არის ის ადგილები, სადაც შესაძლოა იყოს მეხსიერების კორუფციის საკითხი.
 აღმოჩნდება, რომ ეს ასე არ არის, როგორც დიდი პრობლემა ექსპლუატაციის
 on iOS რადგან ყველა კოდი უნდა იყოს ხელმოწერილი,
 ასე ძნელია შემტევს სიკვდილი თვითნებური კოდი on iOS.
 Code ხარისხი, დირექტორია გასვლის, მაგრამ შემდეგ რწმუნებათა სიგელების გადაცემის მართვის აქ 14,6%,
 ასე რომ უარესი, ვიდრე Android.
 ჩვენ ხალხს არ გატარება პაროლები სწორად.
 და შემდეგ რიცხვითი შეცდომები და ბუფერული overflow,
 იმ უფრო იქნება კოდი quality საკითხები iOS.
 

სწორედ ეს ჩემი პრეზენტაცია. მე არ ვიცი, თუ ჩვენ გარეთ დრო თუ არა.
 მე არ ვიცი, თუ არსებობს რაიმე შეკითხვებს.
 [კაცი] სწრაფი კითხვა გარშემო ფრაგმენტაცია და Android ბაზარზე.
 Apple მაინც ფლობს ბებკი.
 ისინი აკეთებენ კარგ საქმეს მიღების out არსებობს, ხოლო ნაკლებად ასე Android სივრცეში.
 თქვენ თითქმის უნდა jailbreak თქვენი ტელეფონი დარჩენა მიმდინარე
 მიმდინარე გათავისუფლებას Android.
 ჰო, დიდი პრობლემა და ასე თუ ფიქრობთ-
 [კაცი] რატომ ვერ ვიმეორებ ეს?
 

Oh, უფლება, ასე რომ კითხვა იყო, რაც შეეხება ფრაგმენტაცია
 ოპერაციული სისტემის Android პლატფორმა?
 როგორ ამჯამად რომ გავლენა მოახდინოს riskiness იმ მოწყობილობა?
 და ის რეალურად არის დიდი პრობლემა, რადგან რა ხდება
 ძველი მოწყობილობები, როცა ვინმე მოდის ერთად jailbreak, რომ მოწყობილობა,
 არსებითად ეს პრივილეგია ესკალაცია, და სანამ, რომ ოპერაციული სისტემის განახლება
 ნებისმიერი malware შეგიძლიათ შემდეგ გამოიყენოთ, რომ დაუცველობის სრულიად კომპრომისზე მოწყობილობა,
 და რა ჩვენ ვხედავთ, რომ Android არის იმისათვის, რომ ახალი ოპერაციული სისტემა
 Google აქვს დააყენოს out ოპერაციული სისტემა, შემდეგ კი ტექნიკის მწარმოებელი
 აქვს სახის, და შემდეგ გადამზიდავი აქვს სახის და გამოაქვეყნებს იგი.
 თქვენ ძირითადად 3 მოძრავი ნაწილები აქ,
 და ის გარდამტეხი, რომ მატარებლები არ მაინტერესებს,
 და ტექნიკის მწარმოებლები არ მაინტერესებს, და Google არ არის prodding მათ საკმარისი
 არაფერი, ისე არსებითად ნახევარზე მეტი მოწყობილობა არსებობს
 აქვს ოპერაციული სისტემები რომ აქვს ეს პრივილეგია ესკალაცია ხარვეზებს მათ,
 და ა.შ. თუ თქვენ გაქვთ malware თქვენი Android მოწყობილობა გაცილებით მეტი პრობლემა.
 

Okay, დიდი მადლობა.
 [ტაში]
 [CS50.TV]