1 00:00:00,000 --> 00:00:02,610 >> [Seimineár] [Cosaint Taobh thiar an Gléas: Slándáil Mobile Iarratas] 2 00:00:02,610 --> 00:00:04,380 [Chris Wysopal] [Ollscoil Harvard] 3 00:00:04,380 --> 00:00:07,830 [Is é seo an CS50.] [CS50.TV] 4 00:00:07,830 --> 00:00:10,360 >> Dea-tráthnóna. Is é mo ainm Chris Wysopal. 5 00:00:10,360 --> 00:00:13,360 Tá mé an CTO agus comhbhunaitheoir de Veracode. 6 00:00:13,360 --> 00:00:15,880 Is Veracode cuideachta slándála i bhfeidhm. 7 00:00:15,880 --> 00:00:18,230 Tástáil muid gach cineál na n-iarratas éagsúla, 8 00:00:18,230 --> 00:00:25,060 agus cad tá mé ag dul chun labhairt faoi lá atá inniu ann is slándála i bhfeidhm soghluaiste. 9 00:00:25,060 --> 00:00:28,630 Mo chúlra Tá mé ag déanamh taighde slándála 10 00:00:28,630 --> 00:00:31,970 ar feadh tréimhse an-fhada, is dócha mar gheall ar chomh fada agus is aon duine. 11 00:00:31,970 --> 00:00:35,000 Thosaigh mé i lár na 90s, 12 00:00:35,000 --> 00:00:37,370 agus bhí sé am a bhí suimiúil go leor mar gheall ar 13 00:00:37,370 --> 00:00:39,220 bhí againn athrú paraidíme i lár na 90s. 14 00:00:39,220 --> 00:00:43,520 Gach de tobann gach duine ar ríomhaire a bhí hooked suas go dtí an idirlíon, 15 00:00:43,520 --> 00:00:46,550 agus ansin bhí againn an tús na n-iarratas gréasáin, 16 00:00:46,550 --> 00:00:49,330 agus sin an méid dhírigh mé ar a lán ansin. 17 00:00:49,330 --> 00:00:51,160 Tá sé suimiúil. 18 00:00:51,160 --> 00:00:53,930 Anois, tá muid athrú paraidím eile ag tarlú le ríomhaireacht, 19 00:00:53,930 --> 00:00:58,710 a bhfuil an t-athrú a fhorbairt iarratais soghluaiste. 20 00:00:58,710 --> 00:01:03,680 >> Is dóigh liom tá sé de chineál ar am den chineál céanna ansin bhí sé sa 90s déanach 21 00:01:03,680 --> 00:01:07,650 nuair a bhí muid ag fiosrú iarratais gréasáin agus lochtanna mar a aimsiú 22 00:01:07,650 --> 00:01:11,800 earráidí bainistíochta seisiún agus SQL instealladh 23 00:01:11,800 --> 00:01:14,940 a ndáiríre ní raibh ann roimh, agus go léir a tobann bhí siad i ngach áit 24 00:01:14,940 --> 00:01:19,360 i iarratais gréasáin, agus anois a lán de an t-am a chaitheamh agam 25 00:01:19,360 --> 00:01:27,950 ag féachaint ar iarratais soghluaiste agus ag féachaint ar cad atá ar siúl amuigh ansin sa fiáin. 26 00:01:27,950 --> 00:01:32,060 Iarratais soghluaiste ag dul i ndáiríre a bheith ar an ardán ríomhaireachta ceannasach, 27 00:01:32,060 --> 00:01:35,060 mar sin ní mór dúinn i ndáiríre a chaitheamh go leor ama má tá tú sa tionscal slándála 28 00:01:35,060 --> 00:01:39,280 ag díriú ar iarratais gréasáin. 29 00:01:39,280 --> 00:01:43,420 Bhí 29 billiún apps soghluaiste a íoslódáil i 2011. 30 00:01:43,420 --> 00:01:47,920 Tá sé tuartha a bheith 76 billiún apps faoi 2014. 31 00:01:47,920 --> 00:01:54,040 Níl 686,000,000 feistí go bhfuil dul chun a cheannach i mbliana, 32 00:01:54,040 --> 00:01:57,060 mar sin tá sé seo nuair a bhfuil daoine ag dul a bheith ag déanamh 33 00:01:57,060 --> 00:01:59,600  an chuid is mó a n-ríomhaireachta cliant ag dul ar aghaidh. 34 00:01:59,600 --> 00:02:04,220 >> Bhí mé ag caint le Leas-Uachtarán ag Fidelity Investments 35 00:02:04,220 --> 00:02:08,780 cúpla mí ó shin, agus dúirt sé go bhfaca siad díreach tráchta níos mó 36 00:02:08,780 --> 00:02:12,610 ag déanamh idirbheart airgeadais óna mbonn custaiméirí 37 00:02:12,610 --> 00:02:16,230 ar a n-iarratas soghluaiste ná ar a láithreán gréasáin, 38 00:02:16,230 --> 00:02:20,610 mar sin tá úsáid go coitianta chun an Gréasán san am atá thart bhí 39 00:02:20,610 --> 00:02:23,800 seiceáil do Sleachta stoc, a bhainistiú do phunann, 40 00:02:23,800 --> 00:02:28,060 agus táimid ag féachaint ar iarbhír i 2012 níos mó ná athrú 41 00:02:28,060 --> 00:02:30,960 a bheith níos mó ar an ardán soghluaiste. 42 00:02:30,960 --> 00:02:34,530 Cinnte má tá dul chun bheith aon ghníomhaíocht choiriúil, 43 00:02:34,530 --> 00:02:38,900 aon ghníomhaíocht mailíseach, tá sé ag dul chun tús a chur le bheith dírithe ar an ardán soghluaiste 44 00:02:38,900 --> 00:02:44,210 le himeacht ama mar dhaoine athrú thar leis sin. 45 00:02:44,210 --> 00:02:48,320 Má fhéachann tú ar an ardán soghluaiste, 46 00:02:48,320 --> 00:02:54,380 chun breathnú ar na rioscaí a bhaineann leis an ardán tá sé úsáideach a bhriseadh síos i sraitheanna éagsúla, 47 00:02:54,380 --> 00:02:59,010 díreach mar a bheadh ​​leat é a dhéanamh ar ríomhaire deisce, 48 00:02:59,010 --> 00:03:02,860 agus a cheapann tú faoi na sraitheanna éagsúla, bogearraí, córas oibriúcháin, 49 00:03:02,860 --> 00:03:07,730 ciseal líonra, ciseal crua-earraí, agus ar ndóigh, níl leochaileachtaí ar na sraitheanna go léir. 50 00:03:07,730 --> 00:03:10,510 >> A tharlaíonn an rud céanna ar soghluaiste. 51 00:03:10,510 --> 00:03:14,880 Ach soghluaiste, is cosúil go bhfuil roinnt de na sraitheanna níos measa as. 52 00:03:14,880 --> 00:03:19,840 I gcás amháin, is é an ciseal líonra níos mó fadhbanna ar soghluaiste 53 00:03:19,840 --> 00:03:25,650 gheall ar a lán de na daoine a bhfuil i n-oifig nó sa bhaile 54 00:03:25,650 --> 00:03:30,780 naisc wired nó tá siad slán naisc Wi-Fi, 55 00:03:30,780 --> 00:03:36,530 agus le go leor de na gléasanna soghluaiste go bhfuil tú ar ndóigh lasmuigh den bhaile 56 00:03:36,530 --> 00:03:40,520 nó lasmuigh den oifig a lán, agus má tá tú ag baint úsáide Wi-Fi ann 57 00:03:40,520 --> 00:03:42,820 d'fhéadfá a bheith ag baint úsáide as Wi-Fi nasc neamhchinnte, 58 00:03:42,820 --> 00:03:45,570 rud éigin go bhfuil phoiblí nasc Wi-Fi, 59 00:03:45,570 --> 00:03:48,840 mar sin nuair a cheapann againn faoi apps soghluaiste ní mór dúinn a chur san áireamh 60 00:03:48,840 --> 00:03:53,770 go bhfuil an timpeallacht líonra riskier do na hiarratais sin 61 00:03:53,770 --> 00:03:57,640 nuair a Wi-Fi á n-úsáid. 62 00:03:57,640 --> 00:04:02,410 Agus nuair a rachaidh mé i níos mó de na rioscaí iarratais soghluaiste 63 00:04:02,410 --> 00:04:04,910 Feicfidh tú a fheiceáil cén fáth go bhfuil níos tábhachtaí. 64 00:04:04,910 --> 00:04:09,710 Tá rioscaí ag an leibhéal crua-earraí ar gléasanna soghluaiste. 65 00:04:09,710 --> 00:04:11,670 Is réimse é seo de thaighde leanúnach. 66 00:04:11,670 --> 00:04:15,910 Daoine glaoch ar na hionsaithe leathanbhanda nó ionsaithe baseband 67 00:04:15,910 --> 00:04:21,870 áit a bhfuil tú ionsaí ar an Firmware go bhfuil ag éisteacht ar an raidió. 68 00:04:21,870 --> 00:04:25,430 Is iad seo i ndáiríre >> ionsaithe scary toisc 69 00:04:25,430 --> 00:04:27,280 Níl an t-úsáideoir aon rud a dhéanamh. 70 00:04:27,280 --> 00:04:30,760 Is féidir leat a bhuail go leor de na feistí laistigh de raon RF 71 00:04:30,760 --> 00:04:36,690 ag an am céanna, agus is cosúil sé cosúil aon uair boilgeoga taighde seo suas 72 00:04:36,690 --> 00:04:40,750 sé go tapa Faigheann rangaithe áit 73 00:04:40,750 --> 00:04:46,600 daoine swoop i timpeall agus a rá, "Anseo, inis dúinn faoi sin, agus le do thoil stop a labhairt mar gheall air." 74 00:04:46,600 --> 00:04:49,460 Níl roinnt taighde a ar siúl sa réimse leathanbhanda, 75 00:04:49,460 --> 00:04:51,980 ach is cosúil é a bheith an-hush hush. 76 00:04:51,980 --> 00:04:56,910 Sílim go bhfuil sé níos mó de chineál stát náisiúin taighde go bhfuil ag tarlú ar. 77 00:04:56,910 --> 00:05:02,140 Tá réimse an taighde gníomhach, cé go bhfuil, an ciseal córas oibriúcháin, 78 00:05:02,140 --> 00:05:08,910 agus arís, tá sé seo difriúil ná ar fud an domhain ríomhaireachta deisce 79 00:05:08,910 --> 00:05:14,840 mar gheall ar an spás soghluaiste a bhfuil tú na foirne de dhaoine a dtugtar jailbreakers, 80 00:05:14,840 --> 00:05:18,670 agus tá jailbreakers éagsúla ná taighdeoirí leochaileacht rialta. 81 00:05:18,670 --> 00:05:21,970 Tá siad ag iarraidh chun leochaileachtaí a aimsiú sa chóras oibriúcháin, 82 00:05:21,970 --> 00:05:27,000 ach nach bhfuil an chúis a bhíonn siad ag iarraidh a fháil ar na leochaileachtaí a 83 00:05:27,000 --> 00:05:31,810 briseadh isteach meaisín duine eile agus comhréiteach é. 84 00:05:31,810 --> 00:05:34,280 Tá sé a bhriseadh i n-ríomhaire féin. 85 00:05:34,280 --> 00:05:38,820 >> Tá siad ag iarraidh a bhriseadh isteach ina phóca féin, a mhodhnú córas oibriúcháin soghluaiste a n-féin 86 00:05:38,820 --> 00:05:41,050 ionas gur féidir leo a reáchtáil na hiarratais a rogha 87 00:05:41,050 --> 00:05:44,510 agus rudaí le ceadanna riaracháin iomlán a athrú, 88 00:05:44,510 --> 00:05:49,050 agus nach bhfuil siad ag iarraidh a rá leis an díoltóir faoi seo. 89 00:05:49,050 --> 00:05:52,960 Ní bhíonn siad cosúil le taighdeoir slándála is taighdeoir slándála hata bán 90 00:05:52,960 --> 00:05:56,600 atá ag dul a dhéanamh nochtadh atá freagrach agus a rá leis an díoltóir faoi. 91 00:05:56,600 --> 00:06:01,270 Tá siad ag iarraidh é seo a dhéanamh taighde, agus ba mhaith leo a fhoilsiú i ndáiríre é 92 00:06:01,270 --> 00:06:06,400 i leas a bhaint as nó a rootkit nó cód jailbreak, 93 00:06:06,400 --> 00:06:10,010 agus ba mhaith leo a dhéanamh go straitéiseach, cosúil ceart tar éis 94 00:06:10,010 --> 00:06:13,570 na longa díoltóir an córas oibriúcháin nua. 95 00:06:13,570 --> 00:06:16,350 Tá tú an gaol sáraíochta 96 00:06:16,350 --> 00:06:19,000 le leochaileachtaí OS-leibhéal ar an soghluaiste, 97 00:06:19,000 --> 00:06:23,150 a Sílim go bhfuil suimiúil go leor, agus áit amháin a fheiceáil dúinn é 98 00:06:23,150 --> 00:06:29,210 Tá a dhéanann sé é ionas go níl dea Cód foilsithe leas a bhaint as amach ann 99 00:06:29,210 --> 00:06:31,750 do leochaileachtaí eithne-leibhéal, 100 00:06:31,750 --> 00:06:35,040 agus atá feicthe againn iad sin a úsáid iarbhír ag scríbhneoirí malware. 101 00:06:35,040 --> 00:06:38,450 Tá sé beagán difriúil ná an domhan ríomhaire. 102 00:06:38,450 --> 00:06:42,530 Agus ansin is é an ciseal deiridh na sraithe barr, an ciseal t-iarratas. 103 00:06:42,530 --> 00:06:45,250 Sin an méid mé ag dul chun labhairt faoi lá atá inniu ann. 104 00:06:45,250 --> 00:06:48,970 >> An sraitheanna eile ann, agus na sraitheanna eile a imirt isteach é, 105 00:06:48,970 --> 00:06:53,310 ach tá mé ag dul den chuid is mó chun labhairt faoi cad atá ar siúl ag an ciseal t-iarratas 106 00:06:53,310 --> 00:06:55,560 áit a bhfuil cód ag rith sa bosca gainimh. 107 00:06:55,560 --> 00:06:58,670 Ní chuireann sé a bheith pribhléidí riaracháin. 108 00:06:58,670 --> 00:07:02,170 Tá sé úsáid a bhaint as an APIs an gléas, 109 00:07:02,170 --> 00:07:06,970 ach fós, is féidir a lán de ghníomhaíocht mailíseach agus a lán de riosca a tharlóidh ag an ciseal 110 00:07:06,970 --> 00:07:09,220 mar gheall ar go bhfuil an ciseal ina bhfuil an fhaisnéis ar fad. 111 00:07:09,220 --> 00:07:12,330 Is féidir Apps teacht ar an eolas ar fad ar an ngléas 112 00:07:12,330 --> 00:07:15,390 má tá siad an ceart ceadanna, 113 00:07:15,390 --> 00:07:17,540 agus is féidir leo teacht ar na braiteoirí éagsúla ar an ngléas, 114 00:07:17,540 --> 00:07:23,950 GPS braiteoir, micreafón, ceamara, cad a bhfuil tú. 115 00:07:23,950 --> 00:07:27,380 Cé tá muid ag caint ach thart ar an ciseal t-iarratas 116 00:07:27,380 --> 00:07:33,700 ní mór dúinn a lán de riosca ann. 117 00:07:33,700 --> 00:07:38,450 An rud eile go bhfuil éagsúla mar gheall ar an timpeallacht soghluaiste 118 00:07:38,450 --> 00:07:45,060 Tá gach na himreoirí córas oibriúcháin, go mbeadh sé sméar dubh nó Android 119 00:07:45,060 --> 00:07:53,410 nó iOS nó Windows soghluaiste, tá siad ar fad múnla cead fíneáil grained, 120 00:07:53,410 --> 00:07:56,990 agus tá sé seo ar cheann de na bealaí a thóg siad isteach ar an córas oibriúcháin 121 00:07:56,990 --> 00:08:01,230 an smaoineamh nach bhfuil sé mar risky mar a cheapann tú. 122 00:08:01,230 --> 00:08:04,550 Cé go bhfuil tú go léir do chuid teagmhálacha ar ann, do chuid faisnéise pearsanta ar fad, 123 00:08:04,550 --> 00:08:09,080 tá tú do grianghraif, tá tú do shuíomh ar ann, 124 00:08:09,080 --> 00:08:14,820 bhfuil tú ag stóráil do bioráin bainc le haghaidh Logáil isteach uathoibríoch ar ann, tá sé sábháilte mar gheall ar 125 00:08:14,820 --> 00:08:19,430 Tá apps go bhfuil ceadanna áirithe a fháil ar na codanna áirithe 126 00:08:19,430 --> 00:08:25,080 na faisnéise ar an ngléas, agus an t-úsáideoir a bhfuil a chur i láthair le 127 00:08:25,080 --> 00:08:29,230 na ceadanna agus a rá ceart go leor. 128 00:08:29,230 --> 00:08:32,590 >> Is í an fhadhb leis an úsáideoir i gcónaí a deir ceart go leor. 129 00:08:32,590 --> 00:08:35,240 Mar dhuine slándála, tá a fhios agam gur féidir leat pras an t-úsáideoir, 130 00:08:35,240 --> 00:08:40,100 a rá go bhfuil rud éigin dona ag dul a tharlóidh, ar mhaith leat é a tharlóidh? 131 00:08:40,100 --> 00:08:44,680 Agus má tá siad faoi dheifir nó tá rud éigin i ndáiríre enticing ar an taobh eile den, 132 00:08:44,680 --> 00:08:47,760 cosúil go bhfuil cluiche ag dul a bheith suiteáilte go atá siad ag fanacht, 133 00:08:47,760 --> 00:08:50,860 tá siad ag dul go dtí cliceáil ceart go leor. 134 00:08:50,860 --> 00:08:56,630 Sin an fáth a rá liom ar mo sleamhnán anseo ach lig dom éin fling ag muca cheana féin, 135 00:08:56,630 --> 00:09:03,150 agus is féidir leat a fheiceáil ar an sleamhnán anseo tá samplaí de bhosca cead sméar dubh. 136 00:09:03,150 --> 00:09:05,990 Deir sé "Socraigh an t-iarratas sméar dubh ceadanna Taisteal 137 00:09:05,990 --> 00:09:09,720 tar éis cliceáil an cnaipe thíos, "agus go bunúsach go bhfuil an t-úsáideoir ag dul ach a rá 138 00:09:09,720 --> 00:09:12,240 a leagtar ar an ceadanna agus a shábháil. 139 00:09:12,240 --> 00:09:18,010 Seo pras Android i gcás go suífidh sé rudaí, 140 00:09:18,010 --> 00:09:20,260 agus cuireann sé i ndáiríre rud éigin a bhreathnaíonn beagnach cosúil le rabhadh. 141 00:09:20,260 --> 00:09:25,090 Baineann sé le Fuair ​​saghas comhartha géill slí ann á rá líonra cumarsáide, glaoch teileafóin, 142 00:09:25,090 --> 00:09:28,120 ach tá an t-úsáideoir dul go dtí cliceáil shuiteáil, ceart? 143 00:09:28,120 --> 00:09:32,940 Agus is é sin an ceann go hiomlán innocuous Apple. 144 00:09:32,940 --> 00:09:34,300 Ní chuireann sé a thabhairt ar aon chineál de rabhadh. 145 00:09:34,300 --> 00:09:37,380 Tá sé díreach mbeadh Apple buíochas a úsáid do shuíomh atá ann faoi láthair. 146 00:09:37,380 --> 00:09:39,670 Ar ndóigh, tá tú ag dul go dtí cliceáil ceart go leor. 147 00:09:39,670 --> 00:09:42,260 >> Tá an múnla seo cead fíneáil-grained, 148 00:09:42,260 --> 00:09:45,890 agus tá apps go bhfuil comhad a léiriú nuair a dhearbhú siad 149 00:09:45,890 --> 00:09:49,410 na ceadanna de dhíth orthu, agus beidh a fháil ar taispeáint don úsáideoir, 150 00:09:49,410 --> 00:09:53,480 agus beidh an t-úsáideoir a rá liom deontas na ceadanna. 151 00:09:53,480 --> 00:09:55,080 Ach a ligean ar a bheith macánta. 152 00:09:55,080 --> 00:09:58,400 Úsáideoirí ag dul ach a rá i gcónaí ceart go leor. 153 00:09:58,400 --> 00:10:04,460 A ligean ar ghlacadh le breathnú tapa ar na ceadanna go bhfuil na apps ag iarraidh 154 00:10:04,460 --> 00:10:06,850 agus roinnt de na ceadanna atá ann. 155 00:10:06,850 --> 00:10:09,950 An comhlacht seo rinne Praetorian suirbhé na bliana seo caite 156 00:10:09,950 --> 00:10:14,170 53,000 n-iarratas anailís sna margaí margadh agus 3ú páirtí Android, 157 00:10:14,170 --> 00:10:16,770 mar sin tá sé seo go léir Android. 158 00:10:16,770 --> 00:10:19,670 Agus d'iarr an app meán 3 ceadanna. 159 00:10:19,670 --> 00:10:23,370 D'iarr roinnt apps 117 ceadanna, 160 00:10:23,370 --> 00:10:27,480 mar sin ar ndóigh is iad seo an-fíneáil grained agus ar bhealach ró-chasta d'úsáideoir a thuiscint 161 00:10:27,480 --> 00:10:31,600 má tá siad i láthair leis an app go bhfuil gá leis na ceadanna 117. 162 00:10:31,600 --> 00:10:37,270 Tá sé cosúil leis an gcomhaontú ceadúnas deireadh úsáideora go 45 leathanaigh fada. 163 00:10:37,270 --> 00:10:40,240 B'fhéidir go luath beidh siad a bheith ina rogha nuair a tá sé cosúil 164 00:10:40,240 --> 00:10:43,100 phriontáil agus a sheoladh ceadanna ríomhphost chugam. 165 00:10:43,100 --> 00:10:45,480 >> Ach má fhéachann tú ar roinnt de na ceadanna suimiúla barr 166 00:10:45,480 --> 00:10:50,840 24% de na apps go íoslódáil siad amach as an ar 53,000 167 00:10:50,840 --> 00:10:57,230 iarrtar faisnéis GPS as an gléas. 168 00:10:57,230 --> 00:10:59,810 Léigh 8% na teagmhálacha. 169 00:10:59,810 --> 00:11:03,770 Sheoladh 4% SMS, agus fuair 3% SMS. 170 00:11:03,770 --> 00:11:07,730 Taifeadadh fuaime 2%. 171 00:11:07,730 --> 00:11:11,210 1% próiseáilte glaonna ag dul as oifig. 172 00:11:11,210 --> 00:11:13,140 Níl a fhios agam. 173 00:11:13,140 --> 00:11:17,520 Ní dóigh liom go 4% de na apps sa siopa app gur gá a teachtaireachtaí téacs SMS a sheoladh, 174 00:11:17,520 --> 00:11:21,410 mar sin dóigh liom go bhfuil leid go bhfuil rud éigin untoward ar siúl. 175 00:11:21,410 --> 00:11:24,350 8% de na apps is gá a léamh do liosta teagmhálacha. 176 00:11:24,350 --> 00:11:26,510 Tá sé dócha nach bhfuil gá. 177 00:11:26,510 --> 00:11:30,990 Ceann de na rudaí suimiúla eile faoi cheadanna é 178 00:11:30,990 --> 00:11:36,740 má tú nasc i leabharlanna roinnte isteach i d'iarratas 179 00:11:36,740 --> 00:11:39,780 iad siúd hoidhreacht na ceadanna an t-iarratas, 180 00:11:39,780 --> 00:11:46,570 mar sin má theastaíonn uait do app ar an liosta teagmhála nó riachtanais an suíomh GPS a bheith ag feidhmiú 181 00:11:46,570 --> 00:11:49,940 agus tú nasc i leabharlann fógraíochta, mar shampla, 182 00:11:49,940 --> 00:11:53,170 Beidh an leabharlann ad in ann rochtain a fháil ar na teagmhálacha 183 00:11:53,170 --> 00:11:57,630 agus freisin a bheith in ann rochtain a fháil ar an suíomh GPS, 184 00:11:57,630 --> 00:12:01,990 agus a fhios ag an forbróir an app aon rud mar gheall ar an cód atá ag rith sa leabharlann ad. 185 00:12:01,990 --> 00:12:05,370 Tá siad ag nascadh go díreach i mar is mian leo a monetize a n-app. 186 00:12:05,370 --> 00:12:09,820 >> Tá sé seo i gcás-agus beidh mé ag caint faoi roinnt samplaí de seo le 187 00:12:09,820 --> 00:12:13,930 iarratas ar a dtugtar Pandora áit ina forbróir iarratas 188 00:12:13,930 --> 00:12:18,910 D'fhéadfadh a bheith ngan fhios leaking faisnéis 189 00:12:18,910 --> 00:12:24,580 as a n-úsáideoirí mar gheall ar leabharlanna atá siad nasctha isteach 190 00:12:24,580 --> 00:12:30,110 Suirbhéireacht ar an tírdhreach amach ann, ag féachaint ar gach apps éagsúla 191 00:12:30,110 --> 00:12:34,310 a bhí a tuairiscíodh sa nuacht mar nach n-íocfadh úsáideoirí mailíseach nó ag déanamh rud éigin ag iarraidh 192 00:12:34,310 --> 00:12:39,360 agus ansin iniúchadh a lán de na apps-linn a dhéanamh ar a lán de na anailís dhénártha statach ar apps soghluaiste, 193 00:12:39,360 --> 00:12:42,010 mar sin againn iad a scrúdú agus d'fhéach sé ar an cód féin- 194 00:12:42,010 --> 00:12:49,640 tháinig muid suas leis an méid tugaimid ár barr 10 liosta de na iompraíochtaí rioscúil in iarratais. 195 00:12:49,640 --> 00:12:54,180 Agus tá sé briste síos i 2 chuid, cód mailíseach, 196 00:12:54,180 --> 00:12:57,600 ionas go bhfuil na rudaí dona go bhféadfadh an apps bheith á dhéanamh sin 197 00:12:57,600 --> 00:13:06,520 Is dócha go mbeidh rud éigin go duine mailíseach 198 00:13:06,520 --> 00:13:10,060 Tá curtha go sonrach san iarratas, ach tá sé beagán doiléir. 199 00:13:10,060 --> 00:13:13,300 D'fhéadfadh sé a bheith rud éigin go cuí forbróir é, fíneáil, 200 00:13:13,300 --> 00:13:16,350 ach chríochnaíonn sé suas a bheith cumha mar mailíseach ag an úsáideoir. 201 00:13:16,350 --> 00:13:19,830 >> Agus ansin tá an dara cuid rud ar a dtugaimid leochaileachtaí códaithe, 202 00:13:19,830 --> 00:13:24,600 agus tá na rudaí leis an forbróir go bunúsach go bhfuil botúin a dhéanamh 203 00:13:24,600 --> 00:13:27,200 nó nach bhfuil ach a thuiscint conas a scríobh ar an app go daingean, 204 00:13:27,200 --> 00:13:30,260  agus go bhfuil ag cur an t-úsáideoir app i mbaol. 205 00:13:30,260 --> 00:13:34,060 Tá mé ag dul chun dul trí na mion agus a thabhairt ar roinnt samplaí. 206 00:13:34,060 --> 00:13:39,620 Le haghaidh tagartha, bhí mé a chur suas ar an OWASP soghluaiste barr 10 liosta. 207 00:13:39,620 --> 00:13:43,590 Seo iad na 10 saincheisteanna grúpa ag OWASP, 208 00:13:43,590 --> 00:13:48,900 Tionscadal Oscailte Gréasáin Iarratais Slándáil, tá siad grúpa oibre 209 00:13:48,900 --> 00:13:50,620 ag obair ar soghluaiste barr 10 liosta. 210 00:13:50,620 --> 00:13:54,600 Tá siad an-cháiliúil gréasáin barr 10 liosta, a bhfuil an barr 10 211 00:13:54,600 --> 00:13:57,180 rudaí is riskiest féidir leat a bheith in iarratas gréasáin. 212 00:13:57,180 --> 00:13:59,090 Tá siad ag déanamh an rud céanna le haghaidh soghluaiste, 213 00:13:59,090 --> 00:14:01,750 agus tá a n-liosta beagán difriúil ná mar a linne. 214 00:14:01,750 --> 00:14:03,670 6 as 10 mar an gcéanna. 215 00:14:03,670 --> 00:14:06,020 Tá siad 4 atá éagsúil. 216 00:14:06,020 --> 00:14:10,550 Sílim go bhfuil siad beagán de éagsúla a chur ar 217 00:14:10,550 --> 00:14:14,490 riosca i apps soghluaiste i gcás a lán a gcuid ceisteanna 218 00:14:14,490 --> 00:14:20,490 Tá i ndáiríre gcaoi a bhfuil an t-iarratas in iúl do fhreastalaí ar ais-deireadh 219 00:14:20,490 --> 00:14:23,100 nó cad atá ar siúl ar an bhfreastalaí ar ais-deireadh, 220 00:14:23,100 --> 00:14:29,220 apps nach bhfuil an oiread sin go bhfuil iompraíocht rioscúil go bhfuil apps cliaint ach simplí. 221 00:14:29,220 --> 00:14:36,640 >> Is iad na cinn i dearg anseo na difríochtaí idir na liostaí 2. 222 00:14:36,640 --> 00:14:40,740 Agus tá roinnt de mo fhoireann taighde chuir iarbhír leis an tionscadal seo, 223 00:14:40,740 --> 00:14:44,570 mar sin beidh orainn a fheiceáil cad a tharlaíonn le himeacht ama, ach is dóigh liom go bhfuil an takeaway anseo 224 00:14:44,570 --> 00:14:47,550 níl a fhios againn i ndáiríre cad é an liosta barr 10 i apps soghluaiste mar gheall ar 225 00:14:47,550 --> 00:14:50,510 i ndáiríre tá siad tar éis ach timpeall ar feadh 2 nó 3 bliana anois, 226 00:14:50,510 --> 00:14:57,750 agus ní raibh go leor ama chun taighde a dhéanamh i ndáiríre na córais oibriúcháin 227 00:14:57,750 --> 00:15:00,450 agus cad tá siad in ann, agus ní raibh go leor ama 228 00:15:00,450 --> 00:15:06,870 don phobal mailíseach, más maith leat, a chaith go leor ama 229 00:15:06,870 --> 00:15:12,910 ag iarraidh a ionsaí úsáideoirí trí apps soghluaiste, mar sin mé ag súil leis na liostaí a athrú le beagán. 230 00:15:12,910 --> 00:15:18,720 Ach do anois, is iad seo na 10 rudaí is fearr a bheith buartha faoi. 231 00:15:18,720 --> 00:15:24,150 D'fhéadfá Wonder ar an taobh soghluaiste nuair a dhéanann an cód mailíseach soghluaiste- 232 00:15:24,150 --> 00:15:28,880 conas a dhéanann sé a fháil ar an gléas? 233 00:15:28,880 --> 00:15:35,210 North Carolina Stáit Tá tionscadal ar a dtugtar an Tionscadal Géineoim Soghluaiste Malware 234 00:15:35,210 --> 00:15:39,520 áit a bhfuil siad ag bailiú an oiread malware soghluaiste agus is féidir leo agus anailís a dhéanamh uirthi, 235 00:15:39,520 --> 00:15:45,270 agus tá siad briste síos na veicteoirí instealladh a úsáideann an malware soghluaiste, 236 00:15:45,270 --> 00:15:51,490 agus 86% a úsáid teicníc ar a dtugtar athphacáistiú, 237 00:15:51,490 --> 00:15:54,160 agus tá sé seo ach amháin ar an ardán Android 238 00:15:54,160 --> 00:15:56,720 Is féidir leat a dhéanamh i ndáiríre seo a athphacáistiú. 239 00:15:56,720 --> 00:16:03,100 >> Is é an chúis cód Android tógtha le 240 00:16:03,100 --> 00:16:08,130 cód beart Java ar a dtugtar Dalvik atá go héasca decompilable. 241 00:16:08,130 --> 00:16:12,460 Cad is féidir leis an Guy dona dhéanamh 242 00:16:12,460 --> 00:16:16,590 a ghlacadh ar iarratas Android, decompile é, 243 00:16:16,590 --> 00:16:20,120 isteach a n-cód mailíseach, recompile é, 244 00:16:20,120 --> 00:16:28,070 agus ansin é a chur suas ar an siopa app a airbheartaíonn a bheith ina leagan nua den iarratas sin, 245 00:16:28,070 --> 00:16:30,330 nó díreach ag athrú b'fhéidir an t-ainm ar an iarratas. 246 00:16:30,330 --> 00:16:35,140 Má bhí sé de chineál éigin de chluiche, a athrú an t-ainm beagán, 247 00:16:35,140 --> 00:16:42,860 agus mar sin tá an athphacáistiú conas a fhaigheann 86% de malware soghluaiste a dháileadh. 248 00:16:42,860 --> 00:16:45,810 Níl cothrom le dáta teicníc ar a dtugtar eile atá 249 00:16:45,810 --> 00:16:50,030 an-chosúil leis athphacáistiú, ach tú nach bhfuil i ndáiríre a chur ar an cód mailíseach isteach 250 00:16:50,030 --> 00:16:52,870 Cad a dhéanann tú é a chuir tú i meicníocht nuashonrú beag. 251 00:16:52,870 --> 00:16:56,660 Decompile tú, tú a chur i meicníocht cothrom le dáta, agus tú recompile é, 252 00:16:56,660 --> 00:17:02,360 agus ansin nuair a bhíonn an app ag rith pulls sé síos an malware isteach ar an gléas. 253 00:17:02,360 --> 00:17:06,300 >> Le fada go bhfuil an chuid is mó dóibh siúd 2 teicnící. 254 00:17:06,300 --> 00:17:12,710 Níl íoslódáil i bhfad i ndáiríre tiomáint-leataobh nó a thiomáint-trí íosluchtú phóca, 255 00:17:12,710 --> 00:17:15,890 d'fhéadfadh a bheith cosúil le ionsaí phishing. 256 00:17:15,890 --> 00:17:18,200 Hey, seiceáil amach an suíomh gréasáin seo i ndáiríre fionnuar, 257 00:17:18,200 --> 00:17:21,020 nó is gá duit dul chuig an suíomh gréasáin seo agus líon isteach an fhoirm seo 258 00:17:21,020 --> 00:17:24,420 a choinneáil ag leanúint ag déanamh rud éigin. 259 00:17:24,420 --> 00:17:26,230 Glacfar iad phishing ionsaithe. 260 00:17:26,230 --> 00:17:28,160 Is féidir an rud céanna a tharlóidh ar an ardán soghluaiste a bhfuil siad 261 00:17:28,160 --> 00:17:33,830 pointe app soghluaiste a íoslódáil, a rá "Dia duit, is é seo Banc na Mheiriceá." 262 00:17:33,830 --> 00:17:36,070 "Feicimid go bhfuil tú ag baint úsáide iarratas seo." 263 00:17:36,070 --> 00:17:38,540 "Ba chóir duit a íoslódáil an t-iarratas eile." 264 00:17:38,540 --> 00:17:41,170 Teoiriciúil, d'fhéadfadh go n-oibríonn. 265 00:17:41,170 --> 00:17:48,610 B'fhéidir go bhfuil sé nach bhfuil ach á n-úsáid go leor chun a chinneadh cibé an bhfuil sé rathúil nó nach ea, 266 00:17:48,610 --> 00:17:51,680 ach fuair siad go bhfuil níos lú ná 1% den am sin teicníc a úsáidtear. 267 00:17:51,680 --> 00:17:56,130 An chuid is mó den am tá sé i ndáiríre cód athphacáisteofar iad. 268 00:17:56,130 --> 00:17:58,710 >> Níl chatagóir ar a dtugtar eile standalone 269 00:17:58,710 --> 00:18:01,420 nuair a thógann duine éigin ach iarratas branda-nua. 270 00:18:01,420 --> 00:18:04,020 Thógáil siad iarratas go n-airbheartaíonn a bheith rud éigin. 271 00:18:04,020 --> 00:18:07,360 Níl sé ina athphacáistiú rud éigin eile, agus go bhfuil an cód mailíseach. 272 00:18:07,360 --> 00:18:11,230 Sin a úsáidtear 14% den am. 273 00:18:11,230 --> 00:18:17,880 Anois, ba mhaith liom labhairt faoi cad é an cód mailíseach a dhéanamh? 274 00:18:17,880 --> 00:18:23,070 Ceann de na chéad malware amach ann 275 00:18:23,070 --> 00:18:25,490 d'fhéadfaí tú a bhreithniú spyware. 276 00:18:25,490 --> 00:18:27,620 Spies sé go bunúsach ar an úsáideoir. 277 00:18:27,620 --> 00:18:30,470 Bailíonn sé ríomhphost, teachtaireachtaí SMS. 278 00:18:30,470 --> 00:18:32,340 Casadh sé ar an micreafón. 279 00:18:32,340 --> 00:18:37,330 Harvests sé an leabhar teagmhála, agus cuireann sé sé amach le duine éigin eile. 280 00:18:37,330 --> 00:18:40,870 Tá an cineál seo spyware ar an ríomhaire, 281 00:18:40,870 --> 00:18:46,200 mar sin a dhéanann sé ciall foirfe do dhaoine chun iarracht a dhéanamh ar gléasanna soghluaiste. 282 00:18:46,200 --> 00:18:53,230 >> Ba é ceann de na chéad samplaí de seo clár ar a dtugtar Rúnda replicator SMS. 283 00:18:53,230 --> 00:18:56,250 Bhí sé i margadh Android cúpla bliain ó shin, 284 00:18:56,250 --> 00:18:59,960 agus bhí an smaoineamh má bhí rochtain ag duine ar fón Android tú 285 00:18:59,960 --> 00:19:03,450 go raibh tú a Spy ar, mar sin b'fhéidir go bhfuil sé do chéile 286 00:19:03,450 --> 00:19:07,600 nó do suntasach eile agus ba mhaith leat a Spy ar a gcuid teachtaireachtaí téacs, 287 00:19:07,600 --> 00:19:11,200 d'fhéadfaí tú a íoslódáil an app agus é a shuiteáil agus a chumrú 288 00:19:11,200 --> 00:19:16,540 chun teachtaireacht téacs SMS a sheoladh chuig tú le cóip 289 00:19:16,540 --> 00:19:21,710 gach teachtaireacht téacs SMS a fuair siad. 290 00:19:21,710 --> 00:19:27,220 Tá sé seo ar ndóigh i sáruithe ar théarmaí siopa app seirbhíse, 291 00:19:27,220 --> 00:19:32,040 agus baineadh é seo, ón margadh Android laistigh de 18 uair an chloig de a bheith ann, 292 00:19:32,040 --> 00:19:36,760 mar sin bhí líon an-bheag de dhaoine atá i mbaol mar gheall ar seo. 293 00:19:36,760 --> 00:19:42,510 Anois, I mo thuairimse, más rud é go raibh an clár ar a dtugtar rud éigin b'fhéidir beagán níos lú gríosaitheach 294 00:19:42,510 --> 00:19:48,690 cosúil Rúnda replicator SMS bheadh ​​sé a bheith ag obair is dócha a lán níos fearr. 295 00:19:48,690 --> 00:19:52,870 Ach bhí sé de chineál ar soiléir. 296 00:19:52,870 --> 00:19:58,680 >> Ceann de na rudaí is féidir linn a dhéanamh chun a chinneadh má tá apps seo a iompar nach bhfuil muid ag iarraidh 297 00:19:58,680 --> 00:20:01,410 is é a iniúchadh ar an gcód. 298 00:20:01,410 --> 00:20:06,250 Tá sé seo i ndáiríre i ndáiríre éasca a dhéanamh ar Android mar is féidir linn a decompile na apps. 299 00:20:06,250 --> 00:20:11,050 Ar iOS is féidir leat úsáid a dídhíolamóra cosúil le IDA Pro 300 00:20:11,050 --> 00:20:17,190 chun breathnú ar cad APIs é an app ag glaoch agus cad é a dhéanamh. 301 00:20:17,190 --> 00:20:20,680 Scríobh muid ár Anailíseoir dénártha féin statach le haghaidh ár cód 302 00:20:20,680 --> 00:20:24,940 agus a dhéanann muid seo, agus mar sin cad a d'fhéadfadh tú a dhéanamh ná a d'fhéadfaí tú a rá 303 00:20:24,940 --> 00:20:30,490 a dhéanann an gléas rud ar bith go bhfuil spying go bunúsach ar dom nó dom a rianú a dhéanamh? 304 00:20:30,490 --> 00:20:33,360 Agus tá mé roinnt samplaí anseo ar an iPhone. 305 00:20:33,360 --> 00:20:41,440 Is é seo an chéad sampla conas rochtain a fháil ar an UUID ar an bhfón. 306 00:20:41,440 --> 00:20:47,060 Sé seo i ndáiríre rud éigin go bhfuil Apple cosc ​​díreach d'iarratais nua, 307 00:20:47,060 --> 00:20:52,540 ach is féidir iarratais d'aois go mb'fhéidir go mbeadh tú a bheith ag rith ar do ghuthán a dhéanamh fós seo, 308 00:20:52,540 --> 00:20:56,500 agus mar sin gur féidir aitheantóir uathúil a úsáid a rianú tú 309 00:20:56,500 --> 00:21:00,440 thar go leor iarratais éagsúla. 310 00:21:00,440 --> 00:21:07,180 >> Ar an Android, tá mé sampla anseo ag dul suíomh an gléas. 311 00:21:07,180 --> 00:21:10,310 Is féidir leat a fheiceáil go más rud é go glaoch API ann go bhfuil an app rianú, 312 00:21:10,310 --> 00:21:15,000 agus is féidir leat a fheiceáil cé acu tá sé ag fáil suíomh fíneáil nó garbh suíomh. 313 00:21:15,000 --> 00:21:18,860 Agus ansin ar bun anseo, tá mé sampla den tslí ar an sméar dubh 314 00:21:18,860 --> 00:21:25,130 D'fhéadfadh iarratas teacht ar na teachtaireachtaí ríomhphoist i do bhosca. 315 00:21:25,130 --> 00:21:27,660 Is iad seo an cineál rudaí is féidir leat iniúchadh a fheiceáil 316 00:21:27,660 --> 00:21:32,360 má tá an app ag déanamh na rudaí. 317 00:21:32,360 --> 00:21:38,320 An dara catagóir mór ar iompar mailíseach, agus tá sé seo is dócha an chatagóir is mó anois, 318 00:21:38,320 --> 00:21:43,950 Tá dhiailiú neamhúdaraithe, phréimh neamhúdaraithe teachtaireachtaí téacs SMS 319 00:21:43,950 --> 00:21:46,080 nó íocaíochtaí neamhúdaraithe. 320 00:21:46,080 --> 00:21:48,930 Rud eile go bhfuil ar leith mar gheall ar an teileafón 321 00:21:48,930 --> 00:21:52,700 Tá an gléas a hooked le cuntas billeála, 322 00:21:52,700 --> 00:21:55,960 agus nuair a tharlaíonn na gníomhaíochtaí ar an teileafón 323 00:21:55,960 --> 00:21:58,510 Is féidir é a chruthú muirir. 324 00:21:58,510 --> 00:22:00,700 Is féidir leat rudaí a cheannach ar an teileafón, 325 00:22:00,700 --> 00:22:04,390 agus nuair a sheolann tú teachtaireacht téacs SMS préimhe a bhíonn tú ag tabhairt airgid iarbhír 326 00:22:04,390 --> 00:22:11,590 don sealbhóir cuntais ar an uimhir teileafóin ar an taobh eile. 327 00:22:11,590 --> 00:22:17,420 Bunaíodh na suas a fháil Sleachta stoc nó a fháil do horoscope laethúil nó nithe eile, 328 00:22:17,420 --> 00:22:21,680 ach is féidir iad a chur ar bun a ordú a táirge ag téacs SMS a sheoladh. 329 00:22:21,680 --> 00:22:26,970 Daoine airgead a thabhairt don Croise Deirge a sheoladh trí teachtaireacht téacs. 330 00:22:26,970 --> 00:22:30,650 Is féidir leat a thabhairt $ 10 go bhealach. 331 00:22:30,650 --> 00:22:34,190 >> An attackers, méid atá déanta acu go bhfuil bhunaigh siad 332 00:22:34,190 --> 00:22:38,750 cuntais i dtíortha iasachta, agus a neadú siad sa malware 333 00:22:38,750 --> 00:22:42,840 go mbeidh an fón a sheoladh teachtaireacht téacs SMS préimhe, 334 00:22:42,840 --> 00:22:47,700 rá, cúpla uair sa lá, agus ag deireadh na míosa realize tú atá tú a chaitear 335 00:22:47,700 --> 00:22:52,090 deicheanna nó b'fhéidir fiú na céadta dollar, agus tá siad ag siúl amach leis an airgead. 336 00:22:52,090 --> 00:22:57,280 Fuair ​​sé seo chomh dona go raibh sé seo an-an chéad rud go bhfuil an Android 337 00:22:57,280 --> 00:23:00,760 Margadh nó an Google áit-go raibh sé an margadh Android ag an am, 338 00:23:00,760 --> 00:23:04,430 agus tá sé anois ar Google Play-an chéad rud a thosaigh Google sheiceáil le haghaidh. 339 00:23:04,430 --> 00:23:08,700 Nuair a thosaigh Google apps Android a dháileadh i n-siopa app 340 00:23:08,700 --> 00:23:11,350 Dúirt siad nach raibh siad ag dul a sheiceáil le haghaidh rud ar bith. 341 00:23:11,350 --> 00:23:15,630 Beidh muid apps tarraingt nuair a tá muid in iúl atá siad briste ar ár téarmaí seirbhíse, 342 00:23:15,630 --> 00:23:17,520 ach ní táimid ag dul a sheiceáil le haghaidh rud ar bith. 343 00:23:17,520 --> 00:23:24,350 Bhuel, thart ar bhliain ó shin fuair sé chomh dona le préimh SMS teachtaireacht téacs seo malware 344 00:23:24,350 --> 00:23:28,030 gurb é seo an-an chéad a thosaigh siad ag seiceáil do. 345 00:23:28,030 --> 00:23:31,770 Más féidir app teachtaireachtaí téacs SMS a sheoladh 346 00:23:31,770 --> 00:23:34,750 siad grinnscrúdú breise de láimh iarratas sin. 347 00:23:34,750 --> 00:23:38,770 Féach siad do na APIs go glaoch seo, 348 00:23:38,770 --> 00:23:40,580 agus anois ó shin i leith tá Google leathnú, 349 00:23:40,580 --> 00:23:46,900 ach seo an chéad rud gur thosaigh siad ag lorg. 350 00:23:46,900 --> 00:23:50,690 >> Roinnt apps eile a raibh roinnt teachtaireachtaí téacs SMS, 351 00:23:50,690 --> 00:23:56,980 an Android Qicsomos, buille faoi thuairim mé go bhfuil sé ar a dtugtar. 352 00:23:56,980 --> 00:24:02,670 Bhí an ócáid ​​ann faoi láthair ar an soghluaiste nuair a tháinig an CarrierIQ amach 353 00:24:02,670 --> 00:24:07,720 mar a chur spyware ar an ngléas ag na hiompróirí, 354 00:24:07,720 --> 00:24:10,820 mar sin bhí a fhios ag daoine má bhí a n fón leochaileach seo, 355 00:24:10,820 --> 00:24:13,890 agus bhí sé seo app saor in aisce a thástáil go. 356 00:24:13,890 --> 00:24:17,520 Bhuel, ar ndóigh, cad é an app dhearna chuir sé phréimh teachtaireachtaí téacs SMS, 357 00:24:17,520 --> 00:24:20,090 mar sin trí thástáil a fheiceáil má tá tú ag ionfhabhtaithe le spyware 358 00:24:20,090 --> 00:24:24,930 luchtú tú malware ar do gléas. 359 00:24:24,930 --> 00:24:27,310 Chonaic muid an rud céanna a tharlóidh ag an deireanach Super Bowl. 360 00:24:27,310 --> 00:24:33,180 Bhí leagan bréagach den chluiche peile Madden 361 00:24:33,180 --> 00:24:38,320 a chuir phréimh teachtaireachtaí téacs SMS. 362 00:24:38,320 --> 00:24:45,750 Rinne sé i ndáiríre a chruthú líonra bot freisin ar an ngléas. 363 00:24:45,750 --> 00:24:48,090 Anseo tá mé roinnt samplaí. 364 00:24:48,090 --> 00:24:52,640 Suimiúil go leor, bhí Apple cliste go leor, 365 00:24:52,640 --> 00:24:58,470 agus nach bhfuil siad ar chumas iarratais chun teachtaireachtaí téacs SMS a sheoladh ar chor ar bith. 366 00:24:58,470 --> 00:25:00,350 Ní féidir aon app a dhéanamh. 367 00:25:00,350 --> 00:25:03,530 Sin ar bhealach iontach de Seicigh de rang iomlán de leochaileacht, 368 00:25:03,530 --> 00:25:09,040 ach ar Android is féidir leat é a dhéanamh, agus ar ndóigh, ar sméar dubh is féidir leat é a dhéanamh chomh maith. 369 00:25:09,040 --> 00:25:13,060 Tá sé suimiúil go bhfuil ar an sméar dubh is léir is gá duit cead idirlín 370 00:25:13,060 --> 00:25:18,370 a sheoladh teachtaireacht téacs SMS. 371 00:25:18,370 --> 00:25:21,580 >> An rud eile i ndáiríre go táimid ag do 372 00:25:21,580 --> 00:25:24,780 Is nuair a bhíonn muid ag iarraidh a fheiceáil má tá rud éigin mailíseach ach de chineál ar bith 373 00:25:24,780 --> 00:25:28,100 ghníomhaíocht líonra neamhúdaraithe, ar nós féachaint ar an ghníomhaíocht líonra 374 00:25:28,100 --> 00:25:31,570 Is é an app ceaptha a bheith a bheith acu ar a fheidhmiúlacht, 375 00:25:31,570 --> 00:25:35,380 agus ag féachaint ar an ghníomhaíocht líonra eile. 376 00:25:35,380 --> 00:25:43,380 B'fhéidir app, a bheith ag obair, tá a sonraí a fháil thar HTTP, 377 00:25:43,380 --> 00:25:47,500 ach má tá sé ag déanamh rudaí thar r-phost nó SMS nó Bluetooth nó rud éigin mar sin 378 00:25:47,500 --> 00:25:52,890 anois a d'fhéadfadh a bheith app fhéadfadh a bheith mailíseach, mar sin tá sé seo rud eile is féidir leat iniúchadh. 379 00:25:52,890 --> 00:26:00,430 Agus ar an sleamhnán anseo tá mé roinnt samplaí de sin. 380 00:26:00,430 --> 00:26:05,950 Rud spéisiúil eile a chonaic muid le malware a tharla ar ais sa bhliain 2009, 381 00:26:05,950 --> 00:26:07,600 agus tharla sé ar bhealach mór. 382 00:26:07,600 --> 00:26:11,390 Níl a fhios agam má tá sé a tharla an oiread sin ó shin i leith, ach bhí sé app 383 00:26:11,390 --> 00:26:15,140 go impersonated iarratas eile. 384 00:26:15,140 --> 00:26:21,700 Bhí sraith de apps, agus bhí sé fuair teideal an ionsaí 09Droid, 385 00:26:21,700 --> 00:26:29,770 agus chinn duine éigin go raibh a lán de beag, réigiúnach, bainc midsize 386 00:26:29,770 --> 00:26:32,260 Ní raibh go bhfuil iarratais ar baincéireacht ar líne, 387 00:26:32,260 --> 00:26:36,870 mar sin cad a rinne siad a bhí siad tógtha thart ar 50 iarratas baincéireachta ar-líne 388 00:26:36,870 --> 00:26:39,410 go léir a rinne siad go raibh a chur ar an t-ainm úsáideora agus do phasfhocal a 389 00:26:39,410 --> 00:26:42,190 agus tú a atreorú chuig an láithreán gréasáin. 390 00:26:42,190 --> 00:26:47,470 Agus mar sin chuir siad seo go léir ar bun sa Google Marketplace, 391 00:26:47,470 --> 00:26:51,530 sa margadh Android, agus nuair a chuardach duine éigin a fheiceáil má tá a bhanc 392 00:26:51,530 --> 00:26:56,000 Bhí iarratas mbeadh siad ag teacht leis an iarratas bréige, 393 00:26:56,000 --> 00:27:01,230 a bailíodh a gcuid dintiúir agus ansin a atreorú orthu a gcuid láithreán gréasáin. 394 00:27:01,230 --> 00:27:06,640 An bealach go bhfuil sé seo i ndáiríre tháinig an-bhí apps suas ann ar feadh cúpla seachtain, 395 00:27:06,640 --> 00:27:09,050 agus bhí na mílte agus na mílte íosluchtú. 396 00:27:09,050 --> 00:27:12,910 >> An bealach a tháinig seo chun solais go raibh duine a bhí ag a bhfuil fadhb 397 00:27:12,910 --> 00:27:15,740 le ceann amháin de na hiarratais, agus d'iarr siad a gcuid banc, 398 00:27:15,740 --> 00:27:18,390 agus d'iarr siad ar líne tacaíochta custaiméara a bhainc agus dúirt sé, 399 00:27:18,390 --> 00:27:21,180 "Tá mé ag a bhfuil fadhb le d'iarratas baincéireachta soghluaiste." 400 00:27:21,180 --> 00:27:23,460 "An féidir leat cabhrú liom amach?" 401 00:27:23,460 --> 00:27:26,540 Agus dúirt siad, "Ní chuirimid bhfuil iarratas baincéireachta soghluaiste." 402 00:27:26,540 --> 00:27:28,120 Sin a thosaigh an t-imscrúdú. 403 00:27:28,120 --> 00:27:31,200 Sin an banc ar a dtugtar Google, agus ansin d'fhéach Google agus dúirt sé, 404 00:27:31,200 --> 00:27:37,220 "Wow, tá an t-údar céanna 50 iarratas scríofa bainc," agus thóg iad uile síos. 405 00:27:37,220 --> 00:27:43,410 Ach is cinnte bhféadfadh sé seo tarlú arís. 406 00:27:43,410 --> 00:27:51,790 Níl an liosta de na bainc éagsúla anseo 407 00:27:51,790 --> 00:27:55,870 a bhí mar chuid den seo a scam. 408 00:27:55,870 --> 00:28:02,050 Is é an rud eile ar féidir leis an app a dhéanamh i láthair an Chomhéadain iarratais eile. 409 00:28:02,050 --> 00:28:06,430 Cé go bhfuil sé ag rith d'fhéadfadh sé a pop suas an Chomhéadain Facebook. 410 00:28:06,430 --> 00:28:09,540 Deir sé go bhfuil tú a chur i do ainm úsáideora agus do phasfhocal a leanúint 411 00:28:09,540 --> 00:28:15,090 nó a chur suas aon ainm úsáideora agus focal faire le haghaidh Chomhéadain láithreán gréasáin 412 00:28:15,090 --> 00:28:18,420 go b'fhéidir úsáideann an t-úsáideoir ach chun iarracht a trick an t-úsáideoir 413 00:28:18,420 --> 00:28:21,340 isteach a chur a n-dintiúir isteach 414 00:28:21,340 --> 00:28:25,590 Tá sé seo i ndáiríre ar comhthreomhar díreach ar na n-ionsaithe phishing r-phost 415 00:28:25,590 --> 00:28:28,210 i gcás ina seolann duine tú teachtaireacht ríomhphoist 416 00:28:28,210 --> 00:28:33,050 agus tugann tú go bunúsach Chomhéadain falsa ar láithreán gréasáin 417 00:28:33,050 --> 00:28:37,320 go bhfuil rochtain agat ar. 418 00:28:37,320 --> 00:28:41,590 >> Is é an rud eile a táimid ag do i cód mailíseach modhnú córas. 419 00:28:41,590 --> 00:28:48,160 Is féidir leat breathnú ar do na glaonna API gur gá phribhléid fhréamh 420 00:28:48,160 --> 00:28:50,870 a fhorghníomhú i gceart. 421 00:28:50,870 --> 00:28:56,160 Dá n-athrófaí seachfhreastalaí gréasáin an gléas a bheith rud éigin go bhfuil iarratas 422 00:28:56,160 --> 00:28:59,530 Níor chóir a bheith in ann a dhéanamh. 423 00:28:59,530 --> 00:29:03,030 Ach má tá cód in ann é sin a dhéanamh an t-iarratas 424 00:29:03,030 --> 00:29:05,960 Tá a fhios agat go bhfuil sé dócha go bhfuil iarratas mailíseach 425 00:29:05,960 --> 00:29:09,620 nó an-dócha go mbeidh iarratas mailíseach go mór, 426 00:29:09,620 --> 00:29:13,910 agus mar sin cad a tharlódh go mbeadh app go bhfuil ar bhealach éigin de escalating phribhléid. 427 00:29:13,910 --> 00:29:17,200 Bheadh ​​sé go bhfuil roinnt ghéarú phribhléid leas a bhaint as 428 00:29:17,200 --> 00:29:20,730 san iarratas, agus ansin nuair a ghéaraigh sé pribhléidí 429 00:29:20,730 --> 00:29:23,800 bheadh ​​sé a dhéanamh ar na modhnuithe córas. 430 00:29:23,800 --> 00:29:28,010 Is féidir leat teacht ar malware go bhfuil ghéarú phribhléid 431 00:29:28,010 --> 00:29:32,550 ann fiú gan a fhios agam conas an ardú pribhléid 432 00:29:32,550 --> 00:29:37,960 leas a bhaint as bhfuil dul chun tarlú, agus go bhfuil, ar bhealach deas éasca 433 00:29:37,960 --> 00:29:41,220 a chuardach le haghaidh malware. 434 00:29:41,220 --> 00:29:46,030 DroidDream dócha go raibh an píosa is cáiliúla de malware Android. 435 00:29:46,030 --> 00:29:50,530 I mo thuairimse, tionchar sé thart ar 250,000 úsáideoirí thar cúpla lá 436 00:29:50,530 --> 00:29:52,810 sula bhfuarthas é. 437 00:29:52,810 --> 00:29:56,890 Go n-athphacáisteofar iad 50 iarratas bréagach, 438 00:29:56,890 --> 00:30:00,370 iad a chur sa siopa app Android, 439 00:30:00,370 --> 00:30:10,940 agus go bunúsach a úsáidtear é cód jailbreak Android a pribhléidí a fhormhéadú 440 00:30:10,940 --> 00:30:16,380 agus ansin a shuiteáil ordú agus a rialú agus cas ar fad na n-íospartach 441 00:30:16,380 --> 00:30:20,690 isteach i glan bot, ach d'fhéadfaí tú a bhrath seo 442 00:30:20,690 --> 00:30:24,170 má bhí tú ag scanadh an t-iarratas agus díreach ag lorg 443 00:30:24,170 --> 00:30:32,230 Glaonna API go bhfuil cead fhréamh teastáil a fhorghníomhú i gceart. 444 00:30:32,230 --> 00:30:40,150 >> Agus níl sampla anseo tá mé a athrú ar an seachfhreastalaí, 445 00:30:40,150 --> 00:30:46,380 agus tá sé seo i ndáiríre ar fáil ach amháin ar an Android. 446 00:30:46,380 --> 00:30:49,070 Is féidir leat a fheiceáil mé a thabhairt duit a lán de na samplaí ar Android 447 00:30:49,070 --> 00:30:53,990 mar is é seo áit a bhfuil an éiceachóras malware is gníomhaí 448 00:30:53,990 --> 00:30:58,690 mar tá sé i ndáiríre éasca do ionsaitheoir a fháil ar cód mailíseach 449 00:30:58,690 --> 00:31:01,470 isteach sa margadh Android. 450 00:31:01,470 --> 00:31:06,480 Níl sé chomh furasta sin a dhéanamh sa Apple App Store 451 00:31:06,480 --> 00:31:10,250 mar gheall ar Éilíonn Apple forbróirí iad féin a aithint 452 00:31:10,250 --> 00:31:12,790 agus sínigh an cód. 453 00:31:12,790 --> 00:31:20,340 Siad a sheiceáil i ndáiríre a bhfuil tú, agus Apple tá scrutinizing i ndáiríre na n-iarratas. 454 00:31:20,340 --> 00:31:27,450 Ní chuirimid a fheiceáil go leor de malware fíor ina bhfuil an gléas dul i gcontúirt. 455 00:31:27,450 --> 00:31:32,250 Beidh mé ag caint faoi roinnt samplaí i gcás ina bhfuil sé i ndáiríre príobháideachta go bhfuil dul i gcontúirt, 456 00:31:32,250 --> 00:31:38,460 agus go bhfuil an méid atá ag tarlú i ndáiríre ar an gléas Apple. 457 00:31:38,460 --> 00:31:44,090 Rud eile a chuardach le haghaidh cód mailíseach, cód risky i feistí 458 00:31:44,090 --> 00:31:50,300 Is loighic nó am buamaí, agus tá buamaí ama is dócha 459 00:31:50,300 --> 00:31:53,370 i bhfad níos éasca a chuardach le haghaidh ná buamaí loighic. 460 00:31:53,370 --> 00:31:57,030 Ach le buamaí ama, cad is féidir leat a dhéanamh ná is féidir leat breathnú ar 461 00:31:57,030 --> 00:32:04,760 áiteanna sa chód áit a bhfuil an t-am a thástáil nó am iomlán atá sa tóir ar 462 00:32:04,760 --> 00:32:08,190 roimh a tharlaíonn feidhmiúlacht áirithe sa app. 463 00:32:08,190 --> 00:32:14,200 Agus d'fhéadfadh sé seo a dhéanamh chun dul i bhfolach go gníomhaíocht ón úsáideoir, 464 00:32:14,200 --> 00:32:17,510 mar sin tá sé ag tarlú go déanach san oíche. 465 00:32:17,510 --> 00:32:24,350 DroidDream raibh a ghníomhaíocht ar fad 11:00-08:00 am áitiúil 466 00:32:24,350 --> 00:32:30,650 chun iarracht a dhéanamh cé nach bhféadfadh an t-úsáideoir a bheith ag baint úsáide n-gléas. 467 00:32:30,650 --> 00:32:38,680 >> Tá cúis eile é seo a dhéanamh má tá daoine ag baint úsáide as anailís iompraíochta d'iarratas, 468 00:32:38,680 --> 00:32:43,430 reáchtáil an app i bosca gainimh a fheiceáil cad é an iompar ar an t-iarratas, 469 00:32:43,430 --> 00:32:51,090 Is féidir iad a úsáid loighic am-bhunaithe a dhéanamh ar an ngníomhaíocht 470 00:32:51,090 --> 00:32:54,640 nuair nach bhfuil an app sa bosca gainimh. 471 00:32:54,640 --> 00:33:01,520 Mar shampla, siopa app cosúil le Apple 472 00:33:01,520 --> 00:33:07,940 Ritheann an t-iarratas, ach tá siad dócha nach bhfuil a reáchtáil gach iarratas ar, abair, 30 lá 473 00:33:07,940 --> 00:33:10,550 roimh sé é a fhormheas, ionas gur féidir leat a chur 474 00:33:10,550 --> 00:33:14,120 loighic i d'iarratas a dúirt sé, ceart go leor, a dhéanamh ach an rud dona 475 00:33:14,120 --> 00:33:20,490 tar éis 30 lá imithe ag, nó tar éis 30 lá tar éis an dáta a fhoilsiú an iarratais, 476 00:33:20,490 --> 00:33:27,020 agus gur féidir cabhrú leis an cód hide mailíseach ó dhaoine a iniúchadh chun é. 477 00:33:27,020 --> 00:33:30,050 Má tá cuideachtaí frith-víreas rudaí ag rith i sandboxes 478 00:33:30,050 --> 00:33:36,370 nó go bhfuil na siopaí app féin is féidir an cúnamh 479 00:33:36,370 --> 00:33:39,260 hide gurab ón iniúchadh. 480 00:33:39,260 --> 00:33:43,020 Anois, is é an taobh smeach de go bhfuil sé éasca a fháil le hanailíse stataí, 481 00:33:43,020 --> 00:33:46,170 mar sin i ndáiríre iniúchadh an cód is féidir leat breathnú ar na háiteanna ar fad 482 00:33:46,170 --> 00:33:54,010 i gcás tástálacha an t-iarratas an t-am agus iniúchadh a dhéanamh go bhealach. 483 00:33:54,010 --> 00:33:58,850 Agus anseo tá mé roinnt samplaí ar na 3 ardáin éagsúla 484 00:33:58,850 --> 00:34:05,640 conas is féidir am a sheiceáil le haghaidh an déantóir app 485 00:34:05,640 --> 00:34:10,520 sin a fhios agat cad a lorg má tá tú ag iniúchadh an app statically. 486 00:34:10,520 --> 00:34:14,570 >> Chuaigh mé díreach trí a bunch iomlán de ghníomhaíochtaí mailíseach éagsúla 487 00:34:14,570 --> 00:34:18,969 go atá feicthe againn sa fiáin, ach tá na cinn is forleithne? 488 00:34:18,969 --> 00:34:23,940 Sin staidéar céanna ó Thionscadal Stáit Soghluaiste Genome North Carolina 489 00:34:23,940 --> 00:34:28,560 D'fhoilsigh cuid de na sonraí, agus bhí go bunúsach 4 réimsí 490 00:34:28,560 --> 00:34:32,850 gur chonaic siad áit a raibh a lán de na gníomhaíochta. 491 00:34:32,850 --> 00:34:35,370 Rinne 37% de na apps escalation phribhléid, 492 00:34:35,370 --> 00:34:38,429 mar sin bhí siad roinnt de chineál cód jailbreak in ann 493 00:34:38,429 --> 00:34:42,070 nuair a rinne siad chun pribhléidí ardú ionas go bhféadfadh siad 494 00:34:42,070 --> 00:34:48,360 dhéanamh orduithe API rith mar an córas oibriúcháin. 495 00:34:48,360 --> 00:34:52,520 45% de na apps amach ann raibh SMS préimhe, 496 00:34:52,520 --> 00:34:57,260 ionas go céatadán mór go bhfuil ag iarraidh a monetize go díreach. 497 00:34:57,260 --> 00:35:02,640 Rinne 93% rialú iargúlta, mar sin rinne siad a chur ar bun glan bot, glan bot soghluaiste. 498 00:35:02,640 --> 00:35:08,990 Agus a lománaíodh 45% eolas a aithint 499 00:35:08,990 --> 00:35:16,230 cosúil le uimhreacha gutháin, UUIDs, suíomh GPS, cuntais úsáideora, 500 00:35:16,230 --> 00:35:22,870 agus cuireann sé seo suas go dtí níos mó ná 100 toisc go iarracht an chuid is mó malware a dhéanamh ar roinnt de na rudaí seo. 501 00:35:22,870 --> 00:35:27,070 >> Tá mé ag dul a aistriú chuig an dara leath agus labhairt faoi na leochaileachtaí cód. 502 00:35:27,070 --> 00:35:29,480 Is é seo an dara leath den ghníomhaíocht risky. 503 00:35:29,480 --> 00:35:33,450 Tá sé seo i gcás go bunúsach go bhfuil an bhforbróir earráidí a dhéanamh. 504 00:35:33,450 --> 00:35:37,210 Forbróir dlisteanach scríobh app dlisteanach 505 00:35:37,210 --> 00:35:41,830 Tá earráidí a dhéanamh nó go bhfuil aineolach ar na rioscaí a bhaineann leis an ardán soghluaiste. 506 00:35:41,830 --> 00:35:44,780 Siad ní hamháin bhfuil a fhios conas a dhéanamh app soghluaiste slán, 507 00:35:44,780 --> 00:35:47,700 nó uaireanta nach bhfuil an bhforbróir cúram faoi a chur an t-úsáideoir i mbaol. 508 00:35:47,700 --> 00:35:50,850 Uaireanta, d'fhéadfadh cuid de a n-mhúnla gnó a bheith 509 00:35:50,850 --> 00:35:54,610 baint an úsáideora ar fhaisnéis phearsanta. 510 00:35:54,610 --> 00:35:58,090 Sin saghas chatagóir eile, agus sin an fáth cuid de seo mailíseach 511 00:35:58,090 --> 00:36:03,200 i gcoinne thosaíonn dlisteanach a bleed níos mó ná mar níl difríocht ar thuairimí 512 00:36:03,200 --> 00:36:10,440 idir cad is mian leis an t-úsáideoir agus cad a mheasann an t-úsáideoir risky 513 00:36:10,440 --> 00:36:13,050 agus cad a mheasann an bhforbróir i bhfeidhm risky. 514 00:36:13,050 --> 00:36:18,380 Ar ndóigh, nach bhfuil sé na sonraí ar an bhforbróir i bhfeidhm i bhformhór na gcásanna. 515 00:36:18,380 --> 00:36:22,030 >> Agus ansin ar deireadh, ar bhealach eile a tharlaíonn sé seo d'fhéadfadh forbróir nasc i 516 00:36:22,030 --> 00:36:28,600 leabharlann roinnte go bhfuil leochaileachtaí nó an iompraíocht rioscúil ann 517 00:36:28,600 --> 00:36:32,480 i ngan fhios dóibh. 518 00:36:32,480 --> 00:36:37,060 Is é an chéad chatagóir sceitheadh ​​sonraí íogaire, 519 00:36:37,060 --> 00:36:40,030 agus tá sé seo nuair a bhailíonn an app faisnéise 520 00:36:40,030 --> 00:36:44,980 cosúil le suíomh, fhaisnéis a seoladh leabhar, faisnéis úinéir 521 00:36:44,980 --> 00:36:48,000 agus cuireann sin as an gléas. 522 00:36:48,000 --> 00:36:53,050 Agus nuair a tá sé amach an gléas, nach bhfuil a fhios againn cad atá ag tarlú leis an bhfaisnéis sin. 523 00:36:53,050 --> 00:36:57,170 D'fhéadfaí é a stóráil go neamhshlán ag an bhforbróir i bhfeidhm. 524 00:36:57,170 --> 00:37:02,070 Againn atá le feiceáil fhorbróirí iarratas a fháil i gcontúirt, 525 00:37:02,070 --> 00:37:05,820 agus na sonraí a stóráil go mbíonn siad ag glacadh Faigheann. 526 00:37:05,820 --> 00:37:10,970 Tharla sé seo cúpla mí ó shin go forbróir síos i Florida 527 00:37:10,970 --> 00:37:21,660 áit a raibh líon mór de-sé UUIDs iPad agus ainmneacha gléas 528 00:37:21,660 --> 00:37:25,270 Cuireadh leaked mar gheall ar dhuine, sílim go raibh sé gan ainm, 529 00:37:25,270 --> 00:37:29,460 Mhaígh seo a dhéanamh, bhris isteach freastalaithe seo fhorbróra 530 00:37:29,460 --> 00:37:34,920 agus ghoid na milliúin de iPad UUIDs 531 00:37:34,920 --> 00:37:37,390 agus ainmneacha ríomhaire. 532 00:37:37,390 --> 00:37:40,260 Nach bhfuil an t-eolas is risky, 533 00:37:40,260 --> 00:37:46,820 ach cad más rud é go raibh an stóráil na n-ainmneacha úsáideora agus focal faire 534 00:37:46,820 --> 00:37:48,170 agus seoltaí baile? 535 00:37:48,170 --> 00:37:51,100 Níl go leor de apps go stóráil chineál na faisnéise. 536 00:37:51,100 --> 00:37:53,230 Is é an baol ann. 537 00:37:53,230 --> 00:37:56,620 >> Is é an rud eile is féidir a tharlaíonn más rud é nach ndéanann an bhforbróir cúram a ghlacadh 538 00:37:56,620 --> 00:38:01,370 chun a áirithiú go cainéal sonraí, agus go bhfuil leochaileacht mór eile Tá mé ag dul chun labhairt faoi, 539 00:38:01,370 --> 00:38:05,160 Tá go bhfuil na sonraí á sheoladh sa soiléir. 540 00:38:05,160 --> 00:38:09,040 Má tá an t-úsáideoir ar poiblí Wi-Fi líonra 541 00:38:09,040 --> 00:38:12,330 nó duine éigin sniffing an idirlíon áit éigin 542 00:38:12,330 --> 00:38:19,260 ar feadh an chosáin go bhfuil na sonraí a bheith faoi lé. 543 00:38:19,260 --> 00:38:23,790 Cás amháin an-cháiliúil ar an sceitheadh ​​eolais a tharla le Pandora, 544 00:38:23,790 --> 00:38:27,250 agus tá sé seo rud éigin taighde déanta againn ag Veracode. 545 00:38:27,250 --> 00:38:33,200 Chuala muid go raibh smaoineamh-agam go raibh sé ina Coimisiún Trádála Chónaidhme 546 00:38:33,200 --> 00:38:35,310 imscrúdú dul ar aghaidh leis Pandora. 547 00:38:35,310 --> 00:38:39,830 Dúirt muid, "Cad atá ar siúl ann? Let tús tochailt isteach an t-iarratas Pandora." 548 00:38:39,830 --> 00:38:46,690 Agus cad a bhí arna chinneadh muid an t-iarratas Pandora bailíodh 549 00:38:46,690 --> 00:38:51,270 do inscne agus aoise d', 550 00:38:51,270 --> 00:38:56,660 agus rochtain a fháil sé freisin do suíomh GPS, agus an t-iarratas Pandora 551 00:38:56,660 --> 00:39:00,200 rinne seo ar cad a dúirt siad go raibh cúiseanna dlisteanacha. 552 00:39:00,200 --> 00:39:05,360 Is é an ceol a bhí siad ag imirt-Pandora app-sruthú ceoil 553 00:39:05,360 --> 00:39:07,530 an ceol a bhí siad ag imirt a bhí ceadúnaithe ach amháin sna Stáit Aontaithe, 554 00:39:07,530 --> 00:39:13,020 mar sin bhí siad a sheiceáil i gcomhlíonadh a gcuid comhaontuithe ceadúnais go raibh siad 555 00:39:13,020 --> 00:39:17,240 don cheol go raibh an t-úsáideoir sna Stáit Aontaithe. 556 00:39:17,240 --> 00:39:25,070 Theastaigh uathu freisin chun cloí leis an comhairleach tuismitheora 557 00:39:25,070 --> 00:39:33,790 thart teanga do dhaoine fásta sa cheol, 558 00:39:33,790 --> 00:39:37,500 agus mar sin tá sé ina chlár deonach, ach bhí siad sin a chomhlíonadh 559 00:39:37,500 --> 00:39:43,010 agus ní liricí follasach imirt le leanaí 13 agus faoi. 560 00:39:43,010 --> 00:39:46,280 >> Bhí siad cúiseanna dlisteanacha a bhailiú na sonraí seo. 561 00:39:46,280 --> 00:39:49,160 Bhí a n-app na ceadanna chun é a dhéanamh. 562 00:39:49,160 --> 00:39:52,000 Úsáideoirí cheap go raibh sé seo dlisteanach. Ach cad a tharla? 563 00:39:52,000 --> 00:39:55,810 Nasctha siad i 3 nó 4 leabharlann ad éagsúla. 564 00:39:55,810 --> 00:39:59,140 Anois, ar fad ar fad na leabharlanna ad tobann 565 00:39:59,140 --> 00:40:02,970 ag fáil rochtain ar an bhfaisnéis chéanna. 566 00:40:02,970 --> 00:40:05,830 Na leabharlanna ad, má fhéachann tú ar an cód sna leabharlanna ad 567 00:40:05,830 --> 00:40:08,430 cad a dhéanann siad é a deir gach leabharlann ad 568 00:40:08,430 --> 00:40:11,340 "An bhfuil cead a fháil suíomh GPS mo app?" 569 00:40:11,340 --> 00:40:14,890 "Ó, ní chuireann sé? Maith go leor, inis dom an suíomh GPS ar siúl." 570 00:40:14,890 --> 00:40:16,620 A dhéanann gach leabharlann ad amháin sin, 571 00:40:16,620 --> 00:40:19,740 agus más rud é nach bhfuil an app go bhfuil cead GPS 572 00:40:19,740 --> 00:40:23,460 Ní bheidh sé in ann é a fháil, ach má dhéanann sé, beidh sé é a fháil. 573 00:40:23,460 --> 00:40:26,240 Tá sé seo i gcás an tsamhail ghnó de chuid na leabharlanna ad 574 00:40:26,240 --> 00:40:31,160 i gcoinne an príobháideacht an úsáideora. 575 00:40:31,160 --> 00:40:34,980 Agus tá rinneadh staidéir amach ann a rá má tá a fhios agat an aois 576 00:40:34,980 --> 00:40:38,430 duine agus tá a fhios agat a suíomh 577 00:40:38,430 --> 00:40:42,530 i gcás ina chodladh san oíche, toisc go bhfuil tú a n-GPS comhordanáidí 578 00:40:42,530 --> 00:40:46,030 agus iad b'fhéidir go bhfuil codlata, tá a fhios agat go díreach a bhfuil an duine sin 579 00:40:46,030 --> 00:40:50,230 mar is féidir leat a chinneadh a bhfuil ball den teaghlach sin an duine sin. 580 00:40:50,230 --> 00:40:54,780 Tá sé an-is é seo a aithint do lucht fógraíochta 581 00:40:54,780 --> 00:40:59,530 go díreach cé tú féin, agus tá sé cosúil go raibh sé dlisteanach. 582 00:40:59,530 --> 00:41:02,800 Ba mhaith liom díreach tar éis mo ceol sruthú, agus tá sé seo an bealach amháin chun é a fháil. 583 00:41:02,800 --> 00:41:05,370 >> Bhuel, lé muid seo. 584 00:41:05,370 --> 00:41:08,030 Scríobhamar é seo suas i blog post éagsúla, 585 00:41:08,030 --> 00:41:13,280 agus d'éirigh sé amach go bhfuil duine éigin as iris Rolling Stone 586 00:41:13,280 --> 00:41:18,810 Léigh ar cheann dár blog post agus scríobh a bhlag féin i Rolling Stone mar gheall air, 587 00:41:18,810 --> 00:41:22,120 agus an lá go eile cheap Pandora raibh sé ag smaoineamh maith 588 00:41:22,120 --> 00:41:27,600 a bhaint as leabharlanna ad as a n-iarratas. 589 00:41:27,600 --> 00:41:31,270 Chomh fada is a fhios agam go bhfuil siad an t-aon-ba chóir iad a moladh. 590 00:41:31,270 --> 00:41:35,770 I mo thuairimse, tá siad an cineál amháin freemium an app go bhfuil sin déanta seo. 591 00:41:35,770 --> 00:41:38,660 Tá gach na apps freemium eile an iompar céanna, 592 00:41:38,660 --> 00:41:41,780 mar sin tá tú chun smaoineamh ar cén cineál sonraí a bhíonn tú ag tabhairt 593 00:41:41,780 --> 00:41:48,330 na hiarratais freemium mar tá sé ag dul go léir a fógraíochta. 594 00:41:48,330 --> 00:41:53,390 Rinne Praetorian freisin le staidéar faoi leabharlanna roinnte agus dúirt sé, 595 00:41:53,390 --> 00:41:57,100 "A ligean ar breathnú ar cad iad na leabharlanna roinnte na leabharlanna roinnte barr," agus bhí sé seo na sonraí. 596 00:41:57,100 --> 00:41:59,420 >> Anailís ar 53,000 apps siad, 597 00:41:59,420 --> 00:42:01,900 agus bhí an leabharlann roinnte uimhir 1 Admob. 598 00:42:01,900 --> 00:42:06,060 Bhí sé i ndáiríre i 38% de na hiarratais amach ann, 599 00:42:06,060 --> 00:42:08,800 mar sin 38% de na hiarratais tú ag baint úsáide 600 00:42:08,800 --> 00:42:11,250 Tá baint dócha do chuid faisnéise pearsanta a 601 00:42:11,250 --> 00:42:16,650 agus í a sheoladh chuig na líonraí ad. 602 00:42:16,650 --> 00:42:19,350 Bhí Apache agus Android 8% agus 6%, 603 00:42:19,350 --> 00:42:22,960 agus ansin na cinn eile síos ag an mbun, Fógraí Google, flurry, 604 00:42:22,960 --> 00:42:26,600 Mob Cathrach agus Millennial Meáin, 605 00:42:26,600 --> 00:42:30,500 is iad seo gach ceann de chuideachtaí ad, agus ansin, suimiúil go leor, 606 00:42:30,500 --> 00:42:33,500 4% nasctha sa leabharlann Facebook 607 00:42:33,500 --> 00:42:38,870 is dócha fíordheimhniú a dhéanamh trí Facebook 608 00:42:38,870 --> 00:42:40,810 mar sin d'fhéadfadh an app fhíordheimhniú Facebook. 609 00:42:40,810 --> 00:42:44,660 Ach ciallaíonn sin freisin an chorparáide Facebook rialuithe cód 610 00:42:44,660 --> 00:42:49,010 atá ag rith i 4% de na apps soghluaiste Android amach ann, 611 00:42:49,010 --> 00:42:53,490 agus tá siad rochtain ar na sonraí go bhfuil cead a fháil ag an app. 612 00:42:53,490 --> 00:42:57,170 Facebook iarracht go bunúsach a dhíol spás fógraíochta. 613 00:42:57,170 --> 00:43:00,120 Sin a n-mhúnla gnó. 614 00:43:00,120 --> 00:43:02,920 >> Má fhéachann tú ar an éiceachóras iomlán leis na ceadanna 615 00:43:02,920 --> 00:43:07,740 agus leabharlanna roinnte dtosaíonn tú a fheiceáil go bhfuil 616 00:43:07,740 --> 00:43:13,850 Tá tú a lán de riosca i bhfeidhm supposedly dlisteanach. 617 00:43:13,850 --> 00:43:19,360 An rud céanna den chineál céanna a tharla le Pandora 618 00:43:19,360 --> 00:43:22,340 tharla le hiarratas ar a dtugtar Conair, 619 00:43:22,340 --> 00:43:27,660 agus shíl Conair raibh siad á cabhrach, forbróirí cairdiúil. 620 00:43:27,660 --> 00:43:32,160 Bhí siad ag iarraidh ach a thabhairt duit taithí úsáideora mór, 621 00:43:32,160 --> 00:43:37,810 agus d'éirigh sé amach go bhfuil gan leideanna an t-úsáideoir nó ag insint an t-úsáideoir rud ar bith- 622 00:43:37,810 --> 00:43:40,400 agus tharla sé seo ar an iPhone agus ar Android, 623 00:43:40,400 --> 00:43:44,420 bhí an app Pandora ar iPhone agus Android- 624 00:43:44,420 --> 00:43:48,890 go raibh an t-iarratas Conair grabbing do sheoladh leabhar ar fad 625 00:43:48,890 --> 00:43:52,830 agus athiarracht, más é do Conair ach nuair a shuiteáil tú, agus a bhí ar siúl an t-iarratas, 626 00:43:52,830 --> 00:43:55,840 agus ní raibh siad insint duit faoi seo. 627 00:43:55,840 --> 00:43:58,750 Shíl siad go raibh sé ina chuidiú i ndáiríre ar do shon 628 00:43:58,750 --> 00:44:04,040 a bheith in ann a roinnt leis na daoine i do leabhar seoltaí 629 00:44:04,040 --> 00:44:06,920 go bhfuil tú ag baint úsáide as an t-iarratas Conair. 630 00:44:06,920 --> 00:44:09,490 >> Bhuel, shíl Conair is léir go raibh sé seo iontach do a n-chuideachta. 631 00:44:09,490 --> 00:44:13,510 Nach mór sin don úsáideoir. 632 00:44:13,510 --> 00:44:19,020 Tá tú a cheapann go bhfuil sé rud amháin má b'fhéidir ina dhéagóir 633 00:44:19,020 --> 00:44:23,700 ag baint úsáide as an iarratas seo agus tá a n-iliomad cairde i ann, 634 00:44:23,700 --> 00:44:29,360 ach cad má tá sé an POF de chuid cuideachta a installs Conair 635 00:44:29,360 --> 00:44:33,170 agus ansin ar fad ar tobann a gcuid leabhar ar fad suas ann seoladh? 636 00:44:33,170 --> 00:44:38,310 Tá tú ag dul a fháil ar a lán eolais déan teagmháil le d'fhéadfadh a bheith luachmhar 637 00:44:38,310 --> 00:44:40,920 do a lán daoine. 638 00:44:40,920 --> 00:44:44,500 Do thuairisceoir ó an New York Times, d'fhéadfá a bheith in ann a fháil ar an uimhir theileafóin 639 00:44:44,500 --> 00:44:47,380 do uachtaráin sean as a gcuid leabhar seoltaí, 640 00:44:47,380 --> 00:44:54,780 mar sin ar ndóigh a lán eolais íogair Faigheann aistrítear leis an rud éigin mar seo. 641 00:44:54,780 --> 00:44:58,090 Bhí a leithéid flap mór faoi seo go bhfuil Conair leithscéal. 642 00:44:58,090 --> 00:45:01,610 D'athraigh siad a n-app, agus bhí tionchar fiú Apple. 643 00:45:01,610 --> 00:45:06,950 Apple dúirt sé, "Táimid ag dul chun bhfeidhm díoltóirí app d'úsáideoirí pras 644 00:45:06,950 --> 00:45:12,650 má tá siad ag dul a bhailiú a seoladh leabhar ar fad. " 645 00:45:12,650 --> 00:45:15,360 >> Breathnaíonn sé cosúil le cad atá ag tarlú anseo 646 00:45:15,360 --> 00:45:19,430 nuair níl aon sárú príobháideachta mór agus déanann sé an preas 647 00:45:19,430 --> 00:45:21,680 feicimid athrú amach ann. 648 00:45:21,680 --> 00:45:23,230 Ach ar ndóigh, níl rudaí eile amuigh ansin. 649 00:45:23,230 --> 00:45:27,440 Harvests an t-iarratas LinkedIn do iontrálacha féilire, 650 00:45:27,440 --> 00:45:34,530 ach ní hionann Apple a dhéanamh an t-úsáideoir a spreag faoi sin. 651 00:45:34,530 --> 00:45:38,030 Is féidir iontrálacha Féilire faisnéis íogair iontu freisin. 652 00:45:38,030 --> 00:45:40,000 Cá bhfuil tú ag dul a tharraingt ar an líne? 653 00:45:40,000 --> 00:45:43,960 Tá sé seo i ndáiríre de chineál ar áit ag teacht chun cinn 654 00:45:43,960 --> 00:45:47,640 i gcás ina níl i ndáiríre níl aon caighdeán maith amach ann 655 00:45:47,640 --> 00:45:51,990 do na húsáideoirí a thuiscint nuair a gcuid faisnéise ag dul a bheith i mbaol 656 00:45:51,990 --> 00:45:57,820 agus nuair a bhíonn siad ag dul a fhios tá sé á ghlacadh. 657 00:45:57,820 --> 00:46:03,040 Scríobh muid app ag Veracode dtugtar adios, 658 00:46:03,040 --> 00:46:08,350 agus go bunúsach lig sé leat a chur in iúl ar an app ar do eolaire iTunes 659 00:46:08,350 --> 00:46:12,550 agus breathnú ar na hiarratais a bhí fómhair do sheoladh leabhar iomlán. 660 00:46:12,550 --> 00:46:19,760 Agus mar is féidir leat a fheiceáil ar an liosta seo anseo, Éin Angry, 661 00:46:19,760 --> 00:46:21,590 AIM, AroundMe. 662 00:46:21,590 --> 00:46:24,050 Cén fáth go bhfuil gá Éin Angry do leabhar seoltaí? 663 00:46:24,050 --> 00:46:29,160 Níl a fhios agam, ach a dhéanann sé ar bhealach. 664 00:46:29,160 --> 00:46:32,310 >> Is é an rud go bhfuil go leor, go leor iarratais. 665 00:46:32,310 --> 00:46:34,780 Is féidir leat iniúchadh a dhéanamh ar an gcód seo. 666 00:46:34,780 --> 00:46:38,660 Níl APIs dea-shainithe do iPhone, Android agus sméar dubh 667 00:46:38,660 --> 00:46:42,120 a fháil ar an leabhar seoladh. 668 00:46:42,120 --> 00:46:48,520 Is féidir leat iniúchadh a dhéanamh i ndáiríre go héasca seo, agus tá sé seo cad a rinne muid inár iarratas adios. 669 00:46:48,520 --> 00:46:52,320 An chatagóir seo chugainn, neamhshábháilte Sonraí Íogaire Stóráil, 670 00:46:52,320 --> 00:46:55,670 Tá rud éigin ina dtógann forbróirí rud éigin cosúil le bioráin nó uimhir chuntais 671 00:46:55,670 --> 00:46:58,530 nó pasfhocal agus é a stóráil i soiléir ar an ngléas. 672 00:46:58,530 --> 00:47:02,310 Níos measa fós, d'fhéadfadh siad a stóráil i limistéar ar an teileafón 673 00:47:02,310 --> 00:47:06,820 atá inrochtana ar fud an domhain, ar nós an cárta SD. 674 00:47:06,820 --> 00:47:11,320 Féach leat seo níos minice ar Android mar is féidir Android do cárta SD. 675 00:47:11,320 --> 00:47:13,200 Ní dhéanann feistí IPhone. 676 00:47:13,200 --> 00:47:17,900 Ach chonaic muid fiú seo tarlú in iarratas Citigroup. 677 00:47:17,900 --> 00:47:25,450 A n-iarratas ar baincéireacht ar líne a stóráil na huimhreacha cuntais go neamhshlán, 678 00:47:25,450 --> 00:47:28,120 díreach i soiléir, mar sin má chaill tú do gléas, 679 00:47:28,120 --> 00:47:30,670 go bunúsach chaill tú do chuntas bainc. 680 00:47:30,670 --> 00:47:36,000 Sin é an fáth mé nach pearsanta a dhéanamh a dhéanamh baincéireachta ar mo iPhone. 681 00:47:36,000 --> 00:47:43,710 Sílim go bhfuil sé ró-risky ceart anois a dhéanamh ar na cineálacha gníomhaíochtaí. 682 00:47:43,710 --> 00:47:45,950 >> Rinne Skype ar an rud céanna. 683 00:47:45,950 --> 00:47:49,870 Skype, ar ndóigh, tá iarmhéid an chuntais, ainm úsáideora agus do phasfhocal a 684 00:47:49,870 --> 00:47:51,030 go bhfuil rochtain ar an iarmhéid. 685 00:47:51,030 --> 00:48:00,080 Bhí siad ag stóráil an fhaisnéis sin go léir i soiléir ar an ngléas soghluaiste. 686 00:48:00,080 --> 00:48:05,760 Tá mé roinnt samplaí anseo de chomhaid a chruthú 687 00:48:05,760 --> 00:48:10,310 nach bhfuil na ceadanna ceart nó scríobh chuig diosca 688 00:48:10,310 --> 00:48:17,260 agus nach bhfuil aon criptithe a tharlóidh sin. 689 00:48:17,260 --> 00:48:20,190 An ceantar seo chugainn, neamhshábháilte Tarchur Sonraí Íogaire, 690 00:48:20,190 --> 00:48:24,450 Tá mé luaigh sí go seo cúpla uair, agus mar gheall ar poiblí Wi-Fi 691 00:48:24,450 --> 00:48:27,770 is é an rud go apps gá go hiomlán a dhéanamh, 692 00:48:27,770 --> 00:48:31,250 agus tá sé seo is dócha an méid a fheiceann muid ag dul go mícheart ar an chuid is mó. 693 00:48:31,250 --> 00:48:34,920 Ba mhaith liom a rá i ndáiríre-, I mo thuairimse, tá mé na sonraí iarbhír, 694 00:48:34,920 --> 00:48:38,120 ach tá sé gar do leath an iarratais soghluaiste 695 00:48:38,120 --> 00:48:41,780 scriú suas a dhéanamh SSL. 696 00:48:41,780 --> 00:48:43,910 Siad ní hamháin bhfuil a bhaint as an gceart APIs. 697 00:48:43,910 --> 00:48:47,970 Ciallaíonn mé, tá gach atá tú a fuair a dhéanamh na treoracha a leanúint agus a úsáid APIs, 698 00:48:47,970 --> 00:48:54,720 ach a dhéanann siad rudaí cosúil nach sheiceáil cibé an bhfuil teastas neamhbhailí ag an taobh eile, 699 00:48:54,720 --> 00:49:02,120 Ní seiceáil má tá an taobh eile ag iarraidh a dhéanamh ionsaí íosghrádú prótacal. 700 00:49:02,120 --> 00:49:07,200 >> An forbróirí, ba mhaith leo a fháil ar a gcuid ticbhosca, ceart? 701 00:49:07,200 --> 00:49:11,910 Is é an riachtanas seo a úsáid chun a dhíol. Tá siad Bainim úsáid as seo chun a dhíol. 702 00:49:11,910 --> 00:49:14,800 Níl an ceanglas seo a úsáid chun a dhíol go daingean, 703 00:49:14,800 --> 00:49:19,680 agus mar sin tá sin an fáth go léir na hiarratais go n-úsáideann SSL sonraí a dhaingniú 704 00:49:19,680 --> 00:49:23,470 mar tá siad á dtarchur as an gléas is gá i ndáiríre a iniúchadh 705 00:49:23,470 --> 00:49:28,950 a dhéanamh cinnte go raibh i bhfeidhm i gceart. 706 00:49:28,950 --> 00:49:32,850 Agus anseo tá mé roinnt samplaí áit ar féidir leat féachaint ar iarratas 707 00:49:32,850 --> 00:49:37,400 D'fhéadfadh a bheith ag baint úsáide as HTTP ionad HTTPS. 708 00:49:37,400 --> 00:49:40,510 I roinnt cásanna, beidh apps titim ar ais go dtí HTTP 709 00:49:40,510 --> 00:49:44,250 más rud é nach bhfuil an HTTPS ag obair. 710 00:49:44,250 --> 00:49:49,070 Tá mé glao eile anseo ar Android nuair atá siad faoi mhíchumas ar an seic deimhniú, 711 00:49:49,070 --> 00:49:51,700 ionas gur féidir le ionsaí fear-i-an-lár tarlú. 712 00:49:51,700 --> 00:49:56,370 Beidh deimhniú neamhbhailí glacadh. 713 00:49:56,370 --> 00:50:01,920 Is iad seo na cásanna ina bhfuil attackers ag dul a bheith in ann a fháil ar 714 00:50:01,920 --> 00:50:07,150 an nasc céanna a Wi-Fi mar an t-úsáideoir agus an rochtain ar na sonraí go léir 715 00:50:07,150 --> 00:50:11,650 sin á sheoladh thar an idirlíon. 716 00:50:11,650 --> 00:50:15,970 >> Agus ar deireadh, is é an chatagóir anuas tá mé anseo phasfhocal hardcoded agus eochracha. 717 00:50:15,970 --> 00:50:21,470 Linn a fheiceáil i ndáiríre a lán de na forbróirí a bhaint as an stíl códú céanna 718 00:50:21,470 --> 00:50:25,900 go raibh siad nuair a bhí siad iarratais ar fhreastalaí gréasáin a thógáil, 719 00:50:25,900 --> 00:50:29,700 mar sin tá siad ag tógáil iarratas freastalaí Java, agus tá siad ag hardcoding an eochair. 720 00:50:29,700 --> 00:50:31,940 Bhuel, nuair a bhíonn tú ag tógáil iarratas freastalaí, yeah, 721 00:50:31,940 --> 00:50:34,240 hardcoding an eochair nach bhfuil smaoineamh maith. 722 00:50:34,240 --> 00:50:36,290 Déanann sé sé deacair a athrú. 723 00:50:36,290 --> 00:50:40,700 Ach nach bhfuil sé chomh dona ar an taobh fhreastalaí toisc a bhfuil rochtain ar an taobh fhreastalaí? 724 00:50:40,700 --> 00:50:43,140 Níl ach an riarthóirí. 725 00:50:43,140 --> 00:50:48,100 Ach má ghlacann tú an cód céanna agus poured tú é os cionn iarratas soghluaiste 726 00:50:48,100 --> 00:50:52,550 anois gach duine a bhfuil go bhfuil rochtain ag an eochair hardcoded iarratas soghluaiste, 727 00:50:52,550 --> 00:50:56,380 agus linn a fheiceáil i ndáiríre seo a lán de na huaire, agus tá mé roinnt staitisticí 728 00:50:56,380 --> 00:51:00,920 ar cé chomh minic a fheiceann muid seo tarlú. 729 00:51:00,920 --> 00:51:04,940 Bhí sé i ndáiríre i sampla cód gur MasterCard foilsithe 730 00:51:04,940 --> 00:51:06,850 ar conas a gcuid seirbhíse a úsáid. 731 00:51:06,850 --> 00:51:11,860 Léirigh an cód shampla, an chaoi ba mhaith leat a ghlacadh ach an focal faire 732 00:51:11,860 --> 00:51:14,850 agus é a chur i teaghrán hardcoded ceart ann, 733 00:51:14,850 --> 00:51:19,380 agus tá a fhios againn conas a ghrá forbróirí a chóipeáil agus a ghreamú snippets cód 734 00:51:19,380 --> 00:51:22,360 nuair a bhíonn siad ag iarraidh rud éigin a dhéanamh, mar sin leat a chóipeáil agus a ghreamú ar an Blúire cód 735 00:51:22,360 --> 00:51:28,450 gur thug siad mar shampla cód, agus tá tú iarratas neamhchinnte. 736 00:51:28,450 --> 00:51:31,490 >> Agus anseo ní mór dúinn roinnt samplaí. 737 00:51:31,490 --> 00:51:35,840 Is é seo an chéad cheann duine a fheiceáil dúinn a lán nuair a hardcode siad 738 00:51:35,840 --> 00:51:40,510 an ceart sonraí i URL go bhfaigheann sheoladh. 739 00:51:40,510 --> 00:51:45,120 Uaireanta linn a fheiceáil phasfhocal teaghrán = an focal faire. 740 00:51:45,120 --> 00:51:49,060 Sin éasca go leor a bhrath, nó ar do phasfhocal téad ar sméar dubh agus Android. 741 00:51:49,060 --> 00:51:53,680 Tá sé i ndáiríre éasca go leor a sheiceáil le haghaidh mar gheall ar beagnach i gcónaí 742 00:51:53,680 --> 00:51:57,030 ainmneacha forbróir an athróg go bhfuil a bhfuil an focal faire 743 00:51:57,030 --> 00:52:02,290 roinnt éagsúlachta de do phasfhocal. 744 00:52:02,290 --> 00:52:05,200 Luaigh mé go bhfuil muid anailís statach ag Veracode, 745 00:52:05,200 --> 00:52:11,790 mar sin tá anailís muid cúpla céad Android agus iOS iarratais. 746 00:52:11,790 --> 00:52:15,160 Táimid tar éis tógtha múnlaí lán acu, agus tá muid in ann a scanadh orthu 747 00:52:15,160 --> 00:52:19,280 do leochaileachtaí éagsúla, go háirithe na leochaileachtaí a bhí mé ag caint faoi, 748 00:52:19,280 --> 00:52:21,050 agus tá mé cuid de na sonraí anseo. 749 00:52:21,050 --> 00:52:24,320 68.5% de na apps Android fhéachamar ar 750 00:52:24,320 --> 00:52:28,590 Bhí briste cód chripteagrafach, 751 00:52:28,590 --> 00:52:33,240 a dúinn, ní féidir linn a bhrath má rinne tú do ghnáthamh criptithe féin, 752 00:52:33,240 --> 00:52:38,980 nach bhfuil go maith an smaoineamh é, ach tá sé seo i ndáiríre ag baint úsáide as an APIs foilsithe 753 00:52:38,980 --> 00:52:42,530 go bhfuil ar an ardán ach a dhéanamh orthu ar bhealach 754 00:52:42,530 --> 00:52:46,680 go mbeadh an criptithe a bheith leochaileach, 68.5. 755 00:52:46,680 --> 00:52:49,870 Agus é seo do dhaoine atá ag a sheoladh chugainn a n-iarratais i ndáiríre mar gheall ar 756 00:52:49,870 --> 00:52:53,730 cheapann siad tá sé ina smaoineamh maith a dhéanamh tástála slándála. 757 00:52:53,730 --> 00:52:56,960 Is iad seo cheana féin daoine atá ag smaoineamh is dócha go daingean, 758 00:52:56,960 --> 00:52:59,540 mar sin tá sé is dócha níos measa fós. 759 00:52:59,540 --> 00:53:02,690 >> Ní raibh mé ag labhairt faoi rialú líne a instealladh beatha. 760 00:53:02,690 --> 00:53:07,640 Tá sé rud éigin a sheiceáil againn, ach nach bhfuil sé go risky i gceist. 761 00:53:07,640 --> 00:53:15,390 Sceitheadh ​​Faisnéise, is é seo an áit a bhfuil sonraí íogaire á sheoladh amach an gléas. 762 00:53:15,390 --> 00:53:19,270 Fuaireamar amach gur i 40% de na hiarratais. 763 00:53:19,270 --> 00:53:23,540 Am agus stáit, tá na saincheisteanna de chineál riocht cine, de ghnáth deacair go leor chun leas a bhaint, 764 00:53:23,540 --> 00:53:26,170 mar sin ní raibh mé ag caint faoi sin, ach d'fhéach muid ag dul dó. 765 00:53:26,170 --> 00:53:28,750 Bhí saincheisteanna instealladh SQL 23%. 766 00:53:28,750 --> 00:53:32,020 A lán daoine nach bhfuil a fhios go bhfuil a lán na n-iarratas 767 00:53:32,020 --> 00:53:35,880 bunachar sonraí SQL beag beag úsáid ar a gcuid deireadh ar ais sonraí a stóráil. 768 00:53:35,880 --> 00:53:40,430 Bhuel, má tá na sonraí go bhfuil tú ag grabbing thar an líonra 769 00:53:40,430 --> 00:53:43,800 Tá teaghráin ionsaí instealladh SQL ann 770 00:53:43,800 --> 00:53:45,970 Is féidir le duine éigin isteach ar an gléas tríd, 771 00:53:45,970 --> 00:53:49,800 agus mar sin mo thuairimse, feicimid thart ar 40% na n-iarratas gréasáin go bhfuil an fhadhb seo, 772 00:53:49,800 --> 00:53:52,840 a bhfuil fadhb eipidéim ollmhór. 773 00:53:52,840 --> 00:53:55,740 Teacht againn sé 23% den am i apps soghluaiste 774 00:53:55,740 --> 00:54:02,030 agus sin is dócha mar gheall ar úsáid a lán iarratais gréasáin níos mó ná SQL soghluaiste. 775 00:54:02,030 --> 00:54:05,580 >> Agus ansin linn a fheiceáil fós roinnt scriptithe tras-suíomh, saincheisteanna údarú, 776 00:54:05,580 --> 00:54:09,400 agus ansin a bhainistiú credential, go bhfuil áit a bhfuil tú ar do phasfhocal hardcoded. 777 00:54:09,400 --> 00:54:14,540 I 5% de na hiarratais a fheicimid go bhfuil. 778 00:54:14,540 --> 00:54:17,970 Agus ansin ní mór dúinn roinnt sonraí ar iOS. 779 00:54:17,970 --> 00:54:20,180 Bhí saincheisteanna a láimhseáil earráid 81%. 780 00:54:20,180 --> 00:54:23,130 Tá sé seo níos mó de fadhb ar chaighdeán cód, 781 00:54:23,130 --> 00:54:28,010 ach bhí 67% saincheisteanna chripteagrafach, mar sin ní leor chomh dona Android. 782 00:54:28,010 --> 00:54:32,440 B'fhéidir go bhfuil an APIs le beagán níos éasca, an sampla cóid beagán níos fearr ar iOS. 783 00:54:32,440 --> 00:54:35,420 Ach fós céatadán an-ard. 784 00:54:35,420 --> 00:54:39,040 Bhí 54% orainn le sceitheadh ​​eolais, 785 00:54:39,040 --> 00:54:42,080 thart ar 30% le hearráidí bainistíochta Maolán. 786 00:54:42,080 --> 00:54:45,930 Sin áiteanna ina d'fhéadfadh a bheith ann d'fhéadfadh a bheith ina saincheist éilliú cuimhne. 787 00:54:45,930 --> 00:54:50,350 Casadh sé amach go bhfuil nach bhfuil go oiread de fadhb chun teacht i dtír 788 00:54:50,350 --> 00:54:56,450 ar iOS toisc go bhfuil go léir an cód a bheith sínithe, 789 00:54:56,450 --> 00:55:02,210 mar sin tá sé deacair do ionsaitheoir a fhorghníomhú cód treallach ar iOS. 790 00:55:02,210 --> 00:55:07,880 Caighdeán Cód, traversal eolaire, ach ansin bainistíochta dintiúir anseo ag 14.6%, 791 00:55:07,880 --> 00:55:09,250 mar sin níos measa ná ar an Android. 792 00:55:09,250 --> 00:55:13,240 Tá daoine nach bhfuil pasfhocail a láimhseáil i gceart. 793 00:55:13,240 --> 00:55:15,790 Agus ansin an earráidí uimhriúil agus Maolán thar maoil, 794 00:55:15,790 --> 00:55:22,680 iad siúd atá níos mó ag dul a bheith ar cheisteanna cáilíochta cód ar iOS. 795 00:55:22,680 --> 00:55:26,110 >> Ba é sin é do mo chur i láthair. Níl a fhios agam má tá muid amach as an am nó nach bhfuil. 796 00:55:26,110 --> 00:55:29,540 Níl a fhios agam má tá aon cheist. 797 00:55:29,540 --> 00:55:33,220 [Fireann] Ceist mear ar fud ilroinnt agus ar an margadh Android. 798 00:55:33,220 --> 00:55:36,240 Apple ar a laghad úinéireacht patching. 799 00:55:36,240 --> 00:55:40,780 Déanann siad post maith de ag fáil sé amach ann ach níos lú mar sin sa spás Android. 800 00:55:40,780 --> 00:55:44,280 Ní mór duit beagnach a jailbreak do ghuthán chun fanacht reatha 801 00:55:44,280 --> 00:55:46,660 leis an scaoileadh reatha Android. 802 00:55:46,660 --> 00:55:50,960 Yeah, go bhfuil fadhb ollmhór agus mar sin má cheapann tú faoi- 803 00:55:50,960 --> 00:55:52,280 [Fireann] Cén fáth nach féidir leat a dhéanamh arís é? 804 00:55:52,280 --> 00:55:55,610 >> Ó, ceart, mar sin bhí an cheist cad faoi ilroinnt 805 00:55:55,610 --> 00:56:00,410 den chóras oibriúcháin ar an ardán Android? 806 00:56:00,410 --> 00:56:05,890 Cén chaoi a ndéanann difear riskiness de na feistí? 807 00:56:05,890 --> 00:56:09,700 Agus tá sé i ndáiríre fadhb ollmhór toisc go bhfuil cad a tharlaíonn go bhfuil 808 00:56:09,700 --> 00:56:15,110 na feistí níos sine, nuair a thagann duine éigin suas le jailbreak don gléas, 809 00:56:15,110 --> 00:56:19,960 go bunúsach go bhfuil an ardaithe phribhléid, agus go dtí go córas oibriúcháin cothrom le dáta 810 00:56:19,960 --> 00:56:25,350 Is féidir aon malware a úsáid ansin go leochaileacht a chomhréiteach go hiomlán ar an gléas, 811 00:56:25,350 --> 00:56:30,200 agus cad táimid ag feiceáil ar an Android atá d'fhonn a fháil ar chóras oibriúcháin nua 812 00:56:30,200 --> 00:56:34,690 Google a chur amach ar an córas oibriúcháin, agus ansin an monaróir crua-earraí 813 00:56:34,690 --> 00:56:39,390 Tá a shaincheapadh é, agus ansin tá an t-iompróir a shaincheapadh é agus é a sheachadadh. 814 00:56:39,390 --> 00:56:43,070 Tá tú go bunúsach 3 páirteanna gluaisteacha anseo, 815 00:56:43,070 --> 00:56:47,210 agus tá sé ag casadh amach nach bhfuil na hiompróirí cúram, 816 00:56:47,210 --> 00:56:50,400 agus nach bhfuil na monaróirí crua-earraí cúram, agus nach bhfuil Google prodding iad go leor 817 00:56:50,400 --> 00:56:54,430 aon ní a dhéanamh, mar sin go bunúsach níos mó ná leath de na feistí amach ann 818 00:56:54,430 --> 00:57:00,590 Tá córais oibriúcháin go bhfuil na leochaileachtaí formhéadaithe pribhléid iontu, 819 00:57:00,590 --> 00:57:08,440 agus mar sin má fhaigheann tú malware ar do gléas Android tá sé i bhfad níos mó de fadhb. 820 00:57:08,440 --> 00:57:10,350 >> Maith go leor, go raibh maith agat go mór. 821 00:57:10,350 --> 00:57:12,310 [Bualadh bos] 822 00:57:12,310 --> 00:57:14,310 [CS50.TV]