[Seimineár] [Cosaint Taobh thiar an Gléas: Slándáil Mobile Iarratas]
 [Chris Wysopal] [Ollscoil Harvard]
 [Is é seo an CS50.] [CS50.TV]
 

Dea-tráthnóna. Is é mo ainm Chris Wysopal.
 Tá mé an CTO agus comhbhunaitheoir de Veracode.
 Is Veracode cuideachta slándála i bhfeidhm.
 Tástáil muid gach cineál na n-iarratas éagsúla,
 agus cad tá mé ag dul chun labhairt faoi lá atá inniu ann is slándála i bhfeidhm soghluaiste.
 Mo chúlra Tá mé ag déanamh taighde slándála
 ar feadh tréimhse an-fhada, is dócha mar gheall ar chomh fada agus is aon duine.
 Thosaigh mé i lár na 90s,
 agus bhí sé am a bhí suimiúil go leor mar gheall ar
 bhí againn athrú paraidíme i lár na 90s.
 Gach de tobann gach duine ar ríomhaire a bhí hooked suas go dtí an idirlíon,
 agus ansin bhí againn an tús na n-iarratas gréasáin,
 agus sin an méid dhírigh mé ar a lán ansin.
 Tá sé suimiúil.
 Anois, tá muid athrú paraidím eile ag tarlú le ríomhaireacht,
 a bhfuil an t-athrú a fhorbairt iarratais soghluaiste.
 

Is dóigh liom tá sé de chineál ar am den chineál céanna ansin bhí sé sa 90s déanach
 nuair a bhí muid ag fiosrú iarratais gréasáin agus lochtanna mar a aimsiú
 earráidí bainistíochta seisiún agus SQL instealladh
 a ndáiríre ní raibh ann roimh, agus go léir a tobann bhí siad i ngach áit
 i iarratais gréasáin, agus anois a lán de an t-am a chaitheamh agam
 ag féachaint ar iarratais soghluaiste agus ag féachaint ar cad atá ar siúl amuigh ansin sa fiáin.
 Iarratais soghluaiste ag dul i ndáiríre a bheith ar an ardán ríomhaireachta ceannasach,
 mar sin ní mór dúinn i ndáiríre a chaitheamh go leor ama má tá tú sa tionscal slándála
 ag díriú ar iarratais gréasáin.
 Bhí 29 billiún apps soghluaiste a íoslódáil i 2011.
 Tá sé tuartha a bheith 76 billiún apps faoi 2014.
 Níl 686,000,000 feistí go bhfuil dul chun a cheannach i mbliana,
 mar sin tá sé seo nuair a bhfuil daoine ag dul a bheith ag déanamh
  an chuid is mó a n-ríomhaireachta cliant ag dul ar aghaidh.
 

Bhí mé ag caint le Leas-Uachtarán ag Fidelity Investments
 cúpla mí ó shin, agus dúirt sé go bhfaca siad díreach tráchta níos mó
 ag déanamh idirbheart airgeadais óna mbonn custaiméirí
 ar a n-iarratas soghluaiste ná ar a láithreán gréasáin,
 mar sin tá úsáid go coitianta chun an Gréasán san am atá thart bhí
 seiceáil do Sleachta stoc, a bhainistiú do phunann,
 agus táimid ag féachaint ar iarbhír i 2012 níos mó ná athrú
 a bheith níos mó ar an ardán soghluaiste.
 Cinnte má tá dul chun bheith aon ghníomhaíocht choiriúil,
 aon ghníomhaíocht mailíseach, tá sé ag dul chun tús a chur le bheith dírithe ar an ardán soghluaiste
 le himeacht ama mar dhaoine athrú thar leis sin.
 Má fhéachann tú ar an ardán soghluaiste,
 chun breathnú ar na rioscaí a bhaineann leis an ardán tá sé úsáideach a bhriseadh síos i sraitheanna éagsúla,
 díreach mar a bheadh ​​leat é a dhéanamh ar ríomhaire deisce,
 agus a cheapann tú faoi na sraitheanna éagsúla, bogearraí, córas oibriúcháin,
 ciseal líonra, ciseal crua-earraí, agus ar ndóigh, níl leochaileachtaí ar na sraitheanna go léir.
 

A tharlaíonn an rud céanna ar soghluaiste.
 Ach soghluaiste, is cosúil go bhfuil roinnt de na sraitheanna níos measa as.
 I gcás amháin, is é an ciseal líonra níos mó fadhbanna ar soghluaiste
 gheall ar a lán de na daoine a bhfuil i n-oifig nó sa bhaile
 naisc wired nó tá siad slán naisc Wi-Fi,
 agus le go leor de na gléasanna soghluaiste go bhfuil tú ar ndóigh lasmuigh den bhaile
 nó lasmuigh den oifig a lán, agus má tá tú ag baint úsáide Wi-Fi ann
 d'fhéadfá a bheith ag baint úsáide as Wi-Fi nasc neamhchinnte,
 rud éigin go bhfuil phoiblí nasc Wi-Fi,
 mar sin nuair a cheapann againn faoi apps soghluaiste ní mór dúinn a chur san áireamh
 go bhfuil an timpeallacht líonra riskier do na hiarratais sin
 nuair a Wi-Fi á n-úsáid.
 Agus nuair a rachaidh mé i níos mó de na rioscaí iarratais soghluaiste
 Feicfidh tú a fheiceáil cén fáth go bhfuil níos tábhachtaí.
 Tá rioscaí ag an leibhéal crua-earraí ar gléasanna soghluaiste.
 Is réimse é seo de thaighde leanúnach.
 Daoine glaoch ar na hionsaithe leathanbhanda nó ionsaithe baseband
 áit a bhfuil tú ionsaí ar an Firmware go bhfuil ag éisteacht ar an raidió.
 Is iad seo i ndáiríre 

ionsaithe scary toisc
 Níl an t-úsáideoir aon rud a dhéanamh.
 Is féidir leat a bhuail go leor de na feistí laistigh de raon RF
 ag an am céanna, agus is cosúil sé cosúil aon uair boilgeoga taighde seo suas
 sé go tapa Faigheann rangaithe áit
 daoine swoop i timpeall agus a rá, "Anseo, inis dúinn faoi sin, agus le do thoil stop a labhairt mar gheall air."
 Níl roinnt taighde a ar siúl sa réimse leathanbhanda,
 ach is cosúil é a bheith an-hush hush.
 Sílim go bhfuil sé níos mó de chineál stát náisiúin taighde go bhfuil ag tarlú ar.
 Tá réimse an taighde gníomhach, cé go bhfuil, an ciseal córas oibriúcháin,
 agus arís, tá sé seo difriúil ná ar fud an domhain ríomhaireachta deisce
 mar gheall ar an spás soghluaiste a bhfuil tú na foirne de dhaoine a dtugtar jailbreakers,
 agus tá jailbreakers éagsúla ná taighdeoirí leochaileacht rialta.
 Tá siad ag iarraidh chun leochaileachtaí a aimsiú sa chóras oibriúcháin,
 ach nach bhfuil an chúis a bhíonn siad ag iarraidh a fháil ar na leochaileachtaí a
 briseadh isteach meaisín duine eile agus comhréiteach é.
 Tá sé a bhriseadh i n-ríomhaire féin.
 

Tá siad ag iarraidh a bhriseadh isteach ina phóca féin, a mhodhnú córas oibriúcháin soghluaiste a n-féin
 ionas gur féidir leo a reáchtáil na hiarratais a rogha
 agus rudaí le ceadanna riaracháin iomlán a athrú,
 agus nach bhfuil siad ag iarraidh a rá leis an díoltóir faoi seo. Ní bhíonn siad cosúil le taighdeoir slándála is taighdeoir slándála hata bán
 atá ag dul a dhéanamh nochtadh atá freagrach agus a rá leis an díoltóir faoi.
 Tá siad ag iarraidh é seo a dhéanamh taighde, agus ba mhaith leo a fhoilsiú i ndáiríre é
 i leas a bhaint as nó a rootkit nó cód jailbreak,
 agus ba mhaith leo a dhéanamh go straitéiseach, cosúil ceart tar éis
 na longa díoltóir an córas oibriúcháin nua.
 Tá tú an gaol sáraíochta
 le leochaileachtaí OS-leibhéal ar an soghluaiste,
 a Sílim go bhfuil suimiúil go leor, agus áit amháin a fheiceáil dúinn é
 Tá a dhéanann sé é ionas go níl dea Cód foilsithe leas a bhaint as amach ann
 do leochaileachtaí eithne-leibhéal,
 agus atá feicthe againn iad sin a úsáid iarbhír ag scríbhneoirí malware.
 Tá sé beagán difriúil ná an domhan ríomhaire.
 Agus ansin is é an ciseal deiridh na sraithe barr, an ciseal t-iarratas.
 Sin an méid mé ag dul chun labhairt faoi lá atá inniu ann.
 

An sraitheanna eile ann, agus na sraitheanna eile a imirt isteach é,
 ach tá mé ag dul den chuid is mó chun labhairt faoi cad atá ar siúl ag an ciseal t-iarratas
 áit a bhfuil cód ag rith sa bosca gainimh.
 Ní chuireann sé a bheith pribhléidí riaracháin.
 Tá sé úsáid a bhaint as an APIs an gléas,
 ach fós, is féidir a lán de ghníomhaíocht mailíseach agus a lán de riosca a tharlóidh ag an ciseal
 mar gheall ar go bhfuil an ciseal ina bhfuil an fhaisnéis ar fad.
 Is féidir Apps teacht ar an eolas ar fad ar an ngléas
 má tá siad an ceart ceadanna,
 agus is féidir leo teacht ar na braiteoirí éagsúla ar an ngléas,
 GPS braiteoir, micreafón, ceamara, cad a bhfuil tú.
 Cé tá muid ag caint ach thart ar an ciseal t-iarratas
 ní mór dúinn a lán de riosca ann.
 An rud eile go bhfuil éagsúla mar gheall ar an timpeallacht soghluaiste
 Tá gach na himreoirí córas oibriúcháin, go mbeadh sé sméar dubh nó Android
 nó iOS nó Windows soghluaiste, tá siad ar fad múnla cead fíneáil grained,
 agus tá sé seo ar cheann de na bealaí a thóg siad isteach ar an córas oibriúcháin
 an smaoineamh nach bhfuil sé mar risky mar a cheapann tú.
 Cé go bhfuil tú go léir do chuid teagmhálacha ar ann, do chuid faisnéise pearsanta ar fad,
 tá tú do grianghraif, tá tú do shuíomh ar ann,
 bhfuil tú ag stóráil do bioráin bainc le haghaidh Logáil isteach uathoibríoch ar ann, tá sé sábháilte mar gheall ar
 Tá apps go bhfuil ceadanna áirithe a fháil ar na codanna áirithe
 na faisnéise ar an ngléas, agus an t-úsáideoir a bhfuil a chur i láthair le
 na ceadanna agus a rá ceart go leor.
 

Is í an fhadhb leis an úsáideoir i gcónaí a deir ceart go leor.
 Mar dhuine slándála, tá a fhios agam gur féidir leat pras an t-úsáideoir,
 a rá go bhfuil rud éigin dona ag dul a tharlóidh, ar mhaith leat é a tharlóidh?
 Agus má tá siad faoi dheifir nó tá rud éigin i ndáiríre enticing ar an taobh eile den,
 cosúil go bhfuil cluiche ag dul a bheith suiteáilte go atá siad ag fanacht,
 tá siad ag dul go dtí cliceáil ceart go leor.
 Sin an fáth a rá liom ar mo sleamhnán anseo ach lig dom éin fling ag muca cheana féin,
 agus is féidir leat a fheiceáil ar an sleamhnán anseo tá samplaí de bhosca cead sméar dubh.
 Deir sé "Socraigh an t-iarratas sméar dubh ceadanna Taisteal
 tar éis cliceáil an cnaipe thíos, "agus go bunúsach go bhfuil an t-úsáideoir ag dul ach a rá
 a leagtar ar an ceadanna agus a shábháil.
 Seo pras Android i gcás go suífidh sé rudaí,
 agus cuireann sé i ndáiríre rud éigin a bhreathnaíonn beagnach cosúil le rabhadh.
 Baineann sé le Fuair ​​saghas comhartha géill slí ann á rá líonra cumarsáide, glaoch teileafóin,
 ach tá an t-úsáideoir dul go dtí cliceáil shuiteáil, ceart?
 Agus is é sin an ceann go hiomlán innocuous Apple.
 Ní chuireann sé a thabhairt ar aon chineál de rabhadh.
 Tá sé díreach mbeadh Apple buíochas a úsáid do shuíomh atá ann faoi láthair.
 Ar ndóigh, tá tú ag dul go dtí cliceáil ceart go leor.
 

Tá an múnla seo cead fíneáil-grained,
 agus tá apps go bhfuil comhad a léiriú nuair a dhearbhú siad
 na ceadanna de dhíth orthu, agus beidh a fháil ar taispeáint don úsáideoir,
 agus beidh an t-úsáideoir a rá liom deontas na ceadanna.
 Ach a ligean ar a bheith macánta.
 Úsáideoirí ag dul ach a rá i gcónaí ceart go leor.
 A ligean ar ghlacadh le breathnú tapa ar na ceadanna go bhfuil na apps ag iarraidh
 agus roinnt de na ceadanna atá ann.
 An comhlacht seo rinne Praetorian suirbhé na bliana seo caite
 53,000 n-iarratas anailís sna margaí margadh agus 3ú páirtí Android,
 mar sin tá sé seo go léir Android.
 Agus d'iarr an app meán 3 ceadanna.
 D'iarr roinnt apps 117 ceadanna,
 mar sin ar ndóigh is iad seo an-fíneáil grained agus ar bhealach ró-chasta d'úsáideoir a thuiscint
 má tá siad i láthair leis an app go bhfuil gá leis na ceadanna 117.
 Tá sé cosúil leis an gcomhaontú ceadúnas deireadh úsáideora go 45 leathanaigh fada.
 B'fhéidir go luath beidh siad a bheith ina rogha nuair a tá sé cosúil
 phriontáil agus a sheoladh ceadanna ríomhphost chugam.
 

Ach má fhéachann tú ar roinnt de na ceadanna suimiúla barr
 24% de na apps go íoslódáil siad amach as an ar 53,000
 iarrtar faisnéis GPS as an gléas.
 Léigh 8% na teagmhálacha.
 Sheoladh 4% SMS, agus fuair 3% SMS.
 Taifeadadh fuaime 2%.
 1% próiseáilte glaonna ag dul as oifig.
 Níl a fhios agam.
 Ní dóigh liom go 4% de na apps sa siopa app gur gá a teachtaireachtaí téacs SMS a sheoladh,
 mar sin dóigh liom go bhfuil leid go bhfuil rud éigin untoward ar siúl.
 8% de na apps is gá a léamh do liosta teagmhálacha. Tá sé dócha nach bhfuil gá.
 Ceann de na rudaí suimiúla eile faoi cheadanna é
 má tú nasc i leabharlanna roinnte isteach i d'iarratas
 iad siúd hoidhreacht na ceadanna an t-iarratas,
 mar sin má theastaíonn uait do app ar an liosta teagmhála nó riachtanais an suíomh GPS a bheith ag feidhmiú
 agus tú nasc i leabharlann fógraíochta, mar shampla,
 Beidh an leabharlann ad in ann rochtain a fháil ar na teagmhálacha
 agus freisin a bheith in ann rochtain a fháil ar an suíomh GPS,
 agus a fhios ag an forbróir an app aon rud mar gheall ar an cód atá ag rith sa leabharlann ad.
 Tá siad ag nascadh go díreach i mar is mian leo a monetize a n-app.
 

Tá sé seo i gcás-agus beidh mé ag caint faoi roinnt samplaí de seo le
 iarratas ar a dtugtar Pandora áit ina forbróir iarratas
 D'fhéadfadh a bheith ngan fhios leaking faisnéis
 as a n-úsáideoirí mar gheall ar leabharlanna atá siad nasctha isteach
 Suirbhéireacht ar an tírdhreach amach ann, ag féachaint ar gach apps éagsúla
 a bhí a tuairiscíodh sa nuacht mar nach n-íocfadh úsáideoirí mailíseach nó ag déanamh rud éigin ag iarraidh
 agus ansin iniúchadh a lán de na apps-linn a dhéanamh ar a lán de na anailís dhénártha statach ar apps soghluaiste,
 mar sin againn iad a scrúdú agus d'fhéach sé ar an cód féin-
 tháinig muid suas leis an méid tugaimid ár barr 10 liosta de na iompraíochtaí rioscúil in iarratais.
 Agus tá sé briste síos i 2 chuid, cód mailíseach,
 ionas go bhfuil na rudaí dona go bhféadfadh an apps bheith á dhéanamh sin
 Is dócha go mbeidh rud éigin go duine mailíseach
 Tá curtha go sonrach san iarratas, ach tá sé beagán doiléir.
 D'fhéadfadh sé a bheith rud éigin go cuí forbróir é, fíneáil,
 ach chríochnaíonn sé suas a bheith cumha mar mailíseach ag an úsáideoir.
 

Agus ansin tá an dara cuid rud ar a dtugaimid leochaileachtaí códaithe,
 agus tá na rudaí leis an forbróir go bunúsach go bhfuil botúin a dhéanamh
 nó nach bhfuil ach a thuiscint conas a scríobh ar an app go daingean,
  agus go bhfuil ag cur an t-úsáideoir app i mbaol.
 Tá mé ag dul chun dul trí na mion agus a thabhairt ar roinnt samplaí.
 Le haghaidh tagartha, bhí mé a chur suas ar an OWASP soghluaiste barr 10 liosta.
 Seo iad na 10 saincheisteanna grúpa ag OWASP,
 Tionscadal Oscailte Gréasáin Iarratais Slándáil, tá siad grúpa oibre
 ag obair ar soghluaiste barr 10 liosta.
 Tá siad an-cháiliúil gréasáin barr 10 liosta, a bhfuil an barr 10
 rudaí is riskiest féidir leat a bheith in iarratas gréasáin.
 Tá siad ag déanamh an rud céanna le haghaidh soghluaiste,
 agus tá a n-liosta beagán difriúil ná mar a linne.
 6 as 10 mar an gcéanna.
 Tá siad 4 atá éagsúil.
 Sílim go bhfuil siad beagán de éagsúla a chur ar
 riosca i apps soghluaiste i gcás a lán a gcuid ceisteanna
 Tá i ndáiríre gcaoi a bhfuil an t-iarratas in iúl do fhreastalaí ar ais-deireadh
 nó cad atá ar siúl ar an bhfreastalaí ar ais-deireadh,
 apps nach bhfuil an oiread sin go bhfuil iompraíocht rioscúil go bhfuil apps cliaint ach simplí.
 

Is iad na cinn i dearg anseo na difríochtaí idir na liostaí 2.
 Agus tá roinnt de mo fhoireann taighde chuir iarbhír leis an tionscadal seo,
 mar sin beidh orainn a fheiceáil cad a tharlaíonn le himeacht ama, ach is dóigh liom go bhfuil an takeaway anseo
 níl a fhios againn i ndáiríre cad é an liosta barr 10 i apps soghluaiste mar gheall ar
 i ndáiríre tá siad tar éis ach timpeall ar feadh 2 nó 3 bliana anois,
 agus ní raibh go leor ama chun taighde a dhéanamh i ndáiríre na córais oibriúcháin
 agus cad tá siad in ann, agus ní raibh go leor ama
 don phobal mailíseach, más maith leat, a chaith go leor ama
 ag iarraidh a ionsaí úsáideoirí trí apps soghluaiste, mar sin mé ag súil leis na liostaí a athrú le beagán.
 Ach do anois, is iad seo na 10 rudaí is fearr a bheith buartha faoi.
 D'fhéadfá Wonder ar an taobh soghluaiste nuair a dhéanann an cód mailíseach soghluaiste-
 conas a dhéanann sé a fháil ar an gléas?
 North Carolina Stáit Tá tionscadal ar a dtugtar an Tionscadal Géineoim Soghluaiste Malware
 áit a bhfuil siad ag bailiú an oiread malware soghluaiste agus is féidir leo agus anailís a dhéanamh uirthi,
 agus tá siad briste síos na veicteoirí instealladh a úsáideann an malware soghluaiste,
 agus 86% a úsáid teicníc ar a dtugtar athphacáistiú,
 agus tá sé seo ach amháin ar an ardán Android
 Is féidir leat a dhéanamh i ndáiríre seo a athphacáistiú.
 

Is é an chúis cód Android tógtha le
 cód beart Java ar a dtugtar Dalvik atá go héasca decompilable.
 Cad is féidir leis an Guy dona dhéanamh
 a ghlacadh ar iarratas Android, decompile é,
 isteach a n-cód mailíseach, recompile é,
 agus ansin é a chur suas ar an siopa app a airbheartaíonn a bheith ina leagan nua den iarratas sin,
 nó díreach ag athrú b'fhéidir an t-ainm ar an iarratas.
 Má bhí sé de chineál éigin de chluiche, a athrú an t-ainm beagán,
 agus mar sin tá an athphacáistiú conas a fhaigheann 86% de malware soghluaiste a dháileadh.
 Níl cothrom le dáta teicníc ar a dtugtar eile atá
 an-chosúil leis athphacáistiú, ach tú nach bhfuil i ndáiríre a chur ar an cód mailíseach isteach
 Cad a dhéanann tú é a chuir tú i meicníocht nuashonrú beag.
 Decompile tú, tú a chur i meicníocht cothrom le dáta, agus tú recompile é,
 agus ansin nuair a bhíonn an app ag rith pulls sé síos an malware isteach ar an gléas.
 

Le fada go bhfuil an chuid is mó dóibh siúd 2 teicnící.
 Níl íoslódáil i bhfad i ndáiríre tiomáint-leataobh nó a thiomáint-trí íosluchtú phóca,
 d'fhéadfadh a bheith cosúil le ionsaí phishing.
 Hey, seiceáil amach an suíomh gréasáin seo i ndáiríre fionnuar,
 nó is gá duit dul chuig an suíomh gréasáin seo agus líon isteach an fhoirm seo
 a choinneáil ag leanúint ag déanamh rud éigin. Glacfar iad phishing ionsaithe.
 Is féidir an rud céanna a tharlóidh ar an ardán soghluaiste a bhfuil siad
 pointe app soghluaiste a íoslódáil, a rá "Dia duit, is é seo Banc na Mheiriceá."
 "Feicimid go bhfuil tú ag baint úsáide iarratas seo."
 "Ba chóir duit a íoslódáil an t-iarratas eile."
 Teoiriciúil, d'fhéadfadh go n-oibríonn.
 B'fhéidir go bhfuil sé nach bhfuil ach á n-úsáid go leor chun a chinneadh cibé an bhfuil sé rathúil nó nach ea,
 ach fuair siad go bhfuil níos lú ná 1% den am sin teicníc a úsáidtear.
 An chuid is mó den am tá sé i ndáiríre cód athphacáisteofar iad.
 

Níl chatagóir ar a dtugtar eile standalone
 nuair a thógann duine éigin ach iarratas branda-nua.
 Thógáil siad iarratas go n-airbheartaíonn a bheith rud éigin.
 Níl sé ina athphacáistiú rud éigin eile, agus go bhfuil an cód mailíseach.
 Sin a úsáidtear 14% den am.
 Anois, ba mhaith liom labhairt faoi cad é an cód mailíseach a dhéanamh?
 Ceann de na chéad malware amach ann
 d'fhéadfaí tú a bhreithniú spyware.
 Spies sé go bunúsach ar an úsáideoir.
 Bailíonn sé ríomhphost, teachtaireachtaí SMS.
 Casadh sé ar an micreafón.
 Harvests sé an leabhar teagmhála, agus cuireann sé sé amach le duine éigin eile.
 Tá an cineál seo spyware ar an ríomhaire,
 mar sin a dhéanann sé ciall foirfe do dhaoine chun iarracht a dhéanamh ar gléasanna soghluaiste.
 

Ba é ceann de na chéad samplaí de seo clár ar a dtugtar Rúnda replicator SMS.
 Bhí sé i margadh Android cúpla bliain ó shin,
 agus bhí an smaoineamh má bhí rochtain ag duine ar fón Android tú
 go raibh tú a Spy ar, mar sin b'fhéidir go bhfuil sé do chéile
 nó do suntasach eile agus ba mhaith leat a Spy ar a gcuid teachtaireachtaí téacs,
 d'fhéadfaí tú a íoslódáil an app agus é a shuiteáil agus a chumrú
 chun teachtaireacht téacs SMS a sheoladh chuig tú le cóip
 gach teachtaireacht téacs SMS a fuair siad.
 Tá sé seo ar ndóigh i sáruithe ar théarmaí siopa app seirbhíse,
 agus baineadh é seo, ón margadh Android laistigh de 18 uair an chloig de a bheith ann,
 mar sin bhí líon an-bheag de dhaoine atá i mbaol mar gheall ar seo.
 Anois, I mo thuairimse, más rud é go raibh an clár ar a dtugtar rud éigin b'fhéidir beagán níos lú gríosaitheach
 cosúil Rúnda replicator SMS bheadh ​​sé a bheith ag obair is dócha a lán níos fearr.
 Ach bhí sé de chineál ar soiléir.
 

Ceann de na rudaí is féidir linn a dhéanamh chun a chinneadh má tá apps seo a iompar nach bhfuil muid ag iarraidh
 is é a iniúchadh ar an gcód.
 Tá sé seo i ndáiríre i ndáiríre éasca a dhéanamh ar Android mar is féidir linn a decompile na apps.
 Ar iOS is féidir leat úsáid a dídhíolamóra cosúil le IDA Pro
 chun breathnú ar cad APIs é an app ag glaoch agus cad é a dhéanamh.
 Scríobh muid ár Anailíseoir dénártha féin statach le haghaidh ár cód
 agus a dhéanann muid seo, agus mar sin cad a d'fhéadfadh tú a dhéanamh ná a d'fhéadfaí tú a rá
 a dhéanann an gléas rud ar bith go bhfuil spying go bunúsach ar dom nó dom a rianú a dhéanamh?
 Agus tá mé roinnt samplaí anseo ar an iPhone.
 Is é seo an chéad sampla conas rochtain a fháil ar an UUID ar an bhfón.
 Sé seo i ndáiríre rud éigin go bhfuil Apple cosc ​​díreach d'iarratais nua,
 ach is féidir iarratais d'aois go mb'fhéidir go mbeadh tú a bheith ag rith ar do ghuthán a dhéanamh fós seo,
 agus mar sin gur féidir aitheantóir uathúil a úsáid a rianú tú
 thar go leor iarratais éagsúla.
 

Ar an Android, tá mé sampla anseo ag dul suíomh an gléas.
 Is féidir leat a fheiceáil go más rud é go glaoch API ann go bhfuil an app rianú,
 agus is féidir leat a fheiceáil cé acu tá sé ag fáil suíomh fíneáil nó garbh suíomh.
 Agus ansin ar bun anseo, tá mé sampla den tslí ar an sméar dubh
 D'fhéadfadh iarratas teacht ar na teachtaireachtaí ríomhphoist i do bhosca.
 Is iad seo an cineál rudaí is féidir leat iniúchadh a fheiceáil
 má tá an app ag déanamh na rudaí.
 An dara catagóir mór ar iompar mailíseach, agus tá sé seo is dócha an chatagóir is mó anois,
 Tá dhiailiú neamhúdaraithe, phréimh neamhúdaraithe teachtaireachtaí téacs SMS
 nó íocaíochtaí neamhúdaraithe.
 Rud eile go bhfuil ar leith mar gheall ar an teileafón
 Tá an gléas a hooked le cuntas billeála,
 agus nuair a tharlaíonn na gníomhaíochtaí ar an teileafón
 Is féidir é a chruthú muirir.
 Is féidir leat rudaí a cheannach ar an teileafón,
 agus nuair a sheolann tú teachtaireacht téacs SMS préimhe a bhíonn tú ag tabhairt airgid iarbhír
 don sealbhóir cuntais ar an uimhir teileafóin ar an taobh eile.
 Bunaíodh na suas a fháil Sleachta stoc nó a fháil do horoscope laethúil nó nithe eile,
 ach is féidir iad a chur ar bun a ordú a táirge ag téacs SMS a sheoladh.
 Daoine airgead a thabhairt don Croise Deirge a sheoladh trí teachtaireacht téacs.
 Is féidir leat a thabhairt $ 10 go bhealach.
 

An attackers, méid atá déanta acu go bhfuil bhunaigh siad
 cuntais i dtíortha iasachta, agus a neadú siad sa malware
 go mbeidh an fón a sheoladh teachtaireacht téacs SMS préimhe,
 rá, cúpla uair sa lá, agus ag deireadh na míosa realize tú atá tú a chaitear
 deicheanna nó b'fhéidir fiú na céadta dollar, agus tá siad ag siúl amach leis an airgead.
 Fuair ​​sé seo chomh dona go raibh sé seo an-an chéad rud go bhfuil an Android
 Margadh nó an Google áit-go raibh sé an margadh Android ag an am,
 agus tá sé anois ar Google Play-an chéad rud a thosaigh Google sheiceáil le haghaidh.
 Nuair a thosaigh Google apps Android a dháileadh i n-siopa app
 Dúirt siad nach raibh siad ag dul a sheiceáil le haghaidh rud ar bith.
 Beidh muid apps tarraingt nuair a tá muid in iúl atá siad briste ar ár téarmaí seirbhíse,
 ach ní táimid ag dul a sheiceáil le haghaidh rud ar bith. Bhuel, thart ar bhliain ó shin fuair sé chomh dona le préimh SMS teachtaireacht téacs seo malware
 gurb é seo an-an chéad a thosaigh siad ag seiceáil do.
 Más féidir app teachtaireachtaí téacs SMS a sheoladh
 siad grinnscrúdú breise de láimh iarratas sin.
 Féach siad do na APIs go glaoch seo,
 agus anois ó shin i leith tá Google leathnú,
 ach seo an chéad rud gur thosaigh siad ag lorg.
 

Roinnt apps eile a raibh roinnt teachtaireachtaí téacs SMS,
 an Android Qicsomos, buille faoi thuairim mé go bhfuil sé ar a dtugtar.
 Bhí an ócáid ​​ann faoi láthair ar an soghluaiste nuair a tháinig an CarrierIQ amach
 mar a chur spyware ar an ngléas ag na hiompróirí,
 mar sin bhí a fhios ag daoine má bhí a n fón leochaileach seo,
 agus bhí sé seo app saor in aisce a thástáil go.
 Bhuel, ar ndóigh, cad é an app dhearna chuir sé phréimh teachtaireachtaí téacs SMS,
 mar sin trí thástáil a fheiceáil má tá tú ag ionfhabhtaithe le spyware
 luchtú tú malware ar do gléas.
 Chonaic muid an rud céanna a tharlóidh ag an deireanach Super Bowl.
 Bhí leagan bréagach den chluiche peile Madden
 a chuir phréimh teachtaireachtaí téacs SMS.
 Rinne sé i ndáiríre a chruthú líonra bot freisin ar an ngléas.
 Anseo tá mé roinnt samplaí.
 Suimiúil go leor, bhí Apple cliste go leor,
 agus nach bhfuil siad ar chumas iarratais chun teachtaireachtaí téacs SMS a sheoladh ar chor ar bith.
 Ní féidir aon app a dhéanamh.
 Sin ar bhealach iontach de Seicigh de rang iomlán de leochaileacht,
 ach ar Android is féidir leat é a dhéanamh, agus ar ndóigh, ar sméar dubh is féidir leat é a dhéanamh chomh maith.
 Tá sé suimiúil go bhfuil ar an sméar dubh is léir is gá duit cead idirlín
 a sheoladh teachtaireacht téacs SMS.
 

An rud eile i ndáiríre go táimid ag do
 Is nuair a bhíonn muid ag iarraidh a fheiceáil má tá rud éigin mailíseach ach de chineál ar bith
 ghníomhaíocht líonra neamhúdaraithe, ar nós féachaint ar an ghníomhaíocht líonra
 Is é an app ceaptha a bheith a bheith acu ar a fheidhmiúlacht,
 agus ag féachaint ar an ghníomhaíocht líonra eile.
 B'fhéidir app, a bheith ag obair, tá a sonraí a fháil thar HTTP,
 ach má tá sé ag déanamh rudaí thar r-phost nó SMS nó Bluetooth nó rud éigin mar sin
 anois a d'fhéadfadh a bheith app fhéadfadh a bheith mailíseach, mar sin tá sé seo rud eile is féidir leat iniúchadh.
 Agus ar an sleamhnán anseo tá mé roinnt samplaí de sin.
 Rud spéisiúil eile a chonaic muid le malware a tharla ar ais sa bhliain 2009,
 agus tharla sé ar bhealach mór.
 Níl a fhios agam má tá sé a tharla an oiread sin ó shin i leith, ach bhí sé app
 go impersonated iarratas eile.
 Bhí sraith de apps, agus bhí sé fuair teideal an ionsaí 09Droid,
 agus chinn duine éigin go raibh a lán de beag, réigiúnach, bainc midsize
 Ní raibh go bhfuil iarratais ar baincéireacht ar líne,
 mar sin cad a rinne siad a bhí siad tógtha thart ar 50 iarratas baincéireachta ar-líne
 go léir a rinne siad go raibh a chur ar an t-ainm úsáideora agus do phasfhocal a
 agus tú a atreorú chuig an láithreán gréasáin.
 Agus mar sin chuir siad seo go léir ar bun sa Google Marketplace,
 sa margadh Android, agus nuair a chuardach duine éigin a fheiceáil má tá a bhanc
 Bhí iarratas mbeadh siad ag teacht leis an iarratas bréige,
 a bailíodh a gcuid dintiúir agus ansin a atreorú orthu a gcuid láithreán gréasáin.
 An bealach go bhfuil sé seo i ndáiríre tháinig an-bhí apps suas ann ar feadh cúpla seachtain,
 agus bhí na mílte agus na mílte íosluchtú.
 

An bealach a tháinig seo chun solais go raibh duine a bhí ag a bhfuil fadhb
 le ceann amháin de na hiarratais, agus d'iarr siad a gcuid banc,
 agus d'iarr siad ar líne tacaíochta custaiméara a bhainc agus dúirt sé,
 "Tá mé ag a bhfuil fadhb le d'iarratas baincéireachta soghluaiste."
 "An féidir leat cabhrú liom amach?"
 Agus dúirt siad, "Ní chuirimid bhfuil iarratas baincéireachta soghluaiste."
 Sin a thosaigh an t-imscrúdú.
 Sin an banc ar a dtugtar Google, agus ansin d'fhéach Google agus dúirt sé,
 "Wow, tá an t-údar céanna 50 iarratas scríofa bainc," agus thóg iad uile síos.
 Ach is cinnte bhféadfadh sé seo tarlú arís.
 Níl an liosta de na bainc éagsúla anseo
 a bhí mar chuid den seo a scam.
 Is é an rud eile ar féidir leis an app a dhéanamh i láthair an Chomhéadain iarratais eile.
 Cé go bhfuil sé ag rith d'fhéadfadh sé a pop suas an Chomhéadain Facebook.
 Deir sé go bhfuil tú a chur i do ainm úsáideora agus do phasfhocal a leanúint
 nó a chur suas aon ainm úsáideora agus focal faire le haghaidh Chomhéadain láithreán gréasáin
 go b'fhéidir úsáideann an t-úsáideoir ach chun iarracht a trick an t-úsáideoir
 isteach a chur a n-dintiúir isteach
 Tá sé seo i ndáiríre ar comhthreomhar díreach ar na n-ionsaithe phishing r-phost
 i gcás ina seolann duine tú teachtaireacht ríomhphoist
 agus tugann tú go bunúsach Chomhéadain falsa ar láithreán gréasáin
 go bhfuil rochtain agat ar.
 

Is é an rud eile a táimid ag do i cód mailíseach modhnú córas.
 Is féidir leat breathnú ar do na glaonna API gur gá phribhléid fhréamh
 a fhorghníomhú i gceart.
 Dá n-athrófaí seachfhreastalaí gréasáin an gléas a bheith rud éigin go bhfuil iarratas
 Níor chóir a bheith in ann a dhéanamh.
 Ach má tá cód in ann é sin a dhéanamh an t-iarratas
 Tá a fhios agat go bhfuil sé dócha go bhfuil iarratas mailíseach
 nó an-dócha go mbeidh iarratas mailíseach go mór,
 agus mar sin cad a tharlódh go mbeadh app go bhfuil ar bhealach éigin de escalating phribhléid.
 Bheadh ​​sé go bhfuil roinnt ghéarú phribhléid leas a bhaint as
 san iarratas, agus ansin nuair a ghéaraigh sé pribhléidí
 bheadh ​​sé a dhéanamh ar na modhnuithe córas. Is féidir leat teacht ar malware go bhfuil ghéarú phribhléid
 ann fiú gan a fhios agam conas an ardú pribhléid
 leas a bhaint as bhfuil dul chun tarlú, agus go bhfuil, ar bhealach deas éasca
 a chuardach le haghaidh malware.
 DroidDream dócha go raibh an píosa is cáiliúla de malware Android.
 I mo thuairimse, tionchar sé thart ar 250,000 úsáideoirí thar cúpla lá
 sula bhfuarthas é.
 Go n-athphacáisteofar iad 50 iarratas bréagach,
 iad a chur sa siopa app Android,
 agus go bunúsach a úsáidtear é cód jailbreak Android a pribhléidí a fhormhéadú
 agus ansin a shuiteáil ordú agus a rialú agus cas ar fad na n-íospartach
 isteach i glan bot, ach d'fhéadfaí tú a bhrath seo
 má bhí tú ag scanadh an t-iarratas agus díreach ag lorg
 Glaonna API go bhfuil cead fhréamh teastáil a fhorghníomhú i gceart.
 

Agus níl sampla anseo tá mé a athrú ar an seachfhreastalaí,
 agus tá sé seo i ndáiríre ar fáil ach amháin ar an Android.
 Is féidir leat a fheiceáil mé a thabhairt duit a lán de na samplaí ar Android
 mar is é seo áit a bhfuil an éiceachóras malware is gníomhaí
 mar tá sé i ndáiríre éasca do ionsaitheoir a fháil ar cód mailíseach
 isteach sa margadh Android.
 Níl sé chomh furasta sin a dhéanamh sa Apple App Store
 mar gheall ar Éilíonn Apple forbróirí iad féin a aithint
 agus sínigh an cód.
 Siad a sheiceáil i ndáiríre a bhfuil tú, agus Apple tá scrutinizing i ndáiríre na n-iarratas.
 Ní chuirimid a fheiceáil go leor de malware fíor ina bhfuil an gléas dul i gcontúirt.
 Beidh mé ag caint faoi roinnt samplaí i gcás ina bhfuil sé i ndáiríre príobháideachta go bhfuil dul i gcontúirt,
 agus go bhfuil an méid atá ag tarlú i ndáiríre ar an gléas Apple.
 Rud eile a chuardach le haghaidh cód mailíseach, cód risky i feistí
 Is loighic nó am buamaí, agus tá buamaí ama is dócha
 i bhfad níos éasca a chuardach le haghaidh ná buamaí loighic.
 Ach le buamaí ama, cad is féidir leat a dhéanamh ná is féidir leat breathnú ar
 áiteanna sa chód áit a bhfuil an t-am a thástáil nó am iomlán atá sa tóir ar
 roimh a tharlaíonn feidhmiúlacht áirithe sa app.
 Agus d'fhéadfadh sé seo a dhéanamh chun dul i bhfolach go gníomhaíocht ón úsáideoir,
 mar sin tá sé ag tarlú go déanach san oíche.
 DroidDream raibh a ghníomhaíocht ar fad 11:00-08:00 am áitiúil
 chun iarracht a dhéanamh cé nach bhféadfadh an t-úsáideoir a bheith ag baint úsáide n-gléas.
 

Tá cúis eile é seo a dhéanamh má tá daoine ag baint úsáide as anailís iompraíochta d'iarratas,
 reáchtáil an app i bosca gainimh a fheiceáil cad é an iompar ar an t-iarratas,
 Is féidir iad a úsáid loighic am-bhunaithe a dhéanamh ar an ngníomhaíocht
 nuair nach bhfuil an app sa bosca gainimh.
 Mar shampla, siopa app cosúil le Apple
 Ritheann an t-iarratas, ach tá siad dócha nach bhfuil a reáchtáil gach iarratas ar, abair, 30 lá
 roimh sé é a fhormheas, ionas gur féidir leat a chur
 loighic i d'iarratas a dúirt sé, ceart go leor, a dhéanamh ach an rud dona
 tar éis 30 lá imithe ag, nó tar éis 30 lá tar éis an dáta a fhoilsiú an iarratais,
 agus gur féidir cabhrú leis an cód hide mailíseach ó dhaoine a iniúchadh chun é.
 Má tá cuideachtaí frith-víreas rudaí ag rith i sandboxes
 nó go bhfuil na siopaí app féin is féidir an cúnamh
 hide gurab ón iniúchadh.
 Anois, is é an taobh smeach de go bhfuil sé éasca a fháil le hanailíse stataí,
 mar sin i ndáiríre iniúchadh an cód is féidir leat breathnú ar na háiteanna ar fad
 i gcás tástálacha an t-iarratas an t-am agus iniúchadh a dhéanamh go bhealach.
 Agus anseo tá mé roinnt samplaí ar na 3 ardáin éagsúla
 conas is féidir am a sheiceáil le haghaidh an déantóir app
 sin a fhios agat cad a lorg má tá tú ag iniúchadh an app statically.
 

Chuaigh mé díreach trí a bunch iomlán de ghníomhaíochtaí mailíseach éagsúla
 go atá feicthe againn sa fiáin, ach tá na cinn is forleithne?
 Sin staidéar céanna ó Thionscadal Stáit Soghluaiste Genome North Carolina
 D'fhoilsigh cuid de na sonraí, agus bhí go bunúsach 4 réimsí
 gur chonaic siad áit a raibh a lán de na gníomhaíochta.
 Rinne 37% de na apps escalation phribhléid,
 mar sin bhí siad roinnt de chineál cód jailbreak in ann
 nuair a rinne siad chun pribhléidí ardú ionas go bhféadfadh siad
 dhéanamh orduithe API rith mar an córas oibriúcháin.
 45% de na apps amach ann raibh SMS préimhe,
 ionas go céatadán mór go bhfuil ag iarraidh a monetize go díreach.
 Rinne 93% rialú iargúlta, mar sin rinne siad a chur ar bun glan bot, glan bot soghluaiste.
 Agus a lománaíodh 45% eolas a aithint
 cosúil le uimhreacha gutháin, UUIDs, suíomh GPS, cuntais úsáideora,
 agus cuireann sé seo suas go dtí níos mó ná 100 toisc go iarracht an chuid is mó malware a dhéanamh ar roinnt de na rudaí seo.
 

Tá mé ag dul a aistriú chuig an dara leath agus labhairt faoi na leochaileachtaí cód.
 Is é seo an dara leath den ghníomhaíocht risky.
 Tá sé seo i gcás go bunúsach go bhfuil an bhforbróir earráidí a dhéanamh.
 Forbróir dlisteanach scríobh app dlisteanach
 Tá earráidí a dhéanamh nó go bhfuil aineolach ar na rioscaí a bhaineann leis an ardán soghluaiste.
 Siad ní hamháin bhfuil a fhios conas a dhéanamh app soghluaiste slán,
 nó uaireanta nach bhfuil an bhforbróir cúram faoi a chur an t-úsáideoir i mbaol.
 Uaireanta, d'fhéadfadh cuid de a n-mhúnla gnó a bheith
 baint an úsáideora ar fhaisnéis phearsanta.
 Sin saghas chatagóir eile, agus sin an fáth cuid de seo mailíseach
 i gcoinne thosaíonn dlisteanach a bleed níos mó ná mar níl difríocht ar thuairimí
 idir cad is mian leis an t-úsáideoir agus cad a mheasann an t-úsáideoir risky
 agus cad a mheasann an bhforbróir i bhfeidhm risky. Ar ndóigh, nach bhfuil sé na sonraí ar an bhforbróir i bhfeidhm i bhformhór na gcásanna.
 

Agus ansin ar deireadh, ar bhealach eile a tharlaíonn sé seo d'fhéadfadh forbróir nasc i
 leabharlann roinnte go bhfuil leochaileachtaí nó an iompraíocht rioscúil ann
 i ngan fhios dóibh.
 Is é an chéad chatagóir sceitheadh ​​sonraí íogaire,
 agus tá sé seo nuair a bhailíonn an app faisnéise
 cosúil le suíomh, fhaisnéis a seoladh leabhar, faisnéis úinéir
 agus cuireann sin as an gléas.
 Agus nuair a tá sé amach an gléas, nach bhfuil a fhios againn cad atá ag tarlú leis an bhfaisnéis sin.
 D'fhéadfaí é a stóráil go neamhshlán ag an bhforbróir i bhfeidhm.
 Againn atá le feiceáil fhorbróirí iarratas a fháil i gcontúirt,
 agus na sonraí a stóráil go mbíonn siad ag glacadh Faigheann.
 Tharla sé seo cúpla mí ó shin go forbróir síos i Florida
 áit a raibh líon mór de-sé UUIDs iPad agus ainmneacha gléas
 Cuireadh leaked mar gheall ar dhuine, sílim go raibh sé gan ainm,
 Mhaígh seo a dhéanamh, bhris isteach freastalaithe seo fhorbróra
 agus ghoid na milliúin de iPad UUIDs
 agus ainmneacha ríomhaire.
 Nach bhfuil an t-eolas is risky,
 ach cad más rud é go raibh an stóráil na n-ainmneacha úsáideora agus focal faire
 agus seoltaí baile?
 Níl go leor de apps go stóráil chineál na faisnéise.
 Is é an baol ann.
 

Is é an rud eile is féidir a tharlaíonn más rud é nach ndéanann an bhforbróir cúram a ghlacadh
 chun a áirithiú go cainéal sonraí, agus go bhfuil leochaileacht mór eile Tá mé ag dul chun labhairt faoi,
 Tá go bhfuil na sonraí á sheoladh sa soiléir.
 Má tá an t-úsáideoir ar poiblí Wi-Fi líonra
 nó duine éigin sniffing an idirlíon áit éigin
 ar feadh an chosáin go bhfuil na sonraí a bheith faoi lé.
 Cás amháin an-cháiliúil ar an sceitheadh ​​eolais a tharla le Pandora,
 agus tá sé seo rud éigin taighde déanta againn ag Veracode.
 Chuala muid go raibh smaoineamh-agam go raibh sé ina Coimisiún Trádála Chónaidhme
 imscrúdú dul ar aghaidh leis Pandora.
 Dúirt muid, "Cad atá ar siúl ann? Let tús tochailt isteach an t-iarratas Pandora."
 Agus cad a bhí arna chinneadh muid an t-iarratas Pandora bailíodh
 do inscne agus aoise d',
 agus rochtain a fháil sé freisin do suíomh GPS, agus an t-iarratas Pandora
 rinne seo ar cad a dúirt siad go raibh cúiseanna dlisteanacha.
 Is é an ceol a bhí siad ag imirt-Pandora app-sruthú ceoil
 an ceol a bhí siad ag imirt a bhí ceadúnaithe ach amháin sna Stáit Aontaithe,
 mar sin bhí siad a sheiceáil i gcomhlíonadh a gcuid comhaontuithe ceadúnais go raibh siad
 don cheol go raibh an t-úsáideoir sna Stáit Aontaithe.
 Theastaigh uathu freisin chun cloí leis an comhairleach tuismitheora
 thart teanga do dhaoine fásta sa cheol,
 agus mar sin tá sé ina chlár deonach, ach bhí siad sin a chomhlíonadh
 agus ní liricí follasach imirt le leanaí 13 agus faoi.
 

Bhí siad cúiseanna dlisteanacha a bhailiú na sonraí seo.
 Bhí a n-app na ceadanna chun é a dhéanamh.
 Úsáideoirí cheap go raibh sé seo dlisteanach. Ach cad a tharla?
 Nasctha siad i 3 nó 4 leabharlann ad éagsúla.
 Anois, ar fad ar fad na leabharlanna ad tobann
 ag fáil rochtain ar an bhfaisnéis chéanna.
 Na leabharlanna ad, má fhéachann tú ar an cód sna leabharlanna ad
 cad a dhéanann siad é a deir gach leabharlann ad
 "An bhfuil cead a fháil suíomh GPS mo app?"
 "Ó, ní chuireann sé? Maith go leor, inis dom an suíomh GPS ar siúl."
 A dhéanann gach leabharlann ad amháin sin,
 agus más rud é nach bhfuil an app go bhfuil cead GPS
 Ní bheidh sé in ann é a fháil, ach má dhéanann sé, beidh sé é a fháil.
 Tá sé seo i gcás an tsamhail ghnó de chuid na leabharlanna ad
 i gcoinne an príobháideacht an úsáideora.
 Agus tá rinneadh staidéir amach ann a rá má tá a fhios agat an aois
 duine agus tá a fhios agat a suíomh
 i gcás ina chodladh san oíche, toisc go bhfuil tú a n-GPS comhordanáidí
 agus iad b'fhéidir go bhfuil codlata, tá a fhios agat go díreach a bhfuil an duine sin
 mar is féidir leat a chinneadh a bhfuil ball den teaghlach sin an duine sin.
 Tá sé an-is é seo a aithint do lucht fógraíochta
 go díreach cé tú féin, agus tá sé cosúil go raibh sé dlisteanach.
 Ba mhaith liom díreach tar éis mo ceol sruthú, agus tá sé seo an bealach amháin chun é a fháil.
 

Bhuel, lé muid seo.
 Scríobhamar é seo suas i blog post éagsúla,
 agus d'éirigh sé amach go bhfuil duine éigin as iris Rolling Stone
 Léigh ar cheann dár blog post agus scríobh a bhlag féin i Rolling Stone mar gheall air,
 agus an lá go eile cheap Pandora raibh sé ag smaoineamh maith
 a bhaint as leabharlanna ad as a n-iarratas.
 Chomh fada is a fhios agam go bhfuil siad an t-aon-ba chóir iad a moladh.
 I mo thuairimse, tá siad an cineál amháin freemium an app go bhfuil sin déanta seo.
 Tá gach na apps freemium eile an iompar céanna,
 mar sin tá tú chun smaoineamh ar cén cineál sonraí a bhíonn tú ag tabhairt
 na hiarratais freemium mar tá sé ag dul go léir a fógraíochta.
 Rinne Praetorian freisin le staidéar faoi leabharlanna roinnte agus dúirt sé,
 "A ligean ar breathnú ar cad iad na leabharlanna roinnte na leabharlanna roinnte barr," agus bhí sé seo na sonraí.
 

Anailís ar 53,000 apps siad,
 agus bhí an leabharlann roinnte uimhir 1 Admob.
 Bhí sé i ndáiríre i 38% de na hiarratais amach ann,
 mar sin 38% de na hiarratais tú ag baint úsáide
 Tá baint dócha do chuid faisnéise pearsanta a
 agus í a sheoladh chuig na líonraí ad. Bhí Apache agus Android 8% agus 6%,
 agus ansin na cinn eile síos ag an mbun, Fógraí Google, flurry,
 Mob Cathrach agus Millennial Meáin,
 is iad seo gach ceann de chuideachtaí ad, agus ansin, suimiúil go leor,
 4% nasctha sa leabharlann Facebook
 is dócha fíordheimhniú a dhéanamh trí Facebook
 mar sin d'fhéadfadh an app fhíordheimhniú Facebook.
 Ach ciallaíonn sin freisin an chorparáide Facebook rialuithe cód
 atá ag rith i 4% de na apps soghluaiste Android amach ann,
 agus tá siad rochtain ar na sonraí go bhfuil cead a fháil ag an app.
 Facebook iarracht go bunúsach a dhíol spás fógraíochta.
 Sin a n-mhúnla gnó.
 

Má fhéachann tú ar an éiceachóras iomlán leis na ceadanna
 agus leabharlanna roinnte dtosaíonn tú a fheiceáil go bhfuil
 Tá tú a lán de riosca i bhfeidhm supposedly dlisteanach.
 An rud céanna den chineál céanna a tharla le Pandora
 tharla le hiarratas ar a dtugtar Conair,
 agus shíl Conair raibh siad á cabhrach, forbróirí cairdiúil.
 Bhí siad ag iarraidh ach a thabhairt duit taithí úsáideora mór,
 agus d'éirigh sé amach go bhfuil gan leideanna an t-úsáideoir nó ag insint an t-úsáideoir rud ar bith-
 agus tharla sé seo ar an iPhone agus ar Android,
 bhí an app Pandora ar iPhone agus Android-
 go raibh an t-iarratas Conair grabbing do sheoladh leabhar ar fad
 agus athiarracht, más é do Conair ach nuair a shuiteáil tú, agus a bhí ar siúl an t-iarratas,
 agus ní raibh siad insint duit faoi seo.
 Shíl siad go raibh sé ina chuidiú i ndáiríre ar do shon
 a bheith in ann a roinnt leis na daoine i do leabhar seoltaí
 go bhfuil tú ag baint úsáide as an t-iarratas Conair.
 

Bhuel, shíl Conair is léir go raibh sé seo iontach do a n-chuideachta.
 Nach mór sin don úsáideoir.
 Tá tú a cheapann go bhfuil sé rud amháin má b'fhéidir ina dhéagóir
 ag baint úsáide as an iarratas seo agus tá a n-iliomad cairde i ann,
 ach cad má tá sé an POF de chuid cuideachta a installs Conair
 agus ansin ar fad ar tobann a gcuid leabhar ar fad suas ann seoladh?
 Tá tú ag dul a fháil ar a lán eolais déan teagmháil le d'fhéadfadh a bheith luachmhar
 do a lán daoine.
 Do thuairisceoir ó an New York Times, d'fhéadfá a bheith in ann a fháil ar an uimhir theileafóin
 do uachtaráin sean as a gcuid leabhar seoltaí,
 mar sin ar ndóigh a lán eolais íogair Faigheann aistrítear leis an rud éigin mar seo.
 Bhí a leithéid flap mór faoi seo go bhfuil Conair leithscéal.
 D'athraigh siad a n-app, agus bhí tionchar fiú Apple.
 Apple dúirt sé, "Táimid ag dul chun bhfeidhm díoltóirí app d'úsáideoirí pras
 má tá siad ag dul a bhailiú a seoladh leabhar ar fad. "
 

Breathnaíonn sé cosúil le cad atá ag tarlú anseo
 nuair níl aon sárú príobháideachta mór agus déanann sé an preas
 feicimid athrú amach ann.
 Ach ar ndóigh, níl rudaí eile amuigh ansin.
 Harvests an t-iarratas LinkedIn do iontrálacha féilire,
 ach ní hionann Apple a dhéanamh an t-úsáideoir a spreag faoi sin.
 Is féidir iontrálacha Féilire faisnéis íogair iontu freisin.
 Cá bhfuil tú ag dul a tharraingt ar an líne?
 Tá sé seo i ndáiríre de chineál ar áit ag teacht chun cinn
 i gcás ina níl i ndáiríre níl aon caighdeán maith amach ann
 do na húsáideoirí a thuiscint nuair a gcuid faisnéise ag dul a bheith i mbaol
 agus nuair a bhíonn siad ag dul a fhios tá sé á ghlacadh.
 Scríobh muid app ag Veracode dtugtar adios,
 agus go bunúsach lig sé leat a chur in iúl ar an app ar do eolaire iTunes
 agus breathnú ar na hiarratais a bhí fómhair do sheoladh leabhar iomlán.
 Agus mar is féidir leat a fheiceáil ar an liosta seo anseo, Éin Angry,
 AIM, AroundMe.
 Cén fáth go bhfuil gá Éin Angry do leabhar seoltaí?
 Níl a fhios agam, ach a dhéanann sé ar bhealach.
 

Is é an rud go bhfuil go leor, go leor iarratais.
 Is féidir leat iniúchadh a dhéanamh ar an gcód seo.
 Níl APIs dea-shainithe do iPhone, Android agus sméar dubh
 a fháil ar an leabhar seoladh.
 Is féidir leat iniúchadh a dhéanamh i ndáiríre go héasca seo, agus tá sé seo cad a rinne muid inár iarratas adios.
 An chatagóir seo chugainn, neamhshábháilte Sonraí Íogaire Stóráil,
 Tá rud éigin ina dtógann forbróirí rud éigin cosúil le bioráin nó uimhir chuntais
 nó pasfhocal agus é a stóráil i soiléir ar an ngléas.
 Níos measa fós, d'fhéadfadh siad a stóráil i limistéar ar an teileafón
 atá inrochtana ar fud an domhain, ar nós an cárta SD.
 Féach leat seo níos minice ar Android mar is féidir Android do cárta SD.
 Ní dhéanann feistí IPhone.
 Ach chonaic muid fiú seo tarlú in iarratas Citigroup.
 A n-iarratas ar baincéireacht ar líne a stóráil na huimhreacha cuntais go neamhshlán,
 díreach i soiléir, mar sin má chaill tú do gléas,
 go bunúsach chaill tú do chuntas bainc.
 Sin é an fáth mé nach pearsanta a dhéanamh a dhéanamh baincéireachta ar mo iPhone.
 Sílim go bhfuil sé ró-risky ceart anois a dhéanamh ar na cineálacha gníomhaíochtaí.
 

Rinne Skype ar an rud céanna.
 Skype, ar ndóigh, tá iarmhéid an chuntais, ainm úsáideora agus do phasfhocal a
 go bhfuil rochtain ar an iarmhéid.
 Bhí siad ag stóráil an fhaisnéis sin go léir i soiléir ar an ngléas soghluaiste.
 Tá mé roinnt samplaí anseo de chomhaid a chruthú
 nach bhfuil na ceadanna ceart nó scríobh chuig diosca
 agus nach bhfuil aon criptithe a tharlóidh sin.
 An ceantar seo chugainn, neamhshábháilte Tarchur Sonraí Íogaire,
 Tá mé luaigh sí go seo cúpla uair, agus mar gheall ar poiblí Wi-Fi
 is é an rud go apps gá go hiomlán a dhéanamh,
 agus tá sé seo is dócha an méid a fheiceann muid ag dul go mícheart ar an chuid is mó. Ba mhaith liom a rá i ndáiríre-, I mo thuairimse, tá mé na sonraí iarbhír,
 ach tá sé gar do leath an iarratais soghluaiste
 scriú suas a dhéanamh SSL.
 Siad ní hamháin bhfuil a bhaint as an gceart APIs.
 Ciallaíonn mé, tá gach atá tú a fuair a dhéanamh na treoracha a leanúint agus a úsáid APIs,
 ach a dhéanann siad rudaí cosúil nach sheiceáil cibé an bhfuil teastas neamhbhailí ag an taobh eile,
 Ní seiceáil má tá an taobh eile ag iarraidh a dhéanamh ionsaí íosghrádú prótacal.
 

An forbróirí, ba mhaith leo a fháil ar a gcuid ticbhosca, ceart?
 Is é an riachtanas seo a úsáid chun a dhíol. Tá siad Bainim úsáid as seo chun a dhíol.
 Níl an ceanglas seo a úsáid chun a dhíol go daingean,
 agus mar sin tá sin an fáth go léir na hiarratais go n-úsáideann SSL sonraí a dhaingniú
 mar tá siad á dtarchur as an gléas is gá i ndáiríre a iniúchadh
 a dhéanamh cinnte go raibh i bhfeidhm i gceart.
 Agus anseo tá mé roinnt samplaí áit ar féidir leat féachaint ar iarratas
 D'fhéadfadh a bheith ag baint úsáide as HTTP ionad HTTPS.
 I roinnt cásanna, beidh apps titim ar ais go dtí HTTP
 más rud é nach bhfuil an HTTPS ag obair.
 Tá mé glao eile anseo ar Android nuair atá siad faoi mhíchumas ar an seic deimhniú,
 ionas gur féidir le ionsaí fear-i-an-lár tarlú.
 Beidh deimhniú neamhbhailí glacadh.
 Is iad seo na cásanna ina bhfuil attackers ag dul a bheith in ann a fháil ar
 an nasc céanna a Wi-Fi mar an t-úsáideoir agus an rochtain ar na sonraí go léir
 sin á sheoladh thar an idirlíon.
 

Agus ar deireadh, is é an chatagóir anuas tá mé anseo phasfhocal hardcoded agus eochracha.
 Linn a fheiceáil i ndáiríre a lán de na forbróirí a bhaint as an stíl códú céanna
 go raibh siad nuair a bhí siad iarratais ar fhreastalaí gréasáin a thógáil,
 mar sin tá siad ag tógáil iarratas freastalaí Java, agus tá siad ag hardcoding an eochair.
 Bhuel, nuair a bhíonn tú ag tógáil iarratas freastalaí, yeah,
 hardcoding an eochair nach bhfuil smaoineamh maith.
 Déanann sé sé deacair a athrú.
 Ach nach bhfuil sé chomh dona ar an taobh fhreastalaí toisc a bhfuil rochtain ar an taobh fhreastalaí?
 Níl ach an riarthóirí.
 Ach má ghlacann tú an cód céanna agus poured tú é os cionn iarratas soghluaiste
 anois gach duine a bhfuil go bhfuil rochtain ag an eochair hardcoded iarratas soghluaiste,
 agus linn a fheiceáil i ndáiríre seo a lán de na huaire, agus tá mé roinnt staitisticí
 ar cé chomh minic a fheiceann muid seo tarlú.
 Bhí sé i ndáiríre i sampla cód gur MasterCard foilsithe
 ar conas a gcuid seirbhíse a úsáid.
 Léirigh an cód shampla, an chaoi ba mhaith leat a ghlacadh ach an focal faire
 agus é a chur i teaghrán hardcoded ceart ann,
 agus tá a fhios againn conas a ghrá forbróirí a chóipeáil agus a ghreamú snippets cód
 nuair a bhíonn siad ag iarraidh rud éigin a dhéanamh, mar sin leat a chóipeáil agus a ghreamú ar an Blúire cód
 gur thug siad mar shampla cód, agus tá tú iarratas neamhchinnte.
 

Agus anseo ní mór dúinn roinnt samplaí.
 Is é seo an chéad cheann duine a fheiceáil dúinn a lán nuair a hardcode siad
 an ceart sonraí i URL go bhfaigheann sheoladh.
 Uaireanta linn a fheiceáil phasfhocal teaghrán = an focal faire.
 Sin éasca go leor a bhrath, nó ar do phasfhocal téad ar sméar dubh agus Android.
 Tá sé i ndáiríre éasca go leor a sheiceáil le haghaidh mar gheall ar beagnach i gcónaí
 ainmneacha forbróir an athróg go bhfuil a bhfuil an focal faire
 roinnt éagsúlachta de do phasfhocal.
 Luaigh mé go bhfuil muid anailís statach ag Veracode,
 mar sin tá anailís muid cúpla céad Android agus iOS iarratais.
 Táimid tar éis tógtha múnlaí lán acu, agus tá muid in ann a scanadh orthu
 do leochaileachtaí éagsúla, go háirithe na leochaileachtaí a bhí mé ag caint faoi,
 agus tá mé cuid de na sonraí anseo.
 68.5% de na apps Android fhéachamar ar
 Bhí briste cód chripteagrafach,
 a dúinn, ní féidir linn a bhrath má rinne tú do ghnáthamh criptithe féin,
 nach bhfuil go maith an smaoineamh é, ach tá sé seo i ndáiríre ag baint úsáide as an APIs foilsithe
 go bhfuil ar an ardán ach a dhéanamh orthu ar bhealach
 go mbeadh an criptithe a bheith leochaileach, 68.5.
 Agus é seo do dhaoine atá ag a sheoladh chugainn a n-iarratais i ndáiríre mar gheall ar
 cheapann siad tá sé ina smaoineamh maith a dhéanamh tástála slándála.
 Is iad seo cheana féin daoine atá ag smaoineamh is dócha go daingean,
 mar sin tá sé is dócha níos measa fós.
 

Ní raibh mé ag labhairt faoi rialú líne a instealladh beatha.
 Tá sé rud éigin a sheiceáil againn, ach nach bhfuil sé go risky i gceist.
 Sceitheadh ​​Faisnéise, is é seo an áit a bhfuil sonraí íogaire á sheoladh amach an gléas.
 Fuaireamar amach gur i 40% de na hiarratais.
 Am agus stáit, tá na saincheisteanna de chineál riocht cine, de ghnáth deacair go leor chun leas a bhaint,
 mar sin ní raibh mé ag caint faoi sin, ach d'fhéach muid ag dul dó.
 Bhí saincheisteanna instealladh SQL 23%.
 A lán daoine nach bhfuil a fhios go bhfuil a lán na n-iarratas
 bunachar sonraí SQL beag beag úsáid ar a gcuid deireadh ar ais sonraí a stóráil.
 Bhuel, má tá na sonraí go bhfuil tú ag grabbing thar an líonra
 Tá teaghráin ionsaí instealladh SQL ann
 Is féidir le duine éigin isteach ar an gléas tríd,
 agus mar sin mo thuairimse, feicimid thart ar 40% na n-iarratas gréasáin go bhfuil an fhadhb seo,
 a bhfuil fadhb eipidéim ollmhór.
 Teacht againn sé 23% den am i apps soghluaiste
 agus sin is dócha mar gheall ar úsáid a lán iarratais gréasáin níos mó ná SQL soghluaiste.
 

Agus ansin linn a fheiceáil fós roinnt scriptithe tras-suíomh, saincheisteanna údarú,
 agus ansin a bhainistiú credential, go bhfuil áit a bhfuil tú ar do phasfhocal hardcoded.
 I 5% de na hiarratais a fheicimid go bhfuil.
 Agus ansin ní mór dúinn roinnt sonraí ar iOS.
 Bhí saincheisteanna a láimhseáil earráid 81%. Tá sé seo níos mó de fadhb ar chaighdeán cód,
 ach bhí 67% saincheisteanna chripteagrafach, mar sin ní leor chomh dona Android.
 B'fhéidir go bhfuil an APIs le beagán níos éasca, an sampla cóid beagán níos fearr ar iOS.
 Ach fós céatadán an-ard.
 Bhí 54% orainn le sceitheadh ​​eolais,
 thart ar 30% le hearráidí bainistíochta Maolán.
 Sin áiteanna ina d'fhéadfadh a bheith ann d'fhéadfadh a bheith ina saincheist éilliú cuimhne.
 Casadh sé amach go bhfuil nach bhfuil go oiread de fadhb chun teacht i dtír
 ar iOS toisc go bhfuil go léir an cód a bheith sínithe,
 mar sin tá sé deacair do ionsaitheoir a fhorghníomhú cód treallach ar iOS.
 Caighdeán Cód, traversal eolaire, ach ansin bainistíochta dintiúir anseo ag 14.6%,
 mar sin níos measa ná ar an Android.
 Tá daoine nach bhfuil pasfhocail a láimhseáil i gceart.
 Agus ansin an earráidí uimhriúil agus Maolán thar maoil,
 iad siúd atá níos mó ag dul a bheith ar cheisteanna cáilíochta cód ar iOS.
 

Ba é sin é do mo chur i láthair. Níl a fhios agam má tá muid amach as an am nó nach bhfuil.
 Níl a fhios agam má tá aon cheist.
 [Fireann] Ceist mear ar fud ilroinnt agus ar an margadh Android.
 Apple ar a laghad úinéireacht patching.
 Déanann siad post maith de ag fáil sé amach ann ach níos lú mar sin sa spás Android.
 Ní mór duit beagnach a jailbreak do ghuthán chun fanacht reatha
 leis an scaoileadh reatha Android.
 Yeah, go bhfuil fadhb ollmhór agus mar sin má cheapann tú faoi-
 [Fireann] Cén fáth nach féidir leat a dhéanamh arís é?
 

Ó, ceart, mar sin bhí an cheist cad faoi ilroinnt
 den chóras oibriúcháin ar an ardán Android?
 Cén chaoi a ndéanann difear riskiness de na feistí?
 Agus tá sé i ndáiríre fadhb ollmhór toisc go bhfuil cad a tharlaíonn go bhfuil
 na feistí níos sine, nuair a thagann duine éigin suas le jailbreak don gléas,
 go bunúsach go bhfuil an ardaithe phribhléid, agus go dtí go córas oibriúcháin cothrom le dáta
 Is féidir aon malware a úsáid ansin go leochaileacht a chomhréiteach go hiomlán ar an gléas,
 agus cad táimid ag feiceáil ar an Android atá d'fhonn a fháil ar chóras oibriúcháin nua
 Google a chur amach ar an córas oibriúcháin, agus ansin an monaróir crua-earraí
 Tá a shaincheapadh é, agus ansin tá an t-iompróir a shaincheapadh é agus é a sheachadadh.
 Tá tú go bunúsach 3 páirteanna gluaisteacha anseo,
 agus tá sé ag casadh amach nach bhfuil na hiompróirí cúram,
 agus nach bhfuil na monaróirí crua-earraí cúram, agus nach bhfuil Google prodding iad go leor
 aon ní a dhéanamh, mar sin go bunúsach níos mó ná leath de na feistí amach ann
 Tá córais oibriúcháin go bhfuil na leochaileachtaí formhéadaithe pribhléid iontu,
 agus mar sin má fhaigheann tú malware ar do gléas Android tá sé i bhfad níos mó de fadhb.
 

Maith go leor, go raibh maith agat go mór.
 [Bualadh bos]
 [CS50.TV]