[Σεμινάριο] [Υπερασπίζοντας πίσω από τη συσκευή: Ασφάλεια Mobile Application]
 [Chris Wysopal] [Πανεπιστήμιο Χάρβαρντ]
 [Αυτό είναι CS50.] [CS50.TV]
 

Καλησπέρα. Το όνομά μου είναι Chris Wysopal.
 Είμαι ο ΚΟΤ και συνιδρυτής του Veracode.
 Veracode είναι μια εταιρεία ασφάλειας των εφαρμογών.
 Δοκιμάζουμε όλα τα είδη των διαφορετικών εφαρμογών,
 και τι Πάω να μιλήσω για σήμερα είναι η ασφάλεια εφαρμογή για κινητά.
 Φόντο μου έχω κάνει έρευνα για την ασφάλεια
 για πολύ μεγάλο χρονικό διάστημα, πιθανότατα για όσο χρονικό διάστημα ο καθένας.
 I ξεκίνησε στα μέσα της δεκαετίας του '90,
 και ήταν μια εποχή που ήταν αρκετά ενδιαφέρουσα, διότι
 είχαμε μια αλλαγή παραδείγματος στα μέσα της δεκαετίας του '90.
 Όλα υπολογιστή ενός ξαφνική του καθενός ήταν συνδεδεμένο με το διαδίκτυο,
 και, στη συνέχεια, είχαμε τις απαρχές των διαδικτυακών εφαρμογών,
 και αυτό είναι που επικεντρώνεται σε ένα πολύ τότε.
 Είναι ενδιαφέρον.
 Τώρα έχουμε μια άλλη αλλαγή παραδείγματος συμβαίνει με πληροφορική,
 που είναι η στροφή προς το mobile εφαρμογές.
 

Αισθάνομαι ότι είναι είδος παρόμοιο χρόνο τότε ήταν στα τέλη της δεκαετίας του '90
 όταν ερευνούσαν εφαρμογές web και την εξεύρεση ελαττώματα, όπως
 σφάλματα διαχείρισης συνεδρία και SQL ένεση
 που πραγματικά δεν υπήρχε πριν, και ξαφνικά ήταν παντού
 σε εφαρμογές web, και τώρα πολλά από τη στιγμή που θα περάσουν
 ψάχνει σε κινητές εφαρμογές και κοιτάζοντας τι συμβαίνει εκεί έξω στην άγρια ​​φύση.
 Mobile εφαρμογές είναι πραγματικά πρόκειται να είναι η κυρίαρχη πλατφόρμα πληροφορικής,
 έτσι πρέπει πραγματικά να δαπανήσει πολύ χρόνο, αν είστε στον κλάδο της ασφάλειας
 με επικέντρωση σε εφαρμογές web.
 Υπήρξαν 29 δισεκατομμύρια κινητά apps κατεβάσει το 2011.
 Είναι προβλέπεται να είναι 76 δισ. εφαρμογές από το 2014.
 Υπάρχουν 686 εκατομμύρια συσκευές που πρόκειται να αγοραστεί αυτό το έτος,
 έτσι αυτό είναι όπου οι άνθρωποι πρόκειται να κάνουν
  η πλειοψηφία των υπολογιστών των πελατών τους να πάμε μπροστά.
 

Μιλούσα με έναν αντιπρόεδρος της Fidelity Investments
 πριν από μερικούς μήνες, και είπε ότι μόλις είδε περισσότερη κίνηση
 κάνουν οικονομικές συναλλαγές από την πελατειακή βάση τους
 στο κινητό εφαρμογή τους από ό, τι στην ιστοσελίδα τους,
 έτσι μια κοινή χρήση για το Web στο παρελθόν έχει
 ελέγχοντας τις τιμές των μετοχών σας, τη διαχείριση του χαρτοφυλακίου σας,
 και είμαστε πραγματικά βλέπουμε ότι το 2012 πάνω από το διακόπτη
 να είναι πιο κυρίαρχη στην κινητή πλατφόρμα.
 Σίγουρα αν υπάρχει πρόκειται να είναι οποιαδήποτε εγκληματική δραστηριότητα,
 οποιαδήποτε κακόβουλη δραστηριότητα, πρόκειται να αρχίσει να επικεντρωθεί στην κινητή πλατφόρμα
 πάροδο του χρόνου καθώς οι άνθρωποι να στραφούν πάνω σε αυτό.
 Αν κοιτάξετε την κινητή πλατφόρμα,
 να εξετάσουμε τους κινδύνους της πλατφόρμας είναι χρήσιμο να το σπάσει στα διάφορα στρώματα,
 ακριβώς όπως θα το κάνατε σε έναν επιτραπέζιο υπολογιστή,
 και η γνώμη σας σχετικά με τα διάφορα στρώματα, το λογισμικό, το λειτουργικό σύστημα,
 επίπεδο δικτύου, στρώμα υλικού, και φυσικά, υπάρχουν τρωτά σημεία σε όλα αυτά τα στρώματα.
 

Το ίδιο συμβαίνει και στο κινητό.
 Αλλά τα κινητά, φαίνεται ότι ορισμένα από αυτά τα στρώματα είναι σε χειρότερη κατάσταση.
 Για το ένα, το στρώμα δικτύου είναι πιο προβληματική στο κινητό
 επειδή πολλοί άνθρωποι έχουν στο γραφείο τους ή στο σπίτι
 ενσύρματες συνδέσεις ή έχουν ασφαλείς συνδέσεις Wi-Fi,
 και με πολλές φορητές συσκευές είστε προφανώς έξω από το σπίτι
 ή έξω από το γραφείο πολύ, και αν είστε με τη χρήση Wi-Fi εκεί
 μπορεί να χρησιμοποιείτε μια ασφαλή σύνδεση Wi-Fi,
 κάτι που είναι μια δημόσια Wi-Fi σύνδεση,
 έτσι ώστε όταν σκεφτόμαστε για το κινητό εφαρμογές θα πρέπει να λαμβάνουν υπόψη
 ότι το περιβάλλον του δικτύου είναι πιο επικίνδυνες για τις εφαρμογές
 όταν το Wi-Fi που χρησιμοποιείται.
 Και όταν παίρνω σε περισσότερους από τους κινδύνους εφαρμογή για κινητά
 θα δείτε γιατί αυτό είναι πιο σημαντικό.
 Υπάρχουν κίνδυνοι σε επίπεδο hardware για κινητές συσκευές.
 Αυτός είναι ένας τομέας της εν εξελίξει έρευνας.
 Οι άνθρωποι αποκαλούν αυτές τις ευρυζωνικές επιθέσεις ή επιθέσεις baseband
 Όπου και αν επιτεθεί το firmware που ακούει στο ραδιόφωνο.
 

Αυτά είναι πραγματικά τρομακτικό επιθέσεις επειδή
 ο χρήστης δεν χρειάζεται να κάνει τίποτα.
 Μπορείτε να χτυπήσει πολλές συσκευές εντός εμβέλειας RF
 ταυτόχρονα, και φαίνεται σαν κάθε φορά που αυτή η έρευνα φυσαλίδες επάνω
 γρήγορα παίρνει κατατάσσονται όπου
 άνθρωποι ορμούν γύρω και λένε, "Εδώ, πείτε μας γι 'αυτό, και σας παρακαλώ να σταματήσουμε να μιλάμε για αυτό."
 Υπάρχει κάποια έρευνα που διεξάγεται στον τομέα της ευρυζωνικότητας,
 αλλά φαίνεται να είναι πολύ παύσης παύσης.
 Νομίζω ότι είναι κάτι περισσότερο από ένα τύπο κράτους-έθνους της έρευνας που είναι σε εξέλιξη.
 Μια περιοχή της ενεργού έρευνας, όμως, είναι το στρώμα του λειτουργικού συστήματος,
 και πάλι, αυτό είναι διαφορετικό από ό, τι στον κόσμο desktop υπολογιστών
 γιατί στον χώρο των κινητών έχετε αυτές τις ομάδες ανθρώπων που ονομάζεται jailbreakers,
 και jailbreakers είναι διαφορετικά από τα κανονικά ερευνητές ευπάθεια.
 Προσπαθούν να βρουν τα τρωτά σημεία στο λειτουργικό σύστημα,
 αλλά ο λόγος που προσπαθείτε να βρείτε τα τρωτά σημεία που δεν είναι σε
 σπάσει σε μηχάνημα κάποιου άλλου και να θέσει σε κίνδυνο αυτό.
 Είναι για να σπάσει το δικό τους υπολογιστή.
 

Θέλουν να σπάσει σε δικό τους κινητό, να τροποποιήσει το λειτουργικό σύστημα το δικό τους κινητό του
 έτσι ώστε να μπορεί να τρέξει τις εφαρμογές της επιλογής τους
 και να αλλάξει τα πράγματα, με πλήρη δικαιώματα διαχειριστή,
 και δεν θέλουν να πουν τον πωλητή σχετικά με αυτό. Δεν είμαστε σαν ένας ερευνητής ασφάλειας το οποίο είναι ένα λευκό καπέλο ερευνητής ασφαλείας
 το οποίο πρόκειται να κάνει υπεύθυνη αποκάλυψη και πείτε τον πωλητή σχετικά με αυτό.
 Θέλουν να κάνουν αυτή την έρευνα, και θέλουν να το δημοσιεύσει στην πραγματικότητα
 σε ένα exploit ή ένα rootkit ή κωδικό jailbreak,
 και θέλουν να το κάνετε αυτό στρατηγικά, όπως αμέσως μετά
 Ο πωλητής πλοία το νέο λειτουργικό σύστημα.
 Έχετε αυτή την εχθρική σχέση
 με τρωτά σημεία σε επίπεδο λειτουργικού συστήματος για το κινητό,
 που νομίζω ότι είναι αρκετά ενδιαφέρον, και ένα μέρος το βλέπουμε
 είναι αυτό που κάνει, ώστε να υπάρχει καλή δημοσιεύονται εκμεταλλεύονται τον κωδικό εκεί έξω
 για τρωτά σημεία kernel-επίπεδο,
 και έχουμε δει αυτά πραγματικά να χρησιμοποιηθεί από κακόβουλο λογισμικό συγγραφείς.
 Είναι λίγο διαφορετικό από τον κόσμο των PC.
 Και στη συνέχεια το τελικό στρώμα είναι το άνω στρώμα, το στρώμα εφαρμογής.
 Αυτό είναι ό, τι Πάω να μιλήσω σήμερα.
 

Υφίστανται Τα άλλα στρώματα, και τα άλλα στρώματα παίζουν σε αυτό,
 αλλά είμαι ως επί το πλείστον πρόκειται να μιλήσουμε για το τι συμβαίνει σε επίπεδο εφαρμογών
 όπου ο κώδικας τρέχει στο sandbox.
 Δεν έχετε δικαιώματα διαχειριστή.
 Πρέπει να χρησιμοποιήσετε τα API της συσκευής,
 αλλά και πάλι, πολλά από κακόβουλη δραστηριότητα και πολλά κινδύνου μπορεί να συμβεί σε αυτό το στρώμα
 γιατί αυτό είναι το στρώμα όπου όλες οι πληροφορίες είναι.
 Εφαρμογές μπορούν να έχουν πρόσβαση σε όλες τις πληροφορίες σχετικά με τη συσκευή
 αν έχουν τα σωστά δικαιώματα,
 και μπορούν να έχουν πρόσβαση τα διάφορα αισθητήρες στη συσκευή,
 Αισθητήρα GPS, μικρόφωνο, κάμερα, τι έχετε.
 Ακόμα κι αν είμαστε μόνο να μιλάμε για το επίπεδο εφαρμογής
 έχουμε πολλά κίνδυνο εκεί.
 Το άλλο πράγμα που είναι διαφορετικό για το κινητό περιβάλλον
 είναι όλοι οι παίκτες του λειτουργικού συστήματος, είτε πρόκειται για BlackBerry ή Android
 ή iOS ή Windows Mobile, όλα έχουν ένα λεπτόκοκκο μοντέλο άδεια,
 και αυτό είναι ένας από τους τρόπους που ενσωματωμένο στο λειτουργικό σύστημα
 η ιδέα ότι δεν είναι τόσο επικίνδυνη όσο νομίζετε.
 Ακόμα κι αν έχετε όλες τις επαφές σας εκεί, όλα τα προσωπικά σας στοιχεία,
 έχετε τις φωτογραφίες σας, έχετε τη θέση σας εκεί,
 είστε αποθήκευση τράπεζά σας καρφίτσα για αυτόματη σύνδεση εκεί, είναι ασφαλές, επειδή
 εφαρμογές πρέπει να έχουν ορισμένα δικαιώματα για να πάρει σε ορισμένα τμήματα
 των πληροφοριών σχετικά με τη συσκευή και ο χρήστης θα πρέπει να παρουσιάζονται με
 αυτά τα δικαιώματα και να πω εντάξει.
 

Το πρόβλημα με αυτό είναι ο χρήστης λέει πάντα εντάξει.
 Ως ένα άτομο της ασφάλειας, ξέρω ότι μπορείτε να ζητήσει από το χρήστη,
 να πω κάτι κακό πρόκειται να συμβεί, δεν θέλετε να συμβεί;
 Και αν είστε σε μια βιασύνη ή υπάρχει κάτι πολύ δελεαστικό από την άλλη πλευρά του ότι,
 σαν ένα παιχνίδι πρόκειται να εγκατασταθεί ότι περιμένατε,
 από όπου και αν πρόκειται να κάνετε κλικ εντάξει.
 Γι 'αυτό λέω στη διαφάνειά μου εδώ απλά επιτρέψτε μου να πετάξει πτηνών σε χοίρους που έχουν ήδη,
 και μπορείτε να δείτε στη διαφάνεια εδώ υπάρχουν παραδείγματα BlackBerry κουτί άδεια.
 Λέει "Παρακαλώ ορίστε τα δικαιώματα εφαρμογή BlackBerry Travel
 πατώντας το κουμπί κάτω ", και ουσιαστικά ο χρήστης είναι ακριβώς πρόκειται να πω
 ορίσετε τα δικαιώματα και να σώσει.
 Εδώ είναι ένα ανδροειδές προτροπή, όπου παρουσιάζει τα πράγματα,
 και θέτει πραγματικά κάτι που μοιάζει σχεδόν σαν μια προειδοποίηση.
 Είναι πήρε ένα είδος απόδοσης σημάδι εκεί λέγοντας επικοινωνίας του δικτύου, τηλεφώνημα,
 αλλά ο χρήστης θα κλικ για να εγκαταστήσετε, έτσι δεν είναι;
 Και τότε το ένα της Apple είναι τελείως αβλαβές.
 Αυτό δεν δίνει κανενός είδους προειδοποίηση.
 Είναι απλά η Apple θα ήθελε να χρησιμοποιήσει την τρέχουσα τοποθεσία σας.
 Φυσικά θα πάμε να κάνετε κλικ εντάξει.
 

Υπάρχει αυτό το λεπτόκοκκο μοντέλο άδεια,
 και εφαρμογές πρέπει να έχουν ένα αρχείο δήλωσης, όπου δηλώνουν
 τα δικαιώματα που χρειάζονται, και ότι θα πάρει εμφανίζεται στο χρήστη,
 και ο χρήστης θα πρέπει να πω ότι χορηγούν αυτά τα δικαιώματα.
 Αλλά ας είμαστε ειλικρινείς.
 Οι χρήστες είναι ακριβώς πρόκειται να πει πάντα εντάξει.
 Ας ρίξουμε μια γρήγορη ματιά στα δικαιώματα που αυτές οι εφαρμογές ζητούν
 και μερικά από τα δικαιώματα που υπάρχουν.
 Η εταιρεία Praetorian έκανε μια έρευνα το περασμένο έτος
 53.000 αιτήσεις που αναλύονται στα Android αγορά και 3ο κόμμα αγορές,
 έτσι αυτό είναι Android.
 Και ο μέσος όρος app ζήτησε 3 άδειες.
 Μερικές εφαρμογές ζήτησε 117 άδειες,
 οπότε προφανώς αυτές είναι πολύ λεπτόκοκκο και πάρα πολύ περίπλοκη για ένα χρήστη να κατανοήσει
 αν είστε παρουσιάζονται με αυτό το app που χρειάζεται αυτές τις 117 άδειες.
 Είναι σαν την άδεια χρήσης τελικού χρήστη που είναι μήκους 45 σελίδες.
 Ίσως σύντομα θα έχουν τη δυνατότητα, όπου αυτό είναι σαν
 εκτυπώσετε τα δικαιώματα και να μου στείλει ένα email.
 

Αλλά αν δούμε μερικά από τα κορυφαία ενδιαφέροντα δικαιώματα
 24% από τις εφαρμογές που αγόρασαν από το 53.000
 ζητούμενες πληροφορίες GPS από τη συσκευή.
 8% διαβάστε τις επαφές.
 4% στείλει SMS, και 3% έλαβαν SMS.
 2% που είχε καταγραφεί ήχου.
 1% σε επεξεργασία εξερχόμενων κλήσεων.
 Δεν ξέρω.
 Δεν νομίζω ότι το 4% των εφαρμογών στο App Store πραγματικά χρειάζεται να στείλετε μηνύματα κειμένου SMS,
 έτσι νομίζω ότι είναι ένας υπαινιγμός ότι κάτι δυσάρεστο συμβαίνει.
 8% από τις εφαρμογές πρέπει να διαβάσετε τη λίστα επαφών σας. Είναι πιθανόν να μην είναι απαραίτητη.
 Ένα από τα άλλα ενδιαφέροντα πράγματα σχετικά με τα δικαιώματα είναι
 αν έχετε σύνδεση σε κοινές βιβλιοθήκες στην εφαρμογή σας
 εκείνες κληρονομούν τα δικαιώματα της εφαρμογής,
 οπότε αν η εφαρμογή σας χρειάζεται τη λίστα επαφών ή χρειάζεται τη θέση GPS για να λειτουργήσει
 και να σας συνδέσει σε μια βιβλιοθήκη διαφήμιση, για παράδειγμα,
 ότι η βιβλιοθήκη διαφημίσεων θα είναι επίσης σε θέση να έχουν πρόσβαση στις επαφές
 και επίσης να είναι σε θέση να αποκτήσετε πρόσβαση στη θέση GPS,
 και ο δημιουργός της app δεν ξέρει τίποτα για τον κώδικα που τρέχει στη βιβλιοθήκη διαφημίσεων.
 Είναι απλά συνδέοντας ότι επειδή θέλουν να έχει κέρδος το app τους.
 

Αυτό είναι όπου και θα μιλήσω για κάποια παραδείγματα με
 μια εφαρμογή που ονομάζεται Πανδώρα, όπου προγραμματιστές εφαρμογών
 ίσως άθελά του να διαρροή πληροφοριών
 από τους χρήστες τους, λόγω των βιβλιοθηκών που έχετε συνδέσει μέσα
 Τοπογράφων το τοπίο εκεί έξω, εξετάζοντας όλες τις διαφορετικές εφαρμογές
 που έχουν αναφερθεί στα δελτία ειδήσεων ως κακόβουλο ή να κάνει κάτι που οι χρήστες δεν θέλουν
 και στη συνέχεια επιθεώρηση πολλά apps-κάνουμε πολλά στατική δυαδική ανάλυση σε εφαρμογές για κινητά,
 έτσι έχουμε τους έλεγξαν και κοίταξε τον κώδικα ίδια-
 καταλήξαμε σε αυτό που λέμε top 10 λίστα των επικίνδυνων συμπεριφορών σε εφαρμογές.
 Και αυτό είναι κατανεμημένες σε 2 τμήματα, κακόβουλο κώδικα,
 έτσι αυτά είναι κακά πράγματα ότι οι εφαρμογές θα μπορούσε να κάνει ότι
 είναι πιθανό να είναι κάτι που ένα κακόβουλο άτομο
 έχει θέσει συγκεκριμένα στην εφαρμογή, αλλά είναι λίγο ασαφής.
 Θα μπορούσε να είναι κάτι που ένας προγραμματιστής πιστεύει ότι είναι μια χαρά,
 αλλά καταλήγει να θεωρείται ως κακόβουλο από τον χρήστη.
 

Και τότε το δεύτερο τμήμα είναι αυτό που λέμε κωδικοποίησης των τρωτών σημείων,
 και αυτά είναι τα πράγματα που ο κύριος του έργου ουσιαστικά κάνει λάθη
 ή απλά δεν καταλαβαίνουν πώς να γράψει το app ασφάλεια,
  και ότι βάζει ο χρήστης app σε κίνδυνο.
 Πάω να περάσει μέσα από αυτά λεπτομερώς και να δώσει μερικά παραδείγματα.
 Για αναφορά, ήθελα να βάλω το OWASP κινητό top 10 λίστα.
 Αυτά είναι τα 10 ζητήματα που μια ομάδα στο OWASP,
 το Έργο Open Web Application Security, έχουν μια ομάδα εργασίας
 εργάζεται πάνω σε ένα κινητό top 10 λίστα.
 Έχουν ένα πολύ γνωστό web top 10 λίστα, η οποία είναι το top 10
 πιο επικίνδυνα πράγματα που μπορείτε να έχετε σε μια εφαρμογή web.
 Κάνουν το ίδιο πράγμα για κινητά,
 και η λίστα τους είναι λίγο διαφορετική από τη δική μας.
 6 από το 10 είναι τα ίδια.
 Έχουν 4 που είναι διαφορετικά.
 Νομίζω ότι έχουν ένα μικρό κομμάτι από μια διαφορετική λύση για
 κινδύνου στον τομέα των κινητών εφαρμογών, όπου πολλά θέματα τους
 είναι πραγματικά πώς η εφαρμογή επικοινωνεί με το back-end server
 ή ό, τι συμβαίνει στο back-end server του,
 όχι τόσο εφαρμογές που έχουν επικίνδυνη συμπεριφορά που είναι ακριβώς απλή εφαρμογές πελάτη.
 

Οι αυτοί με κόκκινο χρώμα εδώ είναι οι διαφορές μεταξύ των 2 λιστών.
 Και κάποια από τα ερευνητικά μου ομάδα έχει πράγματι συμβάλει σε αυτό το έργο,
 έτσι θα δούμε τι θα συμβεί την πάροδο του χρόνου, αλλά νομίζω ότι το πακέτο είναι εδώ
 δεν ξέρει πραγματικά τι το top 10 λίστα είναι σε εφαρμογές για κινητά, επειδή
 που έχουν πραγματικά μόνο ήταν γύρω για 2 ή 3 χρόνια τώρα,
 και δεν υπήρξε αρκετός χρόνος πραγματικά να διερευνηθούν τα λειτουργικά συστήματα
 και τι είναι ικανοί να κάνουν, και δεν υπήρξε αρκετός χρόνος
 για το κακόβουλο κοινότητα, αν θέλετε, να έχει περάσει αρκετός χρόνος
 προσπαθούν να επιτεθούν στους χρήστες μέσω των κινητών εφαρμογών, οπότε περιμένω αυτές τις λίστες για να αλλάξει λίγο.
 Αλλά για τώρα, αυτά είναι τα top 10 πράγματα που πρέπει να ανησυχούν.
 Ίσως να αναρωτιούνται σχετικά με το κινητό πλευρά όταν κάνει το κακόβουλο κωδικό κινητού-
 πώς να το πάρει για να το συσκευή;
 North Carolina State έχει ένα σχέδιο που ονομάζεται Mobile Malware Genome Project
 όπου συλλογή όσο κινητό malware όπως μπορούν και να τις αναλύουν,
 και έχουν διασπάσει τα διανύσματα ένεση που χρησιμοποιεί το κινητό malware,
 και το 86% χρησιμοποιούν μια τεχνική που ονομάζεται επανασυσκευασία,
 και αυτό είναι μόνο για την πλατφόρμα Android
 μπορείτε να κάνετε πραγματικά αυτό ανασυσκευασία.
 

Ο λόγος είναι το Android κώδικας είναι χτισμένο με
 ένα byte κώδικα Java που ονομάζεται Dalvik οποία είναι εύκολα decompilable.
 Τι το κακό μπορεί να κάνει είναι
 λάβει μια Android εφαρμογή, αποσυμπίληση,
 εισάγετε τους κακόβουλο κώδικα, recompile,
 και στη συνέχεια να το βάλετε επάνω στο κατάστημα app που υποτίθεται ότι είναι μια νέα έκδοση της εν λόγω αίτησης,
 ή απλά ίσως αλλάζει το όνομα της εφαρμογής.
 Αν ήταν κάποιο είδος του παιχνιδιού, αλλάξτε το όνομα ελαφρώς,
 και έτσι αυτή η ανασυσκευασία είναι πως το 86% των κινητών malware παίρνει διανεμηθεί.
 Υπάρχει μια άλλη τεχνική που ονομάζεται ενημέρωση η οποία είναι
 πολύ παρόμοια με την επανασυσκευασία, αλλά στην πραγματικότητα δεν βάζουν τον κακόβουλο κώδικα μέσα
 Αυτό που κάνουμε είναι να βάλετε σε μια μικρή μηχανισμός ενημέρωσης.
 Μπορείτε να αποσυνθέσει, βάζετε σε ένα μηχανισμό ενημέρωσης, και μπορείτε να το μεταγλωττίσετε
 και στη συνέχεια, όταν η εφαρμογή τρέχει τραβά κάτω από το malware επάνω στη συσκευή.
 

Μέχρι στιγμής η πλειοψηφία είναι εκείνες 2 τεχνικές.
 Δεν υπάρχει πραγματικά πολύ λήψη δίσκο στάσης ή drive-by downloads για κινητά τηλέφωνα,
 η οποία θα μπορούσε να είναι σαν μια επίθεση phishing.
 Hey, ελέγξτε έξω αυτό το πραγματικά δροσερό ιστοσελίδα,
 ή θα πρέπει να πάτε σε αυτή την ιστοσελίδα και να συμπληρώσετε την παρακάτω φόρμα
 να κρατήσει τη συνέχιση κάνει κάτι. Αυτοί οι επιθέσεις phishing.
 Το ίδιο πράγμα μπορεί να συμβεί για την κινητή πλατφόρμα, όπου
 σημείο σε ένα κινητό app για να κατεβάσετε, να πω "Γεια, αυτό είναι η Bank of America."
 "Βλέπουμε είστε με τη χρήση αυτής της εφαρμογής."
 "Θα πρέπει να κατεβάσετε αυτό άλλη εφαρμογή."
 Θεωρητικά, αυτό θα μπορούσε να λειτουργήσει.
 Ίσως απλά δεν χρησιμοποιείται αρκετά για να διαπιστώσει αν είναι επιτυχημένη ή όχι,
 αλλά βρήκαν ότι λιγότερο από το 1% του χρόνου ότι η τεχνική που χρησιμοποιείται.
 Το μεγαλύτερο μέρος του χρόνου είναι πραγματικά μια επανασυσκευασμένου κώδικα.
 

Υπάρχει και μια άλλη κατηγορία που ονομάζεται αυτόνομο
 όταν κάποιος χτίζει μόνο ένα ολοκαίνουργιο εφαρμογή.
 Χτίζουν μια εφαρμογή που φιλοδοξεί να είναι κάτι.
 Δεν είναι ένα ανασυσκευασία κάτι άλλο, και ότι έχει τον κακόβουλο κώδικα.
 Ότι χρησιμοποιείται 14% του χρόνου.
 Τώρα θέλω να μιλήσω για το τι είναι ο κακόβουλος κώδικας κάνει;
 Ένα από τα πρώτα malware εκεί έξω
 θα μπορούσε να εξετάσει ένα spyware.
 Είναι κατάσκοποι βασικά από τον χρήστη.
 Συλλέγει τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα μηνύματα SMS.
 Αποδεικνύεται στο μικρόφωνο.
 Η συγκομιδή το βιβλίο επαφών, και το στέλνει μακριά σε κάποιον άλλο.
 Αυτός ο τύπος του spyware υπάρχει στον υπολογιστή,
 έτσι είναι απόλυτα λογικό για τους ανθρώπους να προσπαθήσουμε να κάνουμε αυτό σε κινητές συσκευές.
 

Ένα από τα πρώτα παραδείγματα αυτού ήταν ένα πρόγραμμα που ονομάζεται Secret SMS Replicator.
 Ήταν στο Android Marketplace μερικά χρόνια πριν,
 και η ιδέα ήταν αν είχε πρόσβαση σε κάποιου τηλέφωνο Android
 ότι θα ήθελε να κατασκοπεύει τους, οπότε ίσως είναι ο σύζυγός σας
 ή σημαντικό άλλο και θέλετε να κατασκοπεύσει για τα μηνύματα κειμένου τους σας,
 μπορείτε να κατεβάσετε αυτό το app και να το εγκαταστήσετε και να ρυθμίσετε το
 να στείλετε ένα μήνυμα κειμένου SMS για να σας με ένα αντίγραφο
 κάθε μηνύματος κειμένου SMS πήραν.
 Αυτό προφανώς είναι σε παραβιάσεις των όρων app κατάστημα της υπηρεσίας,
 και αυτό απομακρύνθηκε από το Android Marketplace εντός 18 ωρών από το που είναι εκεί,
 έτσι ένας πολύ μικρός αριθμός των ανθρώπων που ήταν σε κίνδυνο εξαιτίας αυτού.
 Τώρα, νομίζω ότι αν το πρόγραμμα ονομαζόταν κάτι ίσως λίγο λιγότερο προκλητική
 όπως Secret SMS Replicator κατά πάσα πιθανότητα θα έχουν εργαστεί πολύ καλύτερα.
 Αλλά ήταν αρκετά φανερό.
 

Ένα από τα πράγματα που μπορούμε να κάνουμε για να καθορίσει εάν οι εφαρμογές έχουν αυτή τη συμπεριφορά που δεν θέλουμε
 είναι να επιθεωρήσει τον κωδικό.
 Αυτό είναι πραγματικά πολύ εύκολο να το κάνουμε για το Android, γιατί μπορούμε να αποσυνθέσει τις εφαρμογές.
 Στο iOS, μπορείτε να χρησιμοποιήσετε ένα disassembler όπως IDA Pro
 για να δούμε τι APIs η εφαρμογή ζητά και τι κάνει.
 Γράψαμε το δικό μας δυαδική στατική αναλυτή για τον κωδικό μας
 και το κάνουμε αυτό, και έτσι ό, τι θα μπορούσατε να κάνετε είναι θα μπορούσαμε να πούμε
 η συσκευή δεν κάνει τίποτα που είναι βασικά κατασκοπεία σε μένα ή εντοπισμού μου;
 Και έχω μερικά παραδείγματα εδώ για το iPhone.
 Αυτό το πρώτο παράδειγμα είναι το πώς να έχουν πρόσβαση στο UUID στο τηλέφωνο.
 Αυτό είναι πραγματικά κάτι που η Apple έχει μόλις απαγορευτεί για νέες εφαρμογές,
 αλλά οι παλιές εφαρμογές που μπορεί να έχετε σε λειτουργία στο τηλέφωνό σας μπορεί ακόμα να το κάνετε αυτό,
 και έτσι ώστε το μοναδικό αναγνωριστικό μπορεί να χρησιμοποιηθεί για να παρακολουθείτε
 σε πολλές διαφορετικές εφαρμογές.
 

Στο Android, έχω εδώ ένα παράδειγμα του να πάρει θέση της συσκευής.
 Μπορείτε να δείτε ότι, αν η κλήση API είναι ότι η εφαρμογή είναι η παρακολούθηση,
 και μπορείτε να δείτε αν είναι να πάρει ωραία τοποθεσία ή χονδροειδείς θέση.
 Και στη συνέχεια, στο κάτω μέρος εδώ, έχω ένα παράδειγμα του τρόπου για το BlackBerry
 μια εφαρμογή ενδέχεται να έχουν πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου στα εισερχόμενά σας.
 Αυτοί είναι το είδος των πραγμάτων που μπορείτε να επιθεωρήσει να δείτε
 αν το app κάνει αυτά τα πράγματα.
 Η δεύτερη μεγάλη κατηγορία της κακόβουλης συμπεριφοράς, και αυτή είναι ίσως η μεγαλύτερη κατηγορία τώρα,
 είναι μη εξουσιοδοτημένη κλήση, μηνύματα κειμένου SMS πριμοδότηση μη εξουσιοδοτημένη
 ή μη εξουσιοδοτημένες πληρωμές.
 Ένα άλλο πράγμα που είναι μοναδικό για το τηλέφωνο
 είναι η συσκευή είναι συνδεδεμένο με ένα λογαριασμό χρέωσης,
 και όταν οι δραστηριότητες συμβαίνουν στο τηλέφωνο
 μπορεί να δημιουργήσει έξοδα.
 Μπορείτε να αγοράσετε τα πράγματα πέρα ​​από το τηλέφωνο,
 και όταν στέλνετε ένα μήνυμα κειμένου SMS premium είστε πραγματικά δίνουν χρήματα
 στον κάτοχο του λογαριασμού του αριθμού τηλεφώνου από την άλλη πλευρά.
 Αυτά που έχει συσταθεί για να πάρει τις τιμές των μετοχών ή να πάρετε καθημερινά ωροσκόπιο σας ή άλλα πράγματα,
 αλλά μπορεί να συσταθεί για να παραγγείλετε ένα προϊόν με την αποστολή ενός SMS.
 Οι άνθρωποι δίνουν χρήματα για τον Ερυθρό Σταυρό με την αποστολή ενός μηνύματος κειμένου.
 Μπορείτε να δώσετε $ 10 με αυτόν τον τρόπο.
 

Οι επιτιθέμενοι, τι έχουν κάνει είναι έστησαν
 λογαριασμούς σε ξένες χώρες, και να ενσωματώσετε στο malware
 ότι το τηλέφωνο θα στείλει ένα μήνυμα κειμένου SMS premium,
 πω, μερικές φορές την ημέρα, και στο τέλος του μήνα, θα διαπιστώσετε ότι έχετε περάσει
 δεκάδες ή ίσως και εκατοντάδες δολάρια, και τα πόδια με τα χρήματα.
 Αυτό ήταν τόσο άσχημα ότι αυτό ήταν το πρώτο πράγμα που το Android
 Marketplace ή το Google τόπο ήταν το Android Marketplace εκείνη την εποχή,
 και είναι τώρα το Google Play-το πρώτο πράγμα που η Google ξεκίνησε έλεγχο για.
 Όταν η Google ξεκίνησε τη διανομή των Android apps στο κατάστημα app τους
 είπαν ότι δεν επρόκειτο να ελέγξει τίποτα.
 Θα τραβήξει apps φορά έχουμε ήδη κοινοποιηθεί που έχουν σπάσει τους όρους της υπηρεσίας μας,
 αλλά δεν πρόκειται να ελέγξετε για τίποτα. Λοιπόν, πριν από περίπου ένα χρόνο πήρε τόσο κακό με αυτό το premium SMS μηνυμάτων κειμένου malware
 ότι αυτό είναι το πρώτο πράγμα που άρχισε τον έλεγχο για.
 Εάν μια εφαρμογή μπορεί να στείλει μηνύματα κειμένου SMS
 να διερευνήσει περαιτέρω το χέρι την αίτηση.
 Ψάχνουν για τα API που απαιτούν αυτό,
 και τώρα από τότε η Google έχει επεκταθεί,
 αλλά αυτό ήταν το πρώτο πράγμα που άρχισε να ψάχνει για.
 

Κάποιες άλλες εφαρμογές που έκαναν ορισμένα μηνύματα κειμένου SMS,
 Αυτό Android Qicsomos, υποθέτω ότι λέγεται.
 Υπήρχε αυτή η σημερινή εκδήλωση στο κινητό όταν αυτό βγήκε CarrierIQ
 όπως spyware τεθεί στη συσκευή από τους αερομεταφορείς,
 έτσι οι άνθρωποι ήθελαν να γνωρίζουν αν το τηλέφωνό τους ήταν ευάλωτη σε αυτό,
 και αυτό ήταν μια δωρεάν εφαρμογή που δοκιμάζονται αυτό.
 Λοιπόν, φυσικά, ό, τι αυτό το app έκανε ήταν να στείλει μηνύματα κειμένου SMS premium,
 τόσο με τη δοκιμή για να δείτε αν έχετε μολυνθεί με λογισμικό υποκλοπής spyware
 έχετε τοποθετήσει malware στη συσκευή σας.
 Είδαμε το ίδιο πράγμα να συμβεί στο τελευταίο Super Bowl.
 Υπήρξε μια παραποιημένη έκδοση του Madden παιχνίδι ποδοσφαίρου
 που έστειλε μηνύματα κειμένου SMS premium.
 Στην πραγματικότητα, προσπάθησε να δημιουργήσει ένα δίκτυο bot πάρα πολύ στη συσκευή.
 Εδώ έχω μερικά παραδείγματα.
 Το ενδιαφέρον είναι ότι η Apple ήταν αρκετά έξυπνος,
 και δεν επιτρέπουν στις εφαρμογές να στέλνουν μηνύματα κειμένου SMS σε όλους.
 Δεν app μπορεί να το κάνει.
 Αυτός είναι ένας πολύ καλός τρόπος για να απαλλαγούμε από μια ολόκληρη κατηγορία τρωτότητας,
 αλλά στο Android μπορείτε να το κάνετε, και φυσικά, στο BlackBerry μπορείτε να το κάνετε πάρα πολύ.
 Είναι ενδιαφέρον το γεγονός ότι για το BlackBerry μόνο που χρειάζεστε είναι τα δικαιώματα στο διαδίκτυο
 να στείλετε ένα μήνυμα κειμένου SMS.
 

Το άλλο πράγμα πραγματικά ότι ψάχνουμε για
 όταν ψάχνουμε να δούμε αν κάτι είναι κακόβουλο είναι μόνο κάθε είδους
 μη εξουσιοδοτημένη δραστηριότητα του δικτύου, όπως και να δούμε τη δραστηριότητα του δικτύου
 η εφαρμογή υποτίθεται ότι πρέπει να έχουν τη λειτουργικότητά του,
 και να εξετάσουμε σε αυτό άλλη δραστηριότητα του δικτύου.
 Ίσως μια εφαρμογή, για να λειτουργήσει, πρέπει να πάρετε τα δεδομένα μέσω HTTP,
 αλλά αν είναι να κάνει τα πράγματα μέσω e-mail ή SMS ή Bluetooth ή κάτι τέτοιο
 τώρα που η εφαρμογή θα μπορούσε δυνητικά να είναι κακόβουλο, έτσι αυτό είναι ένα άλλο πράγμα που μπορείτε να επιθεωρήσει για.
 Και σε αυτή τη διαφάνεια εδώ έχω μερικά παραδείγματα γι 'αυτό.
 Ένα άλλο ενδιαφέρον πράγμα που είδαμε με κακόβουλο λογισμικό που συνέβη πίσω στο 2009,
 και αυτό συνέβη σε ένα μεγάλο δρόμο.
 Δεν ξέρω αν έχει συμβεί τόσο πολύ από τότε, αλλά ήταν ένα app
 ότι υποδυόταν μια άλλη εφαρμογή.
 Υπήρξε μια σειρά από εφαρμογές, και ονομάστηκε η επίθεση 09Droid,
 και κάποιος αποφάσισε ότι υπήρχαν πολλά μικρά, περιφερειακά, μεσαίου μεγέθους τράπεζες
 που δεν έχουν απευθείας σύνδεση τραπεζικές εφαρμογές,
 έτσι αυτό που έκαναν ήταν ότι χτίστηκε περίπου 50 σε απευθείας σύνδεση τραπεζικές εφαρμογές
 ότι το μόνο που έκανε ήταν να λάβει το όνομα χρήστη και τον κωδικό πρόσβασης
 και να σας ανακατευθύνει στην ιστοσελίδα.
 Και έτσι βάζουν αυτά όλα επάνω στο Google Marketplace,
 στο Android Marketplace, και όταν κάποιος έψαξε να δει αν η τράπεζά τους
 είχε μια εφαρμογή που θα βρείτε το ψεύτικο εφαρμογή,
 τα οποία συλλέγονται τα διαπιστευτήριά τους και στη συνέχεια να κατευθυνθούν προς την ιστοσελίδα τους.
 Ο τρόπος που αυτό πράγματι έγινε-οι εφαρμογές ήταν εκεί για μερικές εβδομάδες,
 και υπήρχαν χιλιάδες και χιλιάδες downloads.
 

Ο τρόπος με τον οποίο ήρθε στο φως ήταν κάποιος έχει ένα πρόβλημα
 με μία από τις εφαρμογές, και κάλεσαν την τράπεζά τους,
 και ονομάζεται γραμμή υποστήριξης πελατών της τράπεζάς τους και είπε,
 "Είμαι έχοντας ένα πρόβλημα με το mobile banking της αίτησής σας."
 «Μπορείς να με βοηθήσεις;"
 Και είπαν, «Δεν έχουμε μια mobile banking εφαρμογής."
 Αυτό που ξεκίνησε την έρευνα.
 Αυτό τράπεζα που ονομάζεται Google, και τότε η Google κοίταξε και είπε,
 "Πω πω, ο ίδιος συγγραφέας έχει γράψει 50 τραπεζικών εφαρμογών," και τα πήρε όλα κάτω.
 Σίγουρα, όμως, αυτό θα μπορούσε να συμβεί και πάλι.
 Υπάρχει η λίστα με όλες τις διαφορετικές τράπεζες εδώ
 ότι ήταν μέρος αυτής της απάτης.
 Το άλλο πράγμα που μια εφαρμογή μπορεί να κάνει είναι παρούσα η UI μιας άλλης εφαρμογής.
 Ενώ τρέχει θα μπορούσε να αναδυθεί το Facebook UI.
 Λέει ότι πρέπει να βάλετε το όνομα χρήστη και τον κωδικό πρόσβασής σας για να συνεχίσετε
 ή να θέσει οποιοδήποτε όνομα χρήστη και τον κωδικό πρόσβασης UI για μια ιστοσελίδα
 ότι ίσως ο χρήστης χρησιμοποιεί μόνο για να προσπαθήσουν να ξεγελάσουν τον χρήστη
 σε βάζοντας τα διαπιστευτήριά τους μέσα
 Αυτό είναι πραγματικά μια ευθεία παράλληλη των επιθέσεων phishing e-mail
 όταν κάποιος σας στέλνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου
 και σας δίνει ουσιαστικά ένα ψεύτικο UI για μια ιστοσελίδα
 ότι έχετε πρόσβαση.
 

Το άλλο πράγμα που ψάχνουν σε κακόβουλο κώδικα είναι η τροποποίηση του συστήματος.
 Μπορείτε να ψάξετε για όλες τις κλήσεις API που απαιτούν δικαιώματα root
 να εκτελέσει σωστά.
 Αλλαγή web proxy της συσκευής θα ήταν κάτι που η αίτηση
 δεν θα πρέπει να είναι σε θέση να κάνει.
 Όμως, εάν η αίτηση έχει κωδικό εκεί για να το κάνουμε αυτό
 ξέρετε ότι είναι πιθανώς μια κακόβουλη εφαρμογή
 ή πολύ μεγάλη πιθανότητα να είναι μια κακόβουλη εφαρμογή,
 και έτσι αυτό που θα συμβεί είναι ότι η εφαρμογή θα έχει κάποιο τρόπο για την κλιμάκωση της προνόμιο.
 Θα έχει κάποια κλιμάκωση προνόμιο εκμεταλλεύονται
 στην εφαρμογή, και στη συνέχεια μία φορά κλιμακώθηκε προνόμια
 θα κάνετε αυτές τις τροποποιήσεις του συστήματος. Μπορείτε να βρείτε το κακόβουλο λογισμικό που έχει κλιμάκωση προνομίων
 σε αυτό, ακόμη και χωρίς να γνωρίζει πώς την κλιμάκωση προνόμιο
 εκμεταλλεύονται πρόκειται να συμβεί, και αυτό είναι ένα ωραίο, εύκολο τρόπο
 να ψάξουν για κακόβουλο λογισμικό.
 DroidDream ήταν ίσως το πιο διάσημο κομμάτι του Android malware.
 Νομίζω ότι επηρεάζονται περίπου 250.000 χρήστες σε διάστημα μερικών ημερών
 πριν βρέθηκε.
 Οι ανασυσκευασθεί 50 ψεύτικες εφαρμογές,
 βάζουμε στο Android App Store,
 και ουσιαστικά χρησιμοποίησε κώδικα Android jailbreak να κλιμακωθεί προνόμια
 και στη συνέχεια να εγκαταστήσετε μια εντολή και τον έλεγχο και να μετατρέψει όλα τα θύματα
 σε ένα καθαρό bot, αλλά θα μπορούσε να διαγνώσει αυτό
 αν ήταν σάρωση της εφαρμογής και απλά ψάχνουν για
 API κλήσεις που απαιτούνται δικαιώματα διαχειριστή για να εκτελέσει σωστά.
 

Και υπάρχει ένα παράδειγμα εδώ έχω το οποίο αλλάζει το πληρεξούσιο,
 και αυτό πραγματικά είναι διαθέσιμο μόνο για το Android.
 Μπορείτε να δείτε σου δίνω πολλά παραδείγματα για το Android
 επειδή αυτό είναι όπου το πιο ενεργό malware οικοσύστημα είναι
 γιατί είναι πολύ εύκολο για έναν εισβολέα να πάρει κακόβουλο κώδικα
 στο Android Marketplace.
 Δεν είναι τόσο εύκολο να το κάνουμε αυτό στο Apple App Store
 γιατί η Apple απαιτεί από τους προγραμματιστές να ταυτιστούν
 και να υπογράψει τον κώδικα.
 Μπορούν πραγματικά να ελέγξετε ποιος είσαι, και η Apple είναι στην πραγματικότητα την εξέταση των αιτήσεων.
 Δεν βλέπουμε πολλά πραγματική malware, όπου η συσκευή είναι να πάρει σε κίνδυνο.
 Θα μιλήσω για μερικά παραδείγματα όπου είναι πραγματικά προστασία της ιδιωτικής ζωής που είναι να πάρει σε κίνδυνο,
 και αυτό είναι που πραγματικά συμβαίνει στη συσκευή της Apple.
 Ένα άλλο πράγμα που πρέπει να κοιτάξουμε για κακόβουλο κώδικα, επικίνδυνο κώδικα σε συσκευές
 είναι λογική ή ωρολογιακές βόμβες και βόμβες είναι πιθανώς
 πολύ πιο εύκολο να ψάξουν για ό, τι λογικές βόμβες.
 Αλλά με ωρολογιακές βόμβες, τι μπορείτε να κάνετε είναι να μπορείτε να ψάξετε για
 μέρη του κώδικα, όπου δοκιμάζεται η ώρα ή ενός απόλυτου χρόνου αναζητείται
 πριν από ορισμένες λειτουργίες του app θα συμβεί.
 Και αυτό θα μπορούσε να γίνει για να κρύψει τη δραστηριότητα από τον χρήστη,
 έτσι συμβαίνει αργά το βράδυ.
 DroidDream έκανε όλη τη δράση μεταξύ 23:00 και 8 π.μ. τοπική ώρα
 να προσπαθήσει να το κάνει, ενώ ο χρήστης δεν θα μπορούσαν να χρησιμοποιούν τη συσκευή τους.
 

Ένας άλλος λόγος για να γίνει αυτό είναι αν οι άνθρωποι χρησιμοποιούν ανάλυση της συμπεριφοράς της αίτησης,
 τρέχει το app σε ένα sandbox για να δούμε ποια είναι η συμπεριφορά της εφαρμογής είναι,
 μπορούν να χρησιμοποιήσουν τη λογική με βάση το χρόνο να κάνει τη δραστηριότητα
 όταν η εφαρμογή δεν είναι στο sandbox.
 Για παράδειγμα, ένα κατάστημα app όπως η Apple
 εκτελεί την εφαρμογή, αλλά μάλλον δεν τρέχει κάθε αίτηση για, ας πούμε, 30 ημέρες
 πριν από την έγκριση αυτή, έτσι μπορείτε να βάλετε
 λογική στην εφαρμογή σας, που είπε, εντάξει, κάνει μόνο το κακό
 μετά από 30 ημέρες έχει περάσει ή 30 ημέρες μετά την ημερομηνία δημοσίευσης της αίτησης,
 και ότι μπορεί να βοηθήσει τον κακόβουλο κώδικα κρύβεται από τους ανθρώπους επιθεώρηση για αυτό.
 Εάν οι εταιρείες anti-virus που τρέχουν τα πράγματα σε παιδικές χαρές
 ή τα ίδια τα καταστήματα app είναι αυτό μπορεί να βοηθήσει
 το κρύψει από τον εν λόγω έλεγχο.
 Τώρα, η άλλη πλευρά του ότι είναι ότι είναι εύκολο να βρεθεί με στατική ανάλυση,
 έτσι στην πραγματικότητα την επιθεώρηση του κώδικα, μπορείτε να ψάξετε για όλες τις θέσεις
 όπου η εφαρμογή ελέγχει το χρόνο και ελέγξτε με αυτόν τον τρόπο.
 Και εδώ έχω μερικά παραδείγματα σε αυτές τις 3 διαφορετικές πλατφόρμες
 πώς ο χρόνος μπορεί να ελεγχθεί από τον κατασκευαστή app
 ώστε να γνωρίζετε τι πρέπει να αναζητήσουμε αν είστε επιθεώρηση του app στατικά.
 

Πήγα με ένα σωρό από διάφορες κακόβουλες δραστηριότητες
 ότι έχουμε δει στην άγρια ​​φύση, αλλά ποιες είναι οι πιο διαδεδομένες;
 Η ίδια μελέτη από το North Carolina State Mobile Genome Project
 δημοσίευσε κάποια δεδομένα, και υπήρχαν βασικά 4 περιοχές
 που έβλεπαν όπου υπήρχε μεγάλη δραστηριότητα.
 37% των apps έκανε κλιμάκωση προνομίων,
 έτσι είχαν κάποιο είδος κώδικα jailbreak εκεί
 όπου προσπάθησαν να κλιμακωθεί προνόμια, έτσι ώστε θα μπορούσαν
 Δεν εντολές API τρέχει το λειτουργικό σύστημα.
 45% από τις εφαρμογές εκεί έξω έκανε premium SMS,
 έτσι ώστε να είναι ένα τεράστιο ποσοστό που προσπαθεί να έχει κέρδος άμεσα.
 93% έκανε τηλεχειριστήριο, έτσι ώστε να προσπαθήσει να δημιουργήσει ένα δίχτυ bot, ένα δίχτυ κινητό bot.
 Και το 45% που συγκομίζονται τον προσδιορισμό των πληροφοριών
 όπως αριθμούς τηλεφώνου, UUIDs, θέση GPS, οι λογαριασμοί χρηστών,
 και αυτό προσθέτει μέχρι και πάνω από 100, επειδή τα περισσότερα malware προσπαθεί να κάνει μερικά από αυτά τα πράγματα.
 

Πάω να μεταβείτε στο δεύτερο ημίχρονο και να μιλήσουμε για τα σημεία κωδικό.
 Αυτό είναι το δεύτερο εξάμηνο του επικίνδυνη δραστηριότητα.
 Αυτό είναι όπου ουσιαστικά ο κύριος του έργου έχει κάνει λάθη.
 Μια νόμιμη προγραμματιστής γράφει ένα νόμιμο app
 κάνει λάθη ή άγνοια των κινδύνων από την κινητή πλατφόρμα.
 Απλά δεν ξέρουν πώς να κάνουν μια ασφαλή εφαρμογή για κινητά,
 ή μερικές φορές ο κύριος του έργου δεν ενδιαφέρεται για τη θέση του χρήστη σε κίνδυνο.
 Μερικές φορές μέρος του επιχειρηματικού μοντέλου τους θα μπορούσε να είναι
 συγκομιδή προσωπικά στοιχεία του χρήστη.
 Αυτό είναι το είδος της άλλης κατηγορίας, και γι 'αυτό κάποιοι από αυτό το κακόβουλο
 έναντι νόμιμων αρχίζει να αιμορραγεί πάνω, επειδή υπάρχει διχογνωμία
 μεταξύ του τι θέλει ο χρήστης και τι ο χρήστης θεωρεί επικίνδυνη
 και ποια είναι η ανάπτυξη εφαρμογών θεωρεί επικίνδυνη. Φυσικά, δεν είναι τα στοιχεία του προγραμματιστή εφαρμογής, στις περισσότερες περιπτώσεις.
 

Και τέλος, ένας άλλος τρόπος που συμβαίνει αυτό είναι ένας προγραμματιστής μπορεί να συνδεθεί σε
 μια κοινή βιβλιοθήκη που έχει τρωτά σημεία ή αυτό επικίνδυνη συμπεριφορά σε αυτό
 εν αγνοία τους.
 Η πρώτη κατηγορία είναι ευαίσθητο διαρροής δεδομένων,
 και αυτό είναι όταν η εφαρμογή συλλέγει πληροφορίες
 όπως η τοποθεσία, οι πληροφορίες του βιβλίου διευθύνσεων, τα στοιχεία του κατόχου
 και στέλνει ότι η συσκευή απενεργοποιείται.
 Και τη στιγμή που θα είναι από τη συσκευή, δεν γνωρίζουμε τι συμβαίνει με αυτές τις πληροφορίες.
 Θα μπορούσε να αποθηκευτεί ανασφαλώς από την ανάπτυξη εφαρμογών.
 Έχουμε δει προγραμματιστές εφαρμογών να τεθεί σε κίνδυνο,
 και τα δεδομένα που είστε αποθήκευση παίρνει λαμβάνονται.
 Αυτό συνέβη πριν από λίγους μήνες σε έναν προγραμματιστή στη Φλόριντα
 όπου ένας τεράστιος αριθμός των-ήταν iPad UUIDs και ονόματα συσκευών
 διέρρευσαν επειδή κάποιος, νομίζω ότι ήταν ανώνυμη,
 ισχυριζόταν ότι κάνουμε αυτό, έσπασε σε εξυπηρετητές αυτού του προγραμματιστή
 και έκλεψε εκατομμύρια iPad UUIDs
 και ονόματα υπολογιστών.
 Δεν είναι η πιο επικίνδυνη πληροφορίες,
 αλλά τι γίνεται αν αυτή ήταν η αποθήκευση των ονομάτων χρηστών και κωδικών πρόσβασης
 και διευθύνσεις κατοικίας;
 Υπάρχουν πολλές εφαρμογές που αποθηκεύουν αυτό το είδος των πληροφοριών.
 Ο κίνδυνος αυτός είναι υπαρκτός.
 

Το άλλο πράγμα που μπορεί να συμβεί είναι αν ο κύριος του έργου δεν λαμβάνει μέριμνα
 να εξασφαλίσει το κανάλι δεδομένων, και αυτό είναι ένα άλλο μεγάλο θέμα ευπάθειας Πάω να μιλήσω για,
 ότι τα δεδομένα που στέλνονται στο σαφή.
 Αν ο χρήστης βρίσκεται σε ένα δημόσιο δίκτυο Wi-Fi
 ή κάποιος μυρίζει το διαδίκτυο κάπου
 κατά μήκος της διαδρομής ότι τα δεδομένα είναι να εκτεθούν.
 Ένα πολύ γνωστό περίπτωση αυτής της διαρροής πληροφοριών που συνέβη με την Πανδώρα,
 και αυτό είναι κάτι που ερευνήσαμε στο Veracode.
 Έχουμε ακούσει ότι υπήρχε μια-νομίζω ότι ήταν μια Ομοσπονδιακή Επιτροπή Εμπορίου
 έρευνα συνεχίζεται με την Πανδώρα.
 Είπαμε, "Τι συμβαίνει εκεί; Ας αρχίσει το σκάψιμο στην εφαρμογή της Πανδώρας».
 Και αυτό που καθορίζεται είναι η εφαρμογή Pandora συλλέγονται
 το φύλο και η ηλικία σου,
 και, επίσης, πρόσβαση σε GPS θέση σας, και την εφαρμογή της Πανδώρας
 έκανε αυτό για ό, τι είπε ήταν νόμιμους λόγους.
 Η μουσική που έπαιζαν-Pandora είναι ένα streaming μουσικής app-
 η μουσική που έπαιζαν ήταν άδεια μόνο στις Ηνωμένες Πολιτείες,
 οπότε έπρεπε να ελέγχει τη συμμόρφωση με τις συμβάσεις άδειας χρήσης τους, που είχαν
 για τη μουσική που ο χρήστης ήταν στις Ηνωμένες Πολιτείες.
 Ήθελαν επίσης να συμμορφωθεί με την γονική συμβουλευτική
 περίπου των ενηλίκων γλώσσας στη μουσική,
 και γι 'αυτό είναι ένα εθελοντικό πρόγραμμα, αλλά ήθελαν να συμμορφωθούν με αυτό
 και να μην παίζουν ρητή στίχους για παιδιά 13 και κάτω.
 

Είχαν νόμιμους λόγους για τη συλλογή αυτών των δεδομένων.
 Εφαρμογή τους είχε τα δικαιώματα να το κάνει.
 Οι χρήστες ότι αυτό ήταν νόμιμο. Αλλά τι συνέβη;
 Θα συνδέεται σε 3 ή 4 διαφορετικές βιβλιοθήκες διαφημίσεων.
 Τώρα ξαφνικά όλα αυτά βιβλιοθήκες διαφημίσεων
 παίρνουν την πρόσβαση με τις ίδιες πληροφορίες.
 Οι βιβλιοθήκες διαφημίσεων, αν κοιτάξετε τον κώδικα στις βιβλιοθήκες αγγελία
 αυτό που κάνουν είναι κάθε βιβλιοθήκη διαφήμιση λέει
 "Μήπως app μου έχουν την άδεια να λάβει τη θέση GPS;"
 "Ω, δεν; Εντάξει, πες μου τη θέση GPS."
 Κάθε βιβλιοθήκη ad κάνει αυτό,
 και αν η εφαρμογή δεν έχει άδεια GPS
 δεν θα είναι σε θέση να το πάρει, αλλά αν το κάνει, θα το πάρει.
 Αυτό είναι όπου το επιχειρηματικό μοντέλο των βιβλιοθηκών διαφημίσεων
 είναι σε αντίθεση με την προστασία της ιδιωτικής ζωής του χρήστη.
 Και έχει υπάρξει μελέτες εκεί έξω που θα πω αν γνωρίζετε την ηλικία
 από ένα άτομο και να γνωρίζουν τη θέση τους
 όπου κοιμούνται τη νύχτα, επειδή έχετε συντεταγμένες GPS τους
 ενώ ίσως κοιμούνται, ξέρετε ακριβώς ποιος το πρόσωπο αυτό
 επειδή μπορείτε να προσδιορίσετε ποια μέλη αυτού του νοικοκυριού είναι το άτομο.
 Πραγματικά αυτό είναι η αναγνώριση για τους διαφημιστές
 ακριβώς ποιος είσαι, και φαίνεται σαν να ήταν νόμιμη.
 Απλά θέλω streaming μουσικής μου, και αυτός είναι ο μόνος τρόπος για να το πάρει.
 

Λοιπόν, εκθέσαμε αυτό.
 Γράψαμε αυτό σε διάφορες θέσεις blog,
 και αποδείχθηκε ότι κάποιος από το περιοδικό Rolling Stone
 διαβάστε μία από τις θέσεις blog μας και έγραψε το δικό τους blog στο Rolling Stone γι 'αυτό,
 και την επόμενη κιόλας ημέρα της Πανδώρας σκέφτηκε ότι ήταν μια καλή ιδέα
 για να αφαιρέσετε τις βιβλιοθήκες διαφημίσεων από την εφαρμογή τους.
 Σε ό, τι ξέρω ότι είσαι ο μόνος-που θα πρέπει να επαινεθεί.
 Νομίζω ότι είναι η μόνη freemium τον τύπο της εφαρμογής που έχει κάνει αυτό.
 Όλα τα άλλα freemium εφαρμογές έχουν την ίδια συμπεριφορά,
 έτσι έχετε να σκεφτείτε τι είδους δεδομένα δίνετε
 αυτά freemium εφαρμογές επειδή όλα πηγαίνουν στους διαφημιστές.
 Praetorian έκανε επίσης μια μελέτη σχετικά με τις κοινόχρηστες βιβλιοθήκες και είπε,
 "Ας δούμε τι κοινόχρηστες βιβλιοθήκες είναι τα κορυφαία κοινές βιβλιοθήκες," και αυτό ήταν τα δεδομένα.
 

Ανέλυσαν 53.000 apps,
 και ο αριθμός 1 κοινή βιβλιοθήκη ήταν AdMob.
 Ήταν πραγματικά το 38% των αιτήσεων εκεί έξω,
 έτσι ώστε το 38% των εφαρμογών που χρησιμοποιείτε
 είναι πιθανό συγκομιδή τα προσωπικά σας στοιχεία
 και να το στείλει σε δίκτυα διαφημίσεων. Apache και Android ήταν 8% και 6%,
 και, στη συνέχεια, αυτά τα άλλα αυτά κάτω στο κάτω μέρος, Google Ads, Flurry,
 Κιν Πόλη και Χιλιετή Media,
 όλα αυτά είναι διαφημιστικές εταιρείες, και, στη συνέχεια, αρκετά κατά τρόπο ενδιαφέροντα,
 4% που συνδέεται στη βιβλιοθήκη του Facebook
 πιθανόν να κάνουν έλεγχο ταυτότητας μέσω του Facebook
 έτσι ώστε η εφαρμογή θα μπορούσε να την ταυτότητα του Facebook.
 Αυτό όμως σημαίνει ότι η εταιρεία του Facebook ελέγχει κώδικα
 που τρέχει σε 4% των Android κινητών εφαρμογών εκεί έξω,
 και έχουν πρόσβαση σε όλα τα δεδομένα ότι η app έχει την άδεια για να πάρει στο.
 Facebook προσπαθεί ουσιαστικά να πωλούν διαφημιστικό χώρο.
 Αυτό είναι το επιχειρηματικό τους μοντέλο.
 

Αν κοιτάξετε όλη αυτή οικοσύστημα με αυτά τα δικαιώματα
 και κοινόχρηστες βιβλιοθήκες θα αρχίσετε να βλέπετε ότι
 έχετε πολλά κίνδυνο σε μια δήθεν νόμιμη εφαρμογή.
 Το ίδιο παρόμοιο πράγμα που συνέβη με την Πανδώρα
 συνέβη με μια εφαρμογή που ονομάζεται Path,
 και Path νόμιζαν ότι είναι εξυπηρετικό, φιλικό προγραμματιστές.
 Είχαν απλώς προσπαθεί να σας δώσει μια μεγάλη εμπειρία για το χρήστη,
 και αποδείχθηκε ότι δεν προτρέπει το χρήστη ή λέει το χρήστη τίποτα-
 και αυτό συνέβη για το iPhone και το Android,
 η Πανδώρα app ήταν σε iPhone και Android-
 ότι η εφαρμογή Path είχε αρπάξει ολόκληρο το βιβλίο διευθύνσεών σας
 και να την αναρτήσουν στο Path μόνο όταν εγκατασταθεί σε εσάς και έτρεξε την αίτηση,
 και δεν σας πω γι 'αυτό.
 Νόμιζαν ότι ήταν πραγματικά χρήσιμο για σας
 να είναι σε θέση να μοιραστώ με όλους τους ανθρώπους στο βιβλίο διευθύνσεών σας
 ότι είστε χρησιμοποιώντας την εφαρμογή Path.
 

Λοιπόν, προφανώς Path ότι αυτό ήταν μεγάλη για την εταιρία τους.
 Δεν είναι τόσο μεγάλη για τον χρήστη.
 Θα πρέπει να σκεφτούμε ότι είναι ένα πράγμα, αν ίσως ένας έφηβος
 χρησιμοποιεί αυτή την εφαρμογή και τους δεκάδες φίλους είναι εκεί,
 αλλά τι γίνεται αν είναι ο Διευθύνων Σύμβουλος της εταιρείας που εγκαθιστά Path
 και, στη συνέχεια, ξαφνικά ολόκληρο το βιβλίο διευθύνσεών τους είναι εκεί πάνω;
 Θα πάμε για να πάρετε μια πολύ πιθανό να αποδειχθούν πολύτιμες πληροφορίες επικοινωνίας
 για πολλούς ανθρώπους.
 Ένας δημοσιογράφος από την εφημερίδα New York Times, ίσως να είναι σε θέση να πάρει τον αριθμό τηλεφώνου
 για την πρώην πρόεδροι από το βιβλίο διευθύνσεών τους,
 οπότε προφανώς πολύ ευαίσθητων πληροφοριών που παίρνει μεταφέρονται με κάτι σαν αυτό.
 Υπήρχε ένα τέτοιο μεγάλο πτερύγιο για αυτό που Path συγγνώμη.
 Άλλαξαν app τους, και ακόμη και επηρέασαν την Apple.
 Η Apple είπε, "Εμείς πάμε για να αναγκάσει τους πωλητές app να ζητά από τους χρήστες
 αν πρόκειται να εισπράξει ολόκληρο το βιβλίο διευθύνσεών τους. "
 

Μοιάζει με αυτό που συμβαίνει εδώ είναι
 όταν υπάρχει μια μεγάλη παραβίαση της ιδιωτικής ζωής και καθιστά τον Τύπο
 βλέπουμε μια αλλαγή εκεί έξω.
 Αλλά φυσικά, υπάρχουν και άλλα πράγματα εκεί έξω.
 Η εφαρμογή LinkedIn συλλέγει τις καταχωρήσεις ημερολογίου σας,
 αλλά η Apple δεν κάνει ο χρήστης να ζητηθεί γι 'αυτό.
 Οι καταχωρήσεις ημερολογίου μπορεί να έχει ευαίσθητες πληροφορίες σε αυτά πάρα πολύ.
 Πού θα πας να τραβήξουμε τη γραμμή;
 Αυτό είναι πραγματικά το είδος της μια εξελισσόμενη χώρα
 όπου πραγματικά δεν υπάρχει καλό επίπεδο εκεί έξω
 για τους χρήστες να κατανοήσουν τις πληροφορίες τους, όταν πρόκειται να είναι σε κίνδυνο
 και όταν πάμε να ξέρεις ότι λαμβάνονται.
 Γράψαμε ένα app στο Veracode ονομάζεται Adios,
 και ουσιαστικά επέτρεψε να επισημάνω το app στο κατάλογο σας iTunes
 και να εξετάσουμε όλες τις αιτήσεις που είχαν συγκομιδή πλήρη βιβλίο διευθύνσεών σας.
 Και όπως μπορείτε να δείτε σε αυτή τη λίστα εδώ, Angry Birds,
 AIM, AroundMe.
 Γιατί δεν Angry Birds χρειάζονται το βιβλίο διευθύνσεών σας;
 Δεν ξέρω, αλλά το κάνει με κάποιο τρόπο.
 

Αυτό είναι κάτι που κάνουν πολλοί, πολλές εφαρμογές.
 Μπορείτε να επιθεωρήσει τον κώδικα για αυτό.
 Υπάρχει σαφώς καθορισμένες APIs για το iPhone, Android και BlackBerry
 για να πάρω το βιβλίο διευθύνσεων.
 Μπορείτε πολύ εύκολα να επιθεωρήσει για αυτό, και αυτό είναι ό, τι κάναμε και στην εφαρμογή μας Adios.
 Η επόμενη κατηγορία, Επισφαλής Ευαίσθητα αποθήκευσης δεδομένων,
 Είναι κάτι για το οποίο οι προγραμματιστές να λάβει κάτι σαν μια καρφίτσα ή ένα αριθμό λογαριασμού
 ή έναν κωδικό πρόσβασης και να το αποθηκεύσετε στο σαφές στη συσκευή.
 Ακόμα χειρότερα, θα μπορούσαν να το αποθηκεύσετε σε μια περιοχή στο τηλέφωνο
 η οποία είναι παγκοσμίως προσβάσιμο, όπως και η κάρτα SD.
 Μπορείτε να δείτε αυτό πιο συχνά στο Android Android επειδή επιτρέπει μια κάρτα SD.
 Συσκευές IPhone δεν το κάνουν.
 Αλλά είδαμε ακόμα και αυτό να συμβεί σε μια εφαρμογή Citigroup.
 Εφαρμογή των διαδικτυακών τραπεζικών τους που είναι αποθηκευμένα στους αριθμούς λογαριασμού με μη ασφαλή,
 ακριβώς στα καθαρά, οπότε αν έχετε χάσει τη συσκευή σας,
 ουσιαστικά θα χάσει τον τραπεζικό σας λογαριασμό.
 Αυτός είναι ο λόγος που εγώ προσωπικά δεν κάνετε τραπεζικές συναλλαγές στο iPhone μου.
 Νομίζω ότι είναι πολύ επικίνδυνο αυτή τη στιγμή να κάνουμε τέτοιου είδους δραστηριότητες.
 

Skype έκανε το ίδιο πράγμα.
 Skype, βέβαια, έχει ένα υπόλοιπο λογαριασμού, ένα όνομα χρήστη και έναν κωδικό πρόσβασης
 που έχουν πρόσβαση σε αυτή την ισορροπία.
 Είχαν την αποθήκευση όλες αυτές τις πληροφορίες στα καθαρά στην κινητή συσκευή.
 Έχω μερικά παραδείγματα εδώ δημιουργίας αρχείων
 ότι δεν έχουν τα κατάλληλα δικαιώματα ή την εγγραφή σε δίσκο
 και δεν έχουν καμία κρυπτογράφηση συμβεί γι 'αυτό.
 Αυτή η επόμενη περιοχή, Επισφαλής Ευαίσθητα μετάδοση δεδομένων,
 Έχω αναφέρθηκε σε αυτό μερικές φορές, και λόγω του δημόσιου Wi-Fi
 αυτό είναι κάτι που apps πρέπει οπωσδήποτε να κάνουμε,
 και αυτό είναι ίσως ό, τι βλέπουμε να πάει στραβά το πολύ. Θα έλεγα-στην πραγματικότητα, νομίζω ότι έχω τα πραγματικά δεδομένα,
 αλλά είναι κοντά στο μισό τις κινητές εφαρμογές
 βίδα μέχρι να κάνει SSL.
 Απλώς δεν χρησιμοποιούν τα APIs σωστά.
 Θέλω να πω, το μόνο που έχετε να κάνετε είναι να ακολουθήσετε τις οδηγίες και να χρησιμοποιήσετε τα API,
 αλλά κάνουν τα πράγματα όπως δεν ελέγχει αν υπάρχει ένα έγκυρο πιστοποιητικό στο άλλο άκρο,
 δεν ελέγχει εάν το άλλο άκρο είναι που προσπαθεί να κάνει μια επίθεση πρωτόκολλο υποβάθμιση.
 

Οι προγραμματιστές, θέλουν να πάρουν το πλαίσιο ελέγχου τους, έτσι δεν είναι;
 Απαίτηση τους είναι να χρησιμοποιήσετε αυτό για να πουλήσουν. Έχουν χρησιμοποιηθεί αυτό για να πουλήσουν.
 Η απαίτηση δεν είναι να χρησιμοποιήσετε αυτό για να πουλήσει καλά,
 και γι'αυτό το λόγο όλες οι εφαρμογές που χρησιμοποιούν το SSL για την ασφάλεια των δεδομένων
 όπως είναι να μεταδίδονται από τη συσκευή πραγματικά πρέπει να επιθεωρούνται
 για να βεβαιωθείτε ότι εφαρμόστηκε σωστά.
 Και εδώ έχω μερικά παραδείγματα όπου μπορείτε να δείτε μια εφαρμογή
 ενδέχεται να χρησιμοποιούν HTTP αντί HTTPS.
 Σε ορισμένες περιπτώσεις, οι εφαρμογές θα πέσει πίσω στο HTTP
 εάν η HTTPS δεν λειτουργεί.
 Έχω μια άλλη κλήση εδώ στο Android όπου έχουν απενεργοποιηθεί ο έλεγχος του πιστοποιητικού,
 έτσι μια επίθεση man-in-the-middle μπορεί να συμβεί.
 Ένα έγκυρο πιστοποιητικό θα γίνονται δεκτές.
 Αυτές είναι όλες οι περιπτώσεις όπου οι επιτιθέμενοι θα είναι σε θέση να πάρει για
 η ίδια σύνδεση Wi-Fi, καθώς ο χρήστης και πρόσβαση σε όλα τα δεδομένα
 αυτό είναι που αποστέλλονται μέσω του διαδικτύου.
 

Και τέλος, η τελευταία κατηγορία που έχω εδώ είναι μια μόνιμη κωδικό πρόσβασης και τα κλειδιά.
 Μπορούμε πραγματικά να δείτε πολλά προγραμματιστές να χρησιμοποιούν το ίδιο στυλ κωδικοποίησης
 ότι έκαναν όταν έκτιζαν εφαρμογές web server,
 έτσι χτίζουν μια εφαρμογή διακομιστή Java, και από όπου και αν hardcoding το κλειδί.
 Λοιπόν, όταν είστε οικοδόμηση μια εφαρμογή διακομιστή, ναι,
 hardcoding το κλειδί δεν είναι μια καλή ιδέα.
 Καθιστά δύσκολο να αλλάξει.
 Αλλά δεν είναι τόσο άσχημα στην πλευρά του server, διότι ποιος έχει πρόσβαση στο διακομιστή;
 Μόνο οι διαχειριστές.
 Αλλά αν πάρετε τον ίδιο κώδικα και το έχυσε πάνω σε μια εφαρμογή για κινητά
 τώρα ο καθένας που έχει αυτό το κινητό εφαρμογή έχει πρόσβαση σε αυτό το κωδικοποιημένο κλειδί,
 και βλέπουμε πραγματικά αυτό πολλές φορές, και έχω κάποια στατιστικά στοιχεία
 σχετικά με το πόσο συχνά βλέπουμε αυτό να συμβεί.
 Στην πραγματικότητα, ήταν στο παράδειγμα κώδικα που δημοσιεύθηκε MasterCard
 σχετικά με το πώς να χρησιμοποιήσετε την υπηρεσία τους.
 Το παράδειγμα κώδικα έδειξε πως θα λάβει μόνο τον κωδικό πρόσβασης
 και το βάζουμε σε ένα κωδικοποιημένο σειρά εκεί,
 και γνωρίζουμε πως οι προγραμματιστές αγαπούν να αντιγράψετε και να επικολλήσετε της δημιουργίας ενός κώδικα
 όταν προσπαθούμε να κάνουμε κάτι, ώστε να αντιγράψετε και να επικολλήσετε το απόσπασμα κώδικα
 ότι έδωσε ως παράδειγμα κώδικα, και έχετε μια ανασφαλής εφαρμογή.
 

Και εδώ έχουμε μερικά παραδείγματα.
 Αυτή η πρώτη είναι αυτή που βλέπουμε πολλά, όπου hardcode
 το δικαίωμα των δεδομένων σε ένα URL που αποστέλλεται.
 Μερικές φορές βλέπουμε τον κωδικό String = τον κωδικό πρόσβασης.
 Αυτό είναι πολύ εύκολο να ανιχνευθούν, ή τον κωδικό πρόσβασης κορδόνι για BlackBerry και Android.
 Είναι πραγματικά αρκετά εύκολο να ελέγξετε επειδή σχεδόν πάντα
 τα ονόματα του έργου η μεταβλητή που κρατάει τον κωδικό πρόσβασης
 κάποια παραλλαγή του κωδικού πρόσβασης.
 Ανέφερα ότι κάνουμε στατική ανάλυση σε Veracode,
 έτσι έχουμε αναλυθεί αρκετές εκατοντάδες Android και iOS εφαρμογές.
 Έχουμε χτίσει πλήρη μοντέλα τους, και είμαστε σε θέση να τους σαρώσει
 για διαφορετικά τρωτά σημεία, ιδιαίτερα τα τρωτά μιλούσα,
 και έχω κάποια στοιχεία εδώ.
 68,5% των Android apps κοιτάξαμε
 είχε σπάσει κώδικα κρυπτογράφησης,
 το οποίο για εμάς, δεν μπορούμε να ανιχνεύσει αν έχετε κάνει τη δική σας ρουτίνα crypto,
 όχι ότι είναι μια καλή ιδέα, αλλά αυτό είναι στην πραγματικότητα χρησιμοποιώντας τις δημοσιευμένες APIs
 που βρίσκονται στην πλατφόρμα, αλλά να κάνει τους κατά τέτοιο τρόπο
 ότι η crypto θα είναι ευάλωτο, 68.5.
 Και αυτό είναι για τους ανθρώπους που μας στέλνουν τις αιτήσεις τους, διότι στην πραγματικότητα
 νομίζουν ότι είναι μια καλή ιδέα να κάνει τις δοκιμές ασφάλειας.
 Αυτά είναι ήδη άνθρωποι που είναι πιθανόν να σκέφτεται με ασφάλεια,
 έτσι είναι πιθανώς ακόμη χειρότερα.
 

Εγώ δεν μιλάμε για γραμμή έγχυσης τροφή ελέγχου.
 Είναι κάτι που έχουμε ελέγξει για, αλλά δεν είναι τόσο επικίνδυνο θέμα.
 Διαρροή πληροφοριών, αυτό είναι όπου τα ευαίσθητα δεδομένα που αποστέλλονται από τη συσκευή.
 Βρήκαμε ότι σε 40% των αιτήσεων.
 Χρόνος και το κράτος, αυτά είναι θέματα τύπου κατάσταση κούρσας, συνήθως αρκετά δύσκολο να εκμεταλλευτούν,
 γι 'αυτό δεν μιλάμε γι' αυτό, αλλά κοιτάξαμε.
 23% είχε προβλήματα SQL ένεση.
 Πολλοί άνθρωποι δεν γνωρίζουν ότι πολλές εφαρμογές
 χρησιμοποιήστε μια μικρή μικρή βάση δεδομένων SQL πίσω άκρο τους για την αποθήκευση δεδομένων.
 Λοιπόν, αν τα δεδομένα που είστε αρπάζοντας από το δίκτυο
 έχει χορδές SQL επίθεση ένεση σε αυτό
 κάποιος μπορεί να θέσει σε κίνδυνο τη συσκευή μέσω αυτού,
 και έτσι νομίζω ότι θα βρούμε περίπου το 40% των web εφαρμογών έχουν αυτό το πρόβλημα,
 το οποίο είναι ένα τεράστιο πρόβλημα επιδημία.
 Μπορούμε να βρούμε το 23% του χρόνου σε εφαρμογές για κινητά
 και αυτό είναι πιθανώς επειδή πολλές άλλες εφαρμογές web χρήση SQL από το κινητό.
 

Και τότε βλέπουμε ακόμα κάποια cross-site scripting, θέματα αδειοδότησης,
 και στη συνέχεια τη διαχείριση των διαπιστευτηρίων, αυτό είναι όπου μπορείτε να έχετε μια μόνιμη κωδικό πρόσβασής σας.
 Στο 5% των αιτήσεων βλέπουμε ότι.
 Και τότε έχουμε κάποια στοιχεία για iOS.
 81% είχε προβλήματα λάθος χειρισμό. Αυτό είναι περισσότερο από ένα πρόβλημα ποιότητας κώδικα,
 αλλά το 67% είχαν κρυπτογραφικά θέματα, έτσι δεν είναι τόσο άσχημα όσο Android.
 Ίσως τα APIs είναι λίγο πιο εύκολο, οι κωδικούς παράδειγμα λίγο καλύτερα για iOS.
 Αλλά ακόμα ένα πολύ υψηλό ποσοστό.
 Είχαμε 54% με διαρροή πληροφοριών,
 περίπου 30% με διαχειριστικά λάθη buffer.
 Αυτό είναι μέρη όπου θα μπορούσε ενδεχομένως να υπάρχει πρόβλημα διαφθοράς μνήμης.
 Αποδεικνύεται ότι αυτό δεν είναι τόσο μεγάλο πρόβλημα για την εκμετάλλευση
 στην Ίο γιατί όλος ο κώδικας θα πρέπει να υπογραφεί,
 έτσι είναι δύσκολο για έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα για iOS.
 Ποιότητα του κώδικα, διάσχιση κατάλογο, αλλά τότε η διαχείριση διαπιστευτήρια εδώ στο 14,6%,
 τόσο χειρότερη από ό, τι για το Android.
 Έχουμε ανθρώπους που δεν χειρίζονται σωστά τους κωδικούς πρόσβασης.
 Και τότε τα αριθμητικά λάθη και υπερχείλιση,
 αυτά είναι περισσότερο θα είναι τα θέματα της ποιότητας κώδικα για iOS.
 

Αυτό ήταν για την παρουσίασή μου. Δεν ξέρω αν είμαστε έξω από το χρόνο ή όχι.
 Δεν ξέρω αν υπάρχει οποιεσδήποτε ερωτήσεις.
 [Αντρας] Μια γρήγορη ερώτηση γύρω από τον κατακερματισμό και την αγορά Android.
 Η Apple κατέχει τουλάχιστον επιδιόρθωση.
 Κάνουν καλή δουλειά του να πάρει εκεί έξω, ενώ σε μικρότερο βαθμό στο Android χώρο.
 Μπορείτε σχεδόν πρέπει να jailbreak το τηλέφωνό σας για να παραμείνεις επίκαιρος
 με την τρέχουσα έκδοση του Android.
 Ναι, αυτό είναι ένα τεράστιο πρόβλημα και έτσι, αν σκεφτούμε-
 [Αντρας] Γιατί δεν μπορείς να το επαναλάβετε;
 

Ναι, σωστά, οπότε το ερώτημα ήταν τι θα γίνει με τον κατακερματισμό
 του λειτουργικού συστήματος για την πλατφόρμα Android;
 Πώς αυτό επηρεάζει την επικινδυνότητα αυτών των συσκευών;
 Και αυτό είναι πραγματικά ένα τεράστιο πρόβλημα, διότι αυτό που συμβαίνει είναι
 οι παλαιότερες συσκευές, όταν κάποιος έρχεται με ένα jailbreak για τη συγκεκριμένη συσκευή,
 κατ 'ουσίαν ότι η κλιμάκωση προνομίων, και έως ότου το λειτουργικό σύστημα είναι ενημερωμένο
 οποιοδήποτε κακόβουλο λογισμικό μπορεί στη συνέχεια να χρησιμοποιήσετε το συγκεκριμένο θέμα ευπάθειας να συμβιβαστεί πλήρως τη συσκευή,
 και αυτό που βλέπουμε για το Android είναι για να πάρετε ένα νέο λειτουργικό σύστημα
 Google έχει να θέσει το λειτουργικό σύστημα, και στη συνέχεια στον κατασκευαστή του υλικού
 πρέπει να το προσαρμόσετε, και, στη συνέχεια, ο μεταφορέας πρέπει να το προσαρμόσετε και να το παραδώσουμε.
 Έχετε βασικά 3 κινούμενα μέρη εδώ,
 και είναι φαίνεται ότι οι μεταφορείς δεν με νοιάζει,
 και οι κατασκευαστές hardware δεν με νοιάζει, και η Google δεν είναι να τους σπρώχνουν αρκετά
 να κάνει τίποτα, οπότε ουσιαστικά πάνω από τις μισές από τις συσκευές εκεί έξω
 έχουν τα λειτουργικά συστήματα που έχουν αυτά τα τρωτά σημεία προνόμιο κλιμάκωση σε αυτά,
 και έτσι αν έχετε malware στο Android συσκευή σας είναι πολύ περισσότερο από ένα πρόβλημα.
 

Εντάξει, σας ευχαριστώ πολύ.
 [Χειροκροτήματα]
 [CS50.TV]