1
00:00:00,000 --> 00:00:02,610
>> [સેમિનાર] [ઉપકરણ પાછળ બચાવ: મોબાઇલ એપ્લિકેશન સુરક્ષા]

2
00:00:02,610 --> 00:00:04,380
[સીએચ Wysopal] [હાર્વર્ડ યુનિવર્સિટી]

3
00:00:04,380 --> 00:00:07,830
[આ CS50 છે.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> ગુડ બપોર પછી. મારું નામ સીએચ Wysopal છે.

5
00:00:10,360 --> 00:00:13,360
હું CTO અને Veracode સહ સ્થાપક છું.

6
00:00:13,360 --> 00:00:15,880
Veracode અરજી સુરક્ષા કંપની છે.

7
00:00:15,880 --> 00:00:18,230
અમે વિવિધ કાર્યક્રમો તમામ પ્રકારના પરીક્ષણ,

8
00:00:18,230 --> 00:00:25,060
અને શું હું આજે વિશે વાત જાઉં છું મોબાઇલ એપ્લિકેશન સુરક્ષા છે.

9
00:00:25,060 --> 00:00:28,630
મારા પૃષ્ઠભૂમિ હું સુરક્ષા સંશોધન કરી રહ્યો છું છે

10
00:00:28,630 --> 00:00:31,970
ખૂબ લાંબા સમય માટે, કદાચ લાંબા સમય સુધી કોઇ તરીકે વિશે.

11
00:00:31,970 --> 00:00:35,000
હું મધ્ય 90 માં શરૂઆત કરી હતી,

12
00:00:35,000 --> 00:00:37,370
અને તે ખૂબ જ રસપ્રદ હતો કે એક સમય હતો, કારણ કે

13
00:00:37,370 --> 00:00:39,220
અમે મધ્ય 90 માં નમૂનારૂપ બદલી હતી.

14
00:00:39,220 --> 00:00:43,520
અચાનક દરેકને કમ્પ્યૂટરના બધા ઇન્ટરનેટ સુધી hooked હતી,

15
00:00:43,520 --> 00:00:46,550
અને પછી અમે વેબ એપ્લિકેશન્સ ના શરૂઆત કરી હતી,

16
00:00:46,550 --> 00:00:49,330
અને તે હું પછી ઘણો પર ધ્યાન કેન્દ્રિત કર્યું છે.

17
00:00:49,330 --> 00:00:51,160
તે રસપ્રદ છે.

18
00:00:51,160 --> 00:00:53,930
હવે અમે કમ્પ્યુટિંગ સાથે થઈ રહ્યું અન્ય ફેરફાર ફેરફાર હોય છે

19
00:00:53,930 --> 00:00:58,710
જે મોબાઇલ એપ્લિકેશન્સ માટે પાળી છે.

20
00:00:58,710 --> 00:01:03,680
>> હું તે પછી તે 90 અંતમાં હતી એક જ સમય પ્રકારની છે લાગે

21
00:01:03,680 --> 00:01:07,650
અમે વેબ એપ્લિકેશન્સ તપાસ અને જેવી ખામીઓ શોધવામાં આવ્યા ત્યારે

22
00:01:07,650 --> 00:01:11,800
સત્ર વ્યવસ્થાપન ભૂલો અને એસક્યુએલ ઇન્જેક્શન

23
00:01:11,800 --> 00:01:14,940
જે ખરેખર પહેલાં અસ્તિત્વમાં હતી, અને અચાનક તમામ તેઓ દરેક જગ્યાએ હતા

24
00:01:14,940 --> 00:01:19,360
વેબ એપ્લિકેશન્સ, અને હવે હું પાછળ તેઓનો ઘણો સમય ઘણો

25
00:01:19,360 --> 00:01:27,950
મોબાઇલ એપ્લિકેશન્સ પર જોઈ અને જંગલી ત્યાં શું થઈ રહ્યું છે જોઈ છે.

26
00:01:27,950 --> 00:01:32,060
મોબાઇલ એપ્લિકેશન્સ ખરેખર પ્રભાવશાળી કમ્પ્યુટિંગ પ્લેટફોર્મ હશે આવે છે,

27
00:01:32,060 --> 00:01:35,060
તેથી અમે ખરેખર તમે સુરક્ષા ઉદ્યોગમાં છો સમય ઘણો પસાર કરવાની જરૂર

28
00:01:35,060 --> 00:01:39,280
વેબ એપ્લિકેશન્સ પર ધ્યાન કેન્દ્રિત.

29
00:01:39,280 --> 00:01:43,420
2011 માં ડાઉનલોડ 29 અબજ મોબાઇલ એપ્લિકેશન્સ હતા.

30
00:01:43,420 --> 00:01:47,920
તે 2014 સુધીમાં 76 અબજ એપ્લિકેશન્સ હોઈ આગાહી છે.

31
00:01:47,920 --> 00:01:54,040
આ વર્ષે ખરીદી શકાય જતાં હોય છે કે 686 મિલિયન ઉપકરણો છે,

32
00:01:54,040 --> 00:01:57,060
લોકો કરી કરી રહ્યા છે તેથી આ છે જ્યાં

33
00:01:57,060 --> 00:01:59,600
 તેમની ક્લાઈન્ટ કમ્પ્યુટિંગ ભાગના આગળ જતાં.

34
00:01:59,600 --> 00:02:04,220
>> હું ફિડેલિટી રોકાણો પર એક ઉપ પ્રમુખ માટે વાત કરી હતી

35
00:02:04,220 --> 00:02:08,780
થોડા મહિના પહેલા, એટલે તે તેઓ માત્ર વધુ ટ્રાફિક જોવા મળી હતી જણાવ્યું હતું કે,

36
00:02:08,780 --> 00:02:12,610
તેમના ગ્રાહક આધાર નાણાકીય વ્યવહારો કરી

37
00:02:12,610 --> 00:02:16,230
તેમની વેબસાઈટ પર કરતાં તેમના મોબાઇલ એપ્લિકેશન પર,

38
00:02:16,230 --> 00:02:20,610
તેથી ભૂતકાળમાં વેબ માટે એક સામાન્ય ઉપયોગ કરવામાં આવ્યો છે

39
00:02:20,610 --> 00:02:23,800
, તમારા સ્ટોક ક્વોટ્સ ચકાસણી તમારા પોર્ટફોલિયોને વ્યવસ્થા

40
00:02:23,800 --> 00:02:28,060
અને અમે ખરેખર પર 2012 સ્વીચ કે જોઈ રહ્યાં છો

41
00:02:28,060 --> 00:02:30,960
મોબાઇલ પ્લેટફોર્મ પર વધુ પ્રબળ છે.

42
00:02:30,960 --> 00:02:34,530
કોઇ ગુનાહિત પ્રવૃત્તિ હોય તેમ બનશે ચોક્કસપણે છે,

43
00:02:34,530 --> 00:02:38,900
કોઈ પણ દુષ્ટ પ્રવૃત્તિઓ, તે મોબાઇલ પ્લેટફોર્મ પર ધ્યાન કેન્દ્રિત કરવા માટે શરૂ થઈ રહ્યું છે

44
00:02:38,900 --> 00:02:44,210
લોકો કે પર સ્વિચ સમય પર રિલીઝ.

45
00:02:44,210 --> 00:02:48,320
તમે મોબાઇલ પ્લેટફોર્મ જોવા,

46
00:02:48,320 --> 00:02:54,380
તે અલગ અલગ સ્તરો માં તોડી ઉપયોગી છે પ્લેટફોર્મ જોખમ જોવા માટે,

47
00:02:54,380 --> 00:02:59,010
તમે ડેસ્કટોપ કમ્પ્યુટર પર જ કરવાનું હતું, જેમ કે

48
00:02:59,010 --> 00:03:02,860
અને તમે વિવિધ સ્તરો, સોફ્ટવેર, ઓપરેટિંગ સિસ્ટમ, વિશે વિચારો

49
00:03:02,860 --> 00:03:07,730
નેટવર્ક લેયર, હાર્ડવેર સ્તર, અને અલબત્ત, તે બધા સ્તરો પર નબળાઈઓ છે.

50
00:03:07,730 --> 00:03:10,510
>> આ જ વાત મોબાઇલ પર થાય છે.

51
00:03:10,510 --> 00:03:14,880
પરંતુ મોબાઇલ, તે તે સ્તરો કેટલાક હાલત વધારે ખરાબ છે કે લાગે છે.

52
00:03:14,880 --> 00:03:19,840
એક માટે, નેટવર્ક લેયર મોબાઇલ પર વધુ સમસ્યારૂપ છે

53
00:03:19,840 --> 00:03:25,650
ઘણા લોકોને પોતાની ઓફિસ અથવા ઘર પર છે કારણ કે

54
00:03:25,650 --> 00:03:30,780
જોડાણો વાયર અથવા તેઓ ત Wi-Fi જોડાણો છે,

55
00:03:30,780 --> 00:03:36,530
અને મોબાઇલ ઉપકરણો ઘણો સાથે તમે ઘરની બહાર ચોક્કસપણે છો

56
00:03:36,530 --> 00:03:40,520
અથવા ખૂબ આ ઓફિસ બહાર છે, અને તમે વાઇ વૈજ્ઞાનિક ઉપયોગ કરી રહ્યાં છો ત્યાં

57
00:03:40,520 --> 00:03:42,820
તમે એક અસુરક્ષિત વાઇ વૈજ્ઞાનિક જોડાણ ઉપયોગ કરી શકે છે,

58
00:03:42,820 --> 00:03:45,570
જાહેર વાઇ વૈજ્ઞાનિક જોડાણ કંઈક કે જે,

59
00:03:45,570 --> 00:03:48,840
અમે મોબાઇલ એપ્લિકેશન્સ વિશે વિચારો તેથી જ્યારે અમે ધ્યાનમાં લઇ જાય છે

60
00:03:48,840 --> 00:03:53,770
નેટવર્ક પર્યાવરણ તે કાર્યક્રમો માટે જોખમી છે કે

61
00:03:53,770 --> 00:03:57,640
વાઇ વૈજ્ઞાનિક ઉપયોગ કરવામાં આવે છે.

62
00:03:57,640 --> 00:04:02,410
અને હું મોબાઇલ એપ્લિકેશન જોખમો વધુ માં મળી છે

63
00:04:02,410 --> 00:04:04,910
કે વધુ મહત્વપૂર્ણ છે શા માટે તમે જોશો.

64
00:04:04,910 --> 00:04:09,710
મોબાઇલ ઉપકરણો પર હાર્ડવેર સ્તરે જોખમ છે.

65
00:04:09,710 --> 00:04:11,670
આ ચાલુ સંશોધન એક વિસ્તાર છે.

66
00:04:11,670 --> 00:04:15,910
લોકો આ બ્રોડબેન્ડ હુમલા અથવા baseband હુમલા કૉલ

67
00:04:15,910 --> 00:04:21,870
તમે રેડિયો પર સાંભળી છે કે ફર્મવેર હુમલો કરી રહ્યાં છે.

68
00:04:21,870 --> 00:04:25,430
>> આ ખરેખર ડરામણી હુમલા કારણ કે

69
00:04:25,430 --> 00:04:27,280
વપરાશકર્તા કંઈ પણ કરવા માટે નથી.

70
00:04:27,280 --> 00:04:30,760
તમે આરએફ શ્રેણી અંદર ઉપકરણો ઘણાં હિટ કરી શકે છે

71
00:04:30,760 --> 00:04:36,690
એક જ સમયે, અને તે આ સંશોધન પરપોટા જ્યારે જેવી લાગે છે

72
00:04:36,690 --> 00:04:40,750
તે ઝડપથી જ્યાં વર્ગીકૃત નહીં

73
00:04:40,750 --> 00:04:46,600
લોકો આસપાસ તરાપ મારો અને કહે છે, "અહીં, તે વિશે અમને જણાવો, અને તે વિશે વાત કરવાનું બંધ કરો."

74
00:04:46,600 --> 00:04:49,460
આ બ્રોડબેન્ડ વિસ્તારમાં થઈ રહ્યું કેટલાક સંશોધનો છે,

75
00:04:49,460 --> 00:04:51,980
પણ તે ખૂબ જ હુશ હુશ હોય તેમ લાગે છે.

76
00:04:51,980 --> 00:04:56,910
હું તેના પર ચાલી રહ્યું છે કે સંશોધનમાં એક રાષ્ટ્ર રાજ્ય પ્રકાર વધુ છે લાગે છે.

77
00:04:56,910 --> 00:05:02,140
સક્રિય સંશોધનનો વિસ્તાર છે, જોકે, ઓપરેટિંગ સિસ્ટમ સ્તર છે,

78
00:05:02,140 --> 00:05:08,910
અને ફરી, આ જુઓ: કમ્પ્યુટિંગ વિશ્વમાં કરતાં અલગ છે

79
00:05:08,910 --> 00:05:14,840
મોબાઇલ જગ્યામાં તમે Jailbreakers કહેવાય લોકો આ ટીમ છે, કારણ કે

80
00:05:14,840 --> 00:05:18,670
અને Jailbreakers નિયમિત નબળાઈ સંશોધકો કરતાં અલગ છે.

81
00:05:18,670 --> 00:05:21,970
તેઓ ઓપરેટિંગ સિસ્ટમમાં નબળાઈઓ શોધી પ્રયાસ કરી રહ્યા છો

82
00:05:21,970 --> 00:05:27,000
પરંતુ તેઓ નબળાઈઓ શોધી પ્રયાસ કરી રહ્યા છો કારણ નથી

83
00:05:27,000 --> 00:05:31,810
કોઈ બીજાના મશીન તોડી અને તે સમાધાન.

84
00:05:31,810 --> 00:05:34,280
તે તેમના પોતાના કોમ્પ્યુટર તોડી છે.

85
00:05:34,280 --> 00:05:38,820
તેઓ પોતાની મોબાઇલ તોડી માંગો >> તેમના પોતાના મોબાઇલ ઑપરેટિંગ સિસ્ટમ સુધારવા

86
00:05:38,820 --> 00:05:41,050
તેઓ તેમના પસંદગીના કાર્યક્રમો ચલાવી શકો છો, કે જેથી

87
00:05:41,050 --> 00:05:44,510
અને સંપૂર્ણ વહીવટી પરવાનગીઓ સાથે વસ્તુઓ બદલવા માટે,

88
00:05:44,510 --> 00:05:49,050
અને તેઓ આ અંગે વિક્રેતા કહેવું નથી માંગતા.

89
00:05:49,050 --> 00:05:52,960
તેઓ સફેદ ટોપી સુરક્ષા સંશોધક છે, કે જે સુરક્ષા સંશોધક પસંદ નથી કરી રહ્યાં છો

90
00:05:52,960 --> 00:05:56,600
જવાબદાર જાહેરાત કરી છે અને તે અંગે વિક્રેતા કહી રહ્યું છે.

91
00:05:56,600 --> 00:06:01,270
તેઓ આ સંશોધન કરવા માંગો છો, અને તેઓ ખરેખર તેને પ્રકાશિત કરવા માંગો છો

92
00:06:01,270 --> 00:06:06,400
એક શોષણ અથવા એક rootkit અથવા Jailbreak કોડ છે,

93
00:06:06,400 --> 00:06:10,010
અને તેઓ અધિકાર પછી, જેમ કે વ્યૂહાત્મક તે કરવા માંગો છો

94
00:06:10,010 --> 00:06:13,570
વિક્રેતા જહાજો નવી ઓપરેટિંગ સિસ્ટમ.

95
00:06:13,570 --> 00:06:16,350
આ વિરોધી સંબંધ

96
00:06:16,350 --> 00:06:19,000
મોબાઇલ પર ઓએસ લેવલ નબળાઈઓ સાથે,

97
00:06:19,000 --> 00:06:23,150
હું ખૂબ રસપ્રદ છે, અને એક જ જગ્યાએ અમે તેને જોઈ જે

98
00:06:23,150 --> 00:06:29,210
સારી શોષણ પ્રકાશિત કોડ ત્યાં છે કે જેથી તે તે બનાવે છે

99
00:06:29,210 --> 00:06:31,750
કર્નલ લેવલ નબળાઈઓ માટે,

100
00:06:31,750 --> 00:06:35,040
અને અમે ખરેખર મૉલવેર લેખકો દ્વારા વાપરી શકાય તે જોઇ છે.

101
00:06:35,040 --> 00:06:38,450
તે પીસી વિશ્વ કરતાં થોડુંક અલગ છે.

102
00:06:38,450 --> 00:06:42,530
અને પછી અંતિમ સ્તર ઉપર સ્તર, તો કાર્યક્રમ સ્તર છે.

103
00:06:42,530 --> 00:06:45,250
કે હું આજે વિશે વાત જાઉં છું શું છે.

104
00:06:45,250 --> 00:06:48,970
>>, અન્ય સ્તરો અસ્તિત્વ ધરાવે છે, અને અન્ય સ્તરો તેને રમવા

105
00:06:48,970 --> 00:06:53,310
પરંતુ હું મોટે ભાગે અરજી સ્તર પર ચાલી રહ્યું છે તે વિશે વાત કરવા જઈ રહ્યો છું

106
00:06:53,310 --> 00:06:55,560
કોડ આ સેન્ડબોક્સ માં ચાલી રહ્યુ છે.

107
00:06:55,560 --> 00:06:58,670
તે સંચાલક વિશેષાધિકારો નથી.

108
00:06:58,670 --> 00:07:02,170
તે ઉપકરણ API નો ઉપયોગ કરવા માટે છે,

109
00:07:02,170 --> 00:07:06,970
પરંતુ હજુ પણ, દુષ્ટ પ્રવૃત્તિઓ ઘણો અને જોખમ ઘણો કે સ્તર પર થાય છે

110
00:07:06,970 --> 00:07:09,220
કે બધી માહિતી છે કે જ્યાં સ્તર છે કારણ કે.

111
00:07:09,220 --> 00:07:12,330
એપ્લિકેશન્સ ઉપકરણ પર બધી માહિતી ઍક્સેસ કરી શકો છો

112
00:07:12,330 --> 00:07:15,390
તેઓ યોગ્ય પરવાનગી છે,

113
00:07:15,390 --> 00:07:17,540
અને તેઓ ઉપકરણ પર વિવિધ સેન્સર ઍક્સેસ કરી શકો છો,

114
00:07:17,540 --> 00:07:23,950
જીપીએસ સેન્સર, માઇક્રોફોન, કેમેરા, તમારી પાસે છે.

115
00:07:23,950 --> 00:07:27,380
અમે માત્ર અરજી સ્તર પર વિશે વાત કરી રહ્યા છીએ, પણ તે

116
00:07:27,380 --> 00:07:33,700
આપણે ત્યાં જોખમ ઘણો છે.

117
00:07:33,700 --> 00:07:38,450
મોબાઇલ પર્યાવરણ વિશે અલગ છે કે અન્ય બાબત

118
00:07:38,450 --> 00:07:45,060
બધા ઓપરેટિંગ સિસ્ટમ ખેલાડીઓ, તે છે અથવા Android બ્લેકબેરી

119
00:07:45,060 --> 00:07:53,410
અથવા iOS અથવા વિન્ડોઝ મોબાઇલ, તેઓ બધા એક સૂક્ષ્મ પ્રકારની પરવાનગી મોડેલ છે

120
00:07:53,410 --> 00:07:56,990
અને આ માટે તેઓ ઓપરેટિંગ સિસ્ટમ માં સમાયેલ છે કે જે માર્ગ છે

121
00:07:56,990 --> 00:08:01,230
તે તમને લાગે તરીકે જોખમી નથી, તે વિચાર.

122
00:08:01,230 --> 00:08:04,550
જો તમને ત્યાં પર તમારા બધા સંપર્કો છે, પણ તે તમારા બધા વ્યક્તિગત માહિતી,

123
00:08:04,550 --> 00:08:09,080
તમે તમારા ફોટા છે, તમે ત્યાં તમારા સ્થાન છે

124
00:08:09,080 --> 00:08:14,820
જો તમને ત્યાં પર ઓટો પ્રવેશ માટે તમારી બેંક પિન સ્ટોર કરી રહ્યાં છે, તે સુરક્ષિત છે, કારણ કે

125
00:08:14,820 --> 00:08:19,430
એપ્લિકેશન્સ કેટલાક ભાગોમાં પર કરવા માટે આપે ચોક્કસ પરવાનગી છે

126
00:08:19,430 --> 00:08:25,080
ઉપકરણ પર માહિતી, અને વપરાશકર્તાનો સાથે રજૂ કરી શકાય છે

127
00:08:25,080 --> 00:08:29,230
આ પરવાનગીઓ અને ઠીક છે.

128
00:08:29,230 --> 00:08:32,590
>> તે સાથે સમસ્યા હંમેશા વપરાશકર્તા છે ઠીક છે.

129
00:08:32,590 --> 00:08:35,240
સુરક્ષા વ્યક્તિ તરીકે, હું તમે વપરાશકર્તા સંકેત આપી શકે છે જાણો છો,

130
00:08:35,240 --> 00:08:40,100
ખરેખર ખરાબ કંઈક થવાનું છે કહે છે, તો તમે તેને શું કરવા માંગો છો?

131
00:08:40,100 --> 00:08:44,680
અને તેઓ ધસારો છો અથવા તે બીજી બાજુ પર ખરેખર લલચાવવા એ, કોઇએ કંઈક છે, તો,

132
00:08:44,680 --> 00:08:47,760
જેવી રમત છે, તેઓ માટે રાહ જોઈ રહ્યો છું કે સ્થાપિત કરી રહ્યા છે

133
00:08:47,760 --> 00:08:50,860
તેઓ ઠીક ક્લિક કરો રહ્યા છીએ.

134
00:08:50,860 --> 00:08:56,630
હું માત્ર મારા પહેલાથી જ ડુક્કર અંતે પક્ષીઓ ઘસવું દો અહીં મારા સ્લાઇડ પર કહે છે શા માટે છે,

135
00:08:56,630 --> 00:09:03,150
અને તમે બ્લેકબેરી પરવાનગી બોક્સની ઉદાહરણો છે અહીં સ્લાઇડ પર જોઈ શકો છો.

136
00:09:03,150 --> 00:09:05,990
તે "બ્લેકબેરી યાત્રા એપ્લિકેશન પરવાનગીઓ સુયોજિત કરો કહે છે

137
00:09:05,990 --> 00:09:09,720
તેને નીચેના બટન પર ક્લિક "અને મૂળભૂત વપરાશકર્તા માત્ર કહેવું રહ્યું છે પછી

138
00:09:09,720 --> 00:09:12,240
પરવાનગીઓ સેટ અને સાચવો.

139
00:09:12,240 --> 00:09:18,010
અહીં તે વસ્તુઓ બતાવે છે, Android પ્રોમ્પ્ટ છે,

140
00:09:18,010 --> 00:09:20,260
અને તે ખરેખર લગભગ એક ચેતવણી કે લાગે છે કે કંઈક મૂકે છે.

141
00:09:20,260 --> 00:09:25,090
તે ત્યાં ઉપજ સાઇન કહ્યું નેટવર્ક સંચાર, ફોન કૉલ એક પ્રકારના મળ્યું છે

142
00:09:25,090 --> 00:09:28,120
પણ વપરાશકર્તા અધિકાર સ્થાપિત કરો પર ક્લિક રહ્યું છે?

143
00:09:28,120 --> 00:09:32,940
અને પછી એપલ એક સંપૂર્ણપણે નિરુપદ્રવી છે.

144
00:09:32,940 --> 00:09:34,300
તે ચેતવણી કોઇ પણ પ્રકારના આપતું નથી.

145
00:09:34,300 --> 00:09:37,380
તે એપલ તમારું હાલનું સ્થાન ઉપયોગ કરવા માંગો છો માત્ર છે.

146
00:09:37,380 --> 00:09:39,670
અલબત્ત તમે ઠીક ક્લિક કરો રહ્યા છીએ.

147
00:09:39,670 --> 00:09:42,260
>> આ સાદા પરવાનગી મોડેલ છે

148
00:09:42,260 --> 00:09:45,890
અને એપ્લિકેશન્સ તેઓ જાહેર કરે છે મેનિફેસ્ટ ફાઇલનો હોય છે

149
00:09:45,890 --> 00:09:49,410
, પરવાનગીઓ તેઓ જરૂર છે, અને તે વપરાશકર્તા માટે દર્શાવવામાં આવશે

150
00:09:49,410 --> 00:09:53,480
અને વપરાશકર્તા હું આ મંજૂરી આપવા કહે છે પડશે.

151
00:09:53,480 --> 00:09:55,080
પરંતુ પ્રમાણિક પ્રયત્ન કરીએ.

152
00:09:55,080 --> 00:09:58,400
વપરાશકર્તાઓ માત્ર હંમેશા ઠીક કહી જતા હોય છે.

153
00:09:58,400 --> 00:10:04,460
માતાનો આ એપ્લિકેશન્સ માટે પૂછે છે કે પરવાનગીઓ પર એક ઝડપી નજર

154
00:10:04,460 --> 00:10:06,850
અને છે કે પરવાનગીઓ અમુક છે.

155
00:10:06,850 --> 00:10:09,950
આ કંપની પ્રેટોરીયન ગયા વર્ષે સર્વેક્ષણ કર્યું

156
00:10:09,950 --> 00:10:14,170
Android બજાર અને 3 જી પાર્ટી બજારોમાં વિશ્લેષણ 53,000 કાર્યક્રમો,

157
00:10:14,170 --> 00:10:16,770
તેથી આ બધા Android છે.

158
00:10:16,770 --> 00:10:19,670
અને સરેરાશ એપ્લિકેશન 3 પરવાનગીઓ વિનંતી કરી.

159
00:10:19,670 --> 00:10:23,370
કેટલીક એપ્લિકેશન્સ 117 પરવાનગીઓ વિનંતી,

160
00:10:23,370 --> 00:10:27,480
તેથી સ્વાભાવિક રીતે આ સમજવા માટે વપરાશકર્તા માટે દાણાદાર અને રસ્તો ખૂબ જટિલ ખૂબ જ સુંદર છે

161
00:10:27,480 --> 00:10:31,600
તેઓ આ 117 પરવાનગીઓ જરૂરી છે કે આ એપ્લિકેશન સાથે રજૂ કરી રહ્યાં છો.

162
00:10:31,600 --> 00:10:37,270
તે 45 પૃષ્ઠો લાંબો છે કે અંતિમ વપરાશકર્તા લાઈસન્સ મંજૂરીપત્ર જેવું છે.

163
00:10:37,270 --> 00:10:40,240
કદાચ ટૂંક સમયમાં તેઓ તે જેવું છે જ્યાં એક વિકલ્પ પડશે

164
00:10:40,240 --> 00:10:43,100
પરવાનગીઓ છાપો અને મને ઇમેઇલ મોકલો.

165
00:10:43,100 --> 00:10:45,480
>> પરંતુ તમે ઉપરની રસપ્રદ પરવાનગીઓ કેટલાક જોવા તો

166
00:10:45,480 --> 00:10:50,840
તેઓ 53,000 બહાર ડાઉનલોડ કે એપ્લિકેશન્સ 24%

167
00:10:50,840 --> 00:10:57,230
ઉપકરણ માંથી વિનંતી જીપીએસ જાણકારી.

168
00:10:57,230 --> 00:10:59,810
8% સંપર્કો વાંચો.

169
00:10:59,810 --> 00:11:03,770
4% એસએમએસ મોકલવામાં, અને 3% એસએમએસ પ્રાપ્ત થઈ છે.

170
00:11:03,770 --> 00:11:07,730
2% ઓડિયો રેકોર્ડ.

171
00:11:07,730 --> 00:11:11,210
1% આઉટગોઇંગ કોલ્સ પ્રક્રિયા.

172
00:11:11,210 --> 00:11:13,140
મને ખબર નથી.

173
00:11:13,140 --> 00:11:17,520
હું એપ્લિકેશન સ્ટોર માં એપ્લિકેશન્સ 4% ખરેખર એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવાની જરૂર નથી લાગતું

174
00:11:17,520 --> 00:11:21,410
તેથી હું કમનસીબ કંઈક પર ચાલે છે કે એક સંકેત છે લાગે છે.

175
00:11:21,410 --> 00:11:24,350
એપ્લિકેશંસ 8% તમારા સંપર્કો યાદી પણ વાંચી કરવાની જરૂર છે.

176
00:11:24,350 --> 00:11:26,510
તે કદાચ જરૂરી નથી.

177
00:11:26,510 --> 00:11:30,990
પરવાનગીઓ વિશે અન્ય રસપ્રદ વસ્તુઓ છે કે છે

178
00:11:30,990 --> 00:11:36,740
તમે કાર્યક્રમમાં માં વહેંચાયેલ લાઈબ્રેરીઓમાં લિંક જો

179
00:11:36,740 --> 00:11:39,780
તે અરજી ની પરવાનગીઓ બોલાવે,

180
00:11:39,780 --> 00:11:46,570
તેથી તમારા એપ્લિકેશન સંપર્ક સૂચિ જરૂર અથવા કામ કરવા માટે જીપીએસ સ્થાન જરૂર છે કે નહી

181
00:11:46,570 --> 00:11:49,940
અને તમે દાખલા તરીકે, જાહેરાત પુસ્તકાલય લિંક,

182
00:11:49,940 --> 00:11:53,170
તે જાહેરાત પુસ્તકાલય પણ સંપર્કો ઍક્સેસ કરવા માટે સક્ષમ હશે

183
00:11:53,170 --> 00:11:57,630
અને એ પણ જીપીએસ સ્થાન વાપરવા માટે સમર્થ હોય છે,

184
00:11:57,630 --> 00:12:01,990
અને એપ્લિકેશન વિકાસકર્તા જાહેરાત પુસ્તકાલય ચાલી રહ્યો છે તે કોડ વિશે કંઇ જાણે છે.

185
00:12:01,990 --> 00:12:05,370
તેઓ તેમના એપ્લિકેશન મુદ્રીકરણ કરવા માંગો છો કારણ કે તેઓ માત્ર કે લિંક કરી રહ્યાં છો.

186
00:12:05,370 --> 00:12:09,820
>> કયાં અને હું સાથે આ કેટલાક ઉદાહરણો વિશે વાત કરીશું

187
00:12:09,820 --> 00:12:13,930
પાન્ડોરા નામની એક એપ્લિકેશન જ્યાં એપ્લિકેશન વિકાસકર્તા

188
00:12:13,930 --> 00:12:18,910
અજાણતા માહિતી લીક થઈ શકે છે

189
00:12:18,910 --> 00:12:24,580
તેમના વપરાશકર્તાઓ તરફથી કારણ કે તેઓ સાઇન કડી થયેલ છે લાઈબ્રેરીઓનો

190
00:12:24,580 --> 00:12:30,110
તમામ વિવિધ એપ્લિકેશન્સ જોઈ, ત્યાં લેન્ડસ્કેપ સરવે

191
00:12:30,110 --> 00:12:34,310
દૂષિત અથવા કરી કંઈક વપરાશકર્તાઓ નહિં માંગો હતી, કારણ કે સમાચાર માં જાણ કરવામાં આવેલ

192
00:12:34,310 --> 00:12:39,360
અને પછી ઘણો નિરીક્ષણ એપ્લિકેશન્સ-અમે મોબાઇલ એપ્લિકેશન્સ પર સ્થિર દ્વિસંગી વિશ્લેષણ રમું છું

193
00:12:39,360 --> 00:12:42,010
તેથી અમે તેમને પરીક્ષણ અને કોડ પર ધ્યાન આપવામાં આવે છે પોતે-

194
00:12:42,010 --> 00:12:49,640
આપણે કાર્યક્રમોમાં જોખમી વર્તન અમારા ટોચના 10 યાદી ફોન સાથે આવ્યા હતા.

195
00:12:49,640 --> 00:12:54,180
અને તે 2 વિભાગો, દૂષિત કોડ તૂટી ગયેલ છે

196
00:12:54,180 --> 00:12:57,600
તેથી આ એપ્લિકેશન્સ કરી છે કે જે કદાચ ખરાબ વસ્તુઓ છે કે

197
00:12:57,600 --> 00:13:06,520
કે દૂષિત વ્યક્તિગત કંઈક હોઈ શકે છે

198
00:13:06,520 --> 00:13:10,060
ખાસ અરજી મૂકી છે, પરંતુ તે થોડો ઝાંખું છે છે.

199
00:13:10,060 --> 00:13:13,300
તે ડેવલપર દંડ છે વિચારે છે કે જે કંઈક હોઈ શકે છે

200
00:13:13,300 --> 00:13:16,350
પરંતુ તે વપરાશકર્તા દ્વારા દૂષિત વિચાર આવી રહી અંત થાય છે.

201
00:13:16,350 --> 00:13:19,830
>> અને પછી બીજા વિભાગમાં અમે નબળાઈઓ કોડિંગ કૉલ છે,

202
00:13:19,830 --> 00:13:24,600
અને આ ડેવલપર મૂળભૂત ભૂલો બનાવવા થયેલ છે વસ્તુઓ છે

203
00:13:24,600 --> 00:13:27,200
અથવા માત્ર સુરક્ષિત રીતે એપ્લિકેશન લખવા માટે કેવી રીતે નથી,

204
00:13:27,200 --> 00:13:30,260
 અને તે જોખમ પરની એપ્લિકેશન પર વપરાશકર્તા મૂકી છે.

205
00:13:30,260 --> 00:13:34,060
હું વિગતવાર આ મારફતે જાઓ અને કેટલાક ઉદાહરણો આપી જાઉં છું.

206
00:13:34,060 --> 00:13:39,620
સંદર્ભ માટે, હું OWASP મોબાઇલ ટોચના 10 યાદી છે મૂકવા માગે છે.

207
00:13:39,620 --> 00:13:43,590
આ 10 મુદ્દાઓ છે કે OWASP ખાતે જૂથ,

208
00:13:43,590 --> 00:13:48,900
ઓપન વેબ એપ્લિકેશન સુરક્ષા યોજના, તેઓ એક કામ જૂથ છે

209
00:13:48,900 --> 00:13:50,620
મોબાઇલ ટોચના 10 યાદી પર કામ.

210
00:13:50,620 --> 00:13:54,600
તેઓ ટોચની 10 છે, જે ખૂબ જ પ્રખ્યાત વેબ ટોચના 10 યાદી, છે

211
00:13:54,600 --> 00:13:57,180
riskiest વસ્તુઓ તમે વેબ કાર્યક્રમમાં કરી શકે છે.

212
00:13:57,180 --> 00:13:59,090
તેઓ મોબાઇલ માટે આ જ વાત કરી રહ્યા છીએ,

213
00:13:59,090 --> 00:14:01,750
અને તેમની યાદી અવર્સ કરતાં થોડું અલગ છે.

214
00:14:01,750 --> 00:14:03,670
10 બહાર 6 જ છે.

215
00:14:03,670 --> 00:14:06,020
તેઓ અલગ અલગ છે 4 છે.

216
00:14:06,020 --> 00:14:10,550
હું તેઓ પર વિવિધ લઇ એક થોડો છે લાગે છે

217
00:14:10,550 --> 00:14:14,490
મોબાઇલ એપ્લિકેશન્સ માં જોખમ છે તેમના મુદ્દાઓ ઘણો

218
00:14:14,490 --> 00:14:20,490
ખરેખર અરજી બેક એન્ડ સર્વર સાથે વાતચીત છે કેવી રીતે

219
00:14:20,490 --> 00:14:23,100
અથવા શું બેક સર્વર પર ચાલી રહ્યું છે,

220
00:14:23,100 --> 00:14:29,220
માત્ર સરળ ક્લાઈન્ટ એપ્લિકેશન્સ છે કે જોખમી વર્તન હોય છે ખૂબ જ કે એપ્લિકેશન્સ.

221
00:14:29,220 --> 00:14:36,640
>> અહીં લાલ આ મુદ્દાઓ 2 યાદીઓ વચ્ચે તફાવત છે.

222
00:14:36,640 --> 00:14:40,740
અને મારા સંશોધન ટીમ કેટલાક ખરેખર આ પ્રોજેક્ટ માટે ફાળો આપ્યો છે,

223
00:14:40,740 --> 00:14:44,570
તેથી અમે સમય પર થાય છે તે દેખાશે, પણ હું અહીં takeaway છે

224
00:14:44,570 --> 00:14:47,550
અમે ખરેખર ટોચની 10 યાદીમાં મોબાઇલ એપ્લિકેશન્સ છે તે ખબર નથી કારણ કે

225
00:14:47,550 --> 00:14:50,510
તેઓ ખરેખર માત્ર હવે 2 અથવા 3 વર્ષ માટે આસપાસ કરવામાં આવી છે

226
00:14:50,510 --> 00:14:57,750
અને ખરેખર ઓપરેટિંગ સિસ્ટમો સંશોધન માટે પૂરતો સમય ત્યાં નથી

227
00:14:57,750 --> 00:15:00,450
અને તેઓ શું કરવા માટે સક્ષમ છીએ, અને પર્યાપ્ત સમય નથી

228
00:15:00,450 --> 00:15:06,870
તમે કરશે જો દૂષિત સમુદાય માટે, પૂરતો સમય પસાર કર્યો હોય તેમ

229
00:15:06,870 --> 00:15:12,910
મોબાઇલ એપ્લિકેશન્સ દ્વારા વપરાશકર્તાઓ હુમલો કરવાનો પ્રયાસ કરી છે, તેથી હું આ યાદીઓ થોડો ફેરફાર અપેક્ષા.

230
00:15:12,910 --> 00:15:18,720
પરંતુ હવે માટે, આ ચિંતા ટોચના 10 વસ્તુઓ છે.

231
00:15:18,720 --> 00:15:24,150
તમે મોબાઇલ બાજુ પર આશ્ચર્ય શકે છે જ્યાં કરે દૂષિત મોબાઇલ કોડ-

232
00:15:24,150 --> 00:15:28,880
કેવી રીતે તે ઉપકરણ પર વિચાર કરે છે?

233
00:15:28,880 --> 00:15:35,210
ઉત્તર કેરોલિના રાજ્ય મોબાઇલ મૉલવેર વંશસૂત્ર પ્રોજેક્ટ કહેવાય પ્રોજેક્ટ છે

234
00:15:35,210 --> 00:15:39,520
જ્યાં તેઓ તેઓ કરી શકે છે એટલું મોબાઇલ મૉલવેર એકઠી કરે છે અને તે વિશ્લેષણ કરવામાં આવે છે

235
00:15:39,520 --> 00:15:45,270
અને તેઓ મોબાઇલ મૉલવેર વાપરે છે ઈન્જેક્શન વેક્ટર્સ ભાંગી છે

236
00:15:45,270 --> 00:15:51,490
અને 86%, પુનઃરચના કહેવાય ટેકનિકનો ઉપયોગ

237
00:15:51,490 --> 00:15:54,160
અને આ, Android પ્લેટફોર્મ પર જ છે

238
00:15:54,160 --> 00:15:56,720
તમે ખરેખર આ પુનઃરચના કરી શકો છો.

239
00:15:56,720 --> 00:16:03,100
>> કારણ, Android કોડ સાથે બનેલ છે છે

240
00:16:03,100 --> 00:16:08,130
સરળતાથી decompilable છે Dalvik કહેવાય જાવા બાઇટ કોડ.

241
00:16:08,130 --> 00:16:12,460
શું ખરાબ વ્યક્તિ કરી શકે છે

242
00:16:12,460 --> 00:16:16,590
, Android એપ્લિકેશન લે છે, તે decompile,

243
00:16:16,590 --> 00:16:20,120
તેમના દૂષિત કોડ દાખલ કરો, તેને પુનઃકમ્પાઈલ,

244
00:16:20,120 --> 00:16:28,070
અને પછી તે કાર્યક્રમની નવી આવૃત્તિ હોઈ આશયથી એપ્લિકેશન સ્ટોર તે મૂકવામાં,

245
00:16:28,070 --> 00:16:30,330
અથવા માત્ર કદાચ અરજી ના નામ બદલીને.

246
00:16:30,330 --> 00:16:35,140
તે રમત અમુક પ્રકારની હતી, સહેજ નામ બદલવા

247
00:16:35,140 --> 00:16:42,860
અને તેથી આ પુનઃરચના મોબાઇલ મૉલવેર 86% વિતરિત નહીં કેવી રીતે છે.

248
00:16:42,860 --> 00:16:45,810
જે અન્ય ટેકનિક કહેવાય સુધારો છે

249
00:16:45,810 --> 00:16:50,030
પુનઃરચના ખૂબ સમાન છે, પરંતુ તમે ખરેખર સાઇન દૂષિત કોડ મૂકી નથી

250
00:16:50,030 --> 00:16:52,870
તમે શું તમે નાના સુધારા પદ્ધતિ મૂકવા છે.

251
00:16:52,870 --> 00:16:56,660
તમે decompile, તમે સુધારો પદ્ધતિ મૂકવા, અને તમે તેને પુનઃકમ્પાઈલ,

252
00:16:56,660 --> 00:17:02,360
અને પછી એપ્લિકેશન તે ઉપકરણ પર મૉલવેર નીચે બનાવ્યા ચાલી રહ્યું છે.

253
00:17:02,360 --> 00:17:06,300
>> અત્યાર ભાગના તે 2 તરકીબો છે.

254
00:17:06,300 --> 00:17:12,710
મોબાઇલ પર ખરેખર ખૂબ ડાઉનલોડ ડ્રાઈવ-bys અથવા ડ્રાઇવ દ્વારા ડાઉનલોડ્સ, નથી

255
00:17:12,710 --> 00:17:15,890
ફિશિંગ હુમલો જેવા છે જે.

256
00:17:15,890 --> 00:17:18,200
અરે, આ ખરેખર ઠંડી વેબસાઇટ તપાસો

257
00:17:18,200 --> 00:17:21,020
અથવા જો તમે આ વેબસાઇટ પર જાઓ અને આ ફોર્મ ભરવા માટે જરૂર છે

258
00:17:21,020 --> 00:17:24,420
આવું ચાલુ રાખો.

259
00:17:24,420 --> 00:17:26,230
તે હુમલા ફિશીંગ છે.

260
00:17:26,230 --> 00:17:28,160
આ જ વાત મોબાઇલ પ્લેટફોર્મ પર થાય છે જ્યાં તેઓ

261
00:17:28,160 --> 00:17:33,830
, ડાઉનલોડ કહે છે મોબાઇલ એપ્લિકેશન માટે નિર્દેશ "હાય, આ બેન્ક ઓફ અમેરિકા છે."

262
00:17:33,830 --> 00:17:36,070
"અમે તમને આ એપ્લિકેશન ઉપયોગ કરી રહ્યાં છો જુઓ."

263
00:17:36,070 --> 00:17:38,540
"તમે આ અન્ય એપ્લિકેશન ડાઉનલોડ કરી શકો."

264
00:17:38,540 --> 00:17:41,170
થીયરી પ્રમાણે, જો તે કામ કરી શકે છે.

265
00:17:41,170 --> 00:17:48,610
કદાચ તે હમણાં જ તે સફળ છે કે નહીં તે નક્કી કરવા માટે પૂરતી ઉપયોગ કરવામાં આવી રહ્યો નથી

266
00:17:48,610 --> 00:17:51,680
પરંતુ તેઓ સમય કે ટેકનિક ઓછી 1% વપરાય છે છે.

267
00:17:51,680 --> 00:17:56,130
આ સમય મોટા ભાગના તે ખરેખર એક repackaged કોડ છે.

268
00:17:56,130 --> 00:17:58,710
>> અન્ય શ્રેણી કહેવાય એકલ છે

269
00:17:58,710 --> 00:18:01,420
કોઈને માત્ર એકદમ નવી અરજી બનાવે છે.

270
00:18:01,420 --> 00:18:04,020
તેઓ કંઈક હોઈ purports કે એક એપ્લિકેશન બનાવી.

271
00:18:04,020 --> 00:18:07,360
તે કંઈક બીજું એક પુનઃરચના નથી, અને તે દૂષિત કોડ છે.

272
00:18:07,360 --> 00:18:11,230
તે વખતે 14% માટે વપરાય છે.

273
00:18:11,230 --> 00:18:17,880
હવે હું દૂષિત કોડ શું કરી છે તે વિશે વાત કરવા માંગો છો?

274
00:18:17,880 --> 00:18:23,070
ત્યાં પ્રથમ મૉલવેર એક

275
00:18:23,070 --> 00:18:25,490
તમે સ્પાયવેર કરી શકીએ.

276
00:18:25,490 --> 00:18:27,620
તે વાસ્તવમાં વપરાશકર્તા પર સ્પાઇઝને.

277
00:18:27,620 --> 00:18:30,470
ઈમેઈલો, એસએમએસ સંદેશાઓ એકત્રિત કરે છે.

278
00:18:30,470 --> 00:18:32,340
તે માઇક્રોફોન ચાલુ કરે છે.

279
00:18:32,340 --> 00:18:37,330
તે સંપર્ક પુસ્તક પાક છે, અને તે અન્ય કોઈને તેને મોકલે છે.

280
00:18:37,330 --> 00:18:40,870
સ્પાયવેર આ પ્રકારની પીસી પર અસ્તિત્વ ધરાવે છે,

281
00:18:40,870 --> 00:18:46,200
લોકો મોબાઇલ ઉપકરણો પર આ કરવા માટે પ્રયાસ માટે તેથી તે સંપૂર્ણ અર્થમાં બનાવે છે.

282
00:18:46,200 --> 00:18:53,230
>> આ પ્રથમ ઉદાહરણો છે ગુપ્ત એસએમએસ Replicator નામના પ્રોગ્રામ હતો.

283
00:18:53,230 --> 00:18:56,250
તે વર્ષ દંપતી પહેલાં, Android બજાર હતો

284
00:18:56,250 --> 00:18:59,960
તમે કોઈની Android ફોન ઍક્સેસ હતી અને જો આ વિચાર હતો

285
00:18:59,960 --> 00:19:03,450
તમે પર જાસૂસ માગતા હતા, તેથી કદાચ તે તમારા પતિ કે

286
00:19:03,450 --> 00:19:07,600
અથવા તમારા અન્ય નોંધપાત્ર અને તમે તેમના ટેક્સ્ટ મેસેજિંગ પર જાસૂસ કરવા માંગો છો,

287
00:19:07,600 --> 00:19:11,200
તમે આ એપ્લિકેશન ડાઉનલોડ કરો અને તેને સ્થાપિત અને તે રૂપરેખાંકિત કરી શકે છે

288
00:19:11,200 --> 00:19:16,540
નકલ સાથે તમને એક એસએમએસ ટેક્સ્ટ મેસેજ મોકલવા માટે

289
00:19:16,540 --> 00:19:21,710
દરેક એસએમએસ ટેક્સ્ટ મેસેજ તેઓ જાય છે.

290
00:19:21,710 --> 00:19:27,220
આ સ્પષ્ટપણે, સેવા ની એપ સ્ટોર શરતો ઉલ્લંઘન છે

291
00:19:27,220 --> 00:19:32,040
અને આ તે ત્યાં છે 18 કલાકની અંદર, Android બજારથી દૂર કરવામાં આવી હતી

292
00:19:32,040 --> 00:19:36,760
તેથી લોકો ખૂબ ઓછી સંખ્યામાં આ કારણે જોખમ હતા.

293
00:19:36,760 --> 00:19:42,510
હવે, મને લાગે છે કે આ કાર્યક્રમ કંઈક કદાચ થોડા ઓછા ઉત્તેજક તરીકે ઓળખાતું હતું, જો

294
00:19:42,510 --> 00:19:48,690
ગુપ્ત એસએમએસ Replicator જેમ તે કદાચ પુષ્કળ સારું કામ કર્યું હશે.

295
00:19:48,690 --> 00:19:52,870
પરંતુ તે પ્રકારની સ્પષ્ટ દેખાતી હતી.

296
00:19:52,870 --> 00:19:58,680
>> અમે એપ્લિકેશન્સ અમે નથી માંગતા કે આ વર્તન હોય છે તે નક્કી કરવા માટે કરી શકો છો એક વસ્તુઓ

297
00:19:58,680 --> 00:20:01,410
FIPS એ તપાસ કરવી છે.

298
00:20:01,410 --> 00:20:06,250
આ વાસ્તવમાં અમે એપ્લિકેશન્સ સેવાઓ અથવા સૉફ્ટવેરને ડિકમ્પાઇલ શકે છે, Android પર શું ખરેખર સરળ છે.

299
00:20:06,250 --> 00:20:11,050
IOS પર તમે આઇડીએ પ્રો જેવા disassembler ઉપયોગ કરી શકો છો

300
00:20:11,050 --> 00:20:17,190
એપ્લિકેશન કૉલ કરે છે અને તે શું કરી રહ્યો છે API નો શું જોવાનું છે.

301
00:20:17,190 --> 00:20:20,680
અમે અમારા કોડ માટે આપણા પોતાના દ્વિસંગી સ્થિર વિશ્લેષક લખ્યું

302
00:20:20,680 --> 00:20:24,940
અને અમે આ કરવા માટે, અને તેથી તમે કરી શકે શું તમે કહી શકે છે

303
00:20:24,940 --> 00:20:30,490
ઉપકરણ મૂળભૂત રીતે મારા પર જાસૂસી અથવા મને ટ્રૅક કરી રહ્યું છે જે કંઇ થાય છે?

304
00:20:30,490 --> 00:20:33,360
અને હું અહીં આઇફોન પર કેટલાક ઉદાહરણો છે.

305
00:20:33,360 --> 00:20:41,440
આ પ્રથમ ઉદાહરણ ફોન પર UUID કેવી રીતે વાપરવા માટે છે.

306
00:20:41,440 --> 00:20:47,060
આ વાસ્તવમાં એપલ માત્ર નવા કાર્યક્રમો માટે પ્રતિબંધિત છે કે કંઈક છે,

307
00:20:47,060 --> 00:20:52,540
પરંતુ તમે તમારા ફોન પર ચાલી શકે છે જૂના કાર્યક્રમો હજુ પણ આ કરી શકો છો,

308
00:20:52,540 --> 00:20:56,500
અને તેથી તે અનન્ય ઓળખકર્તા તમે ટ્રૅક કરવા માટે વાપરી શકાય છે

309
00:20:56,500 --> 00:21:00,440
ઘણાં વિવિધ કાર્યક્રમો સમગ્ર.

310
00:21:00,440 --> 00:21:07,180
>> આ, Android પર, હું અહીં ઉપકરણ સ્થાન મેળવવાની એક ઉદાહરણ છે.

311
00:21:07,180 --> 00:21:10,310
તમે કે API ને કૉલ છે કે જો એપ્લિકેશન ટ્રૅક કરી રહ્યું છે તે જોઈ શકે છે

312
00:21:10,310 --> 00:21:15,000
અને તમે તેને દંડ સ્થાન અથવા બરછટ પાંચ મેળવવામાં છે કે શું જોઈ શકો છો.

313
00:21:15,000 --> 00:21:18,860
અને પછી અહીં નીચે, હું બ્લેકબેરી પર કેવી રીતે એક ઉદાહરણ છે

314
00:21:18,860 --> 00:21:25,130
અરજી તમારા ઇનબૉક્સમાં ઇમેઇલ ને એક્સેસ કરી શકે છે.

315
00:21:25,130 --> 00:21:27,660
આ તમે જોવા માટે તપાસ કરી શકો છો વસ્તુઓ જે પ્રકારનું છે

316
00:21:27,660 --> 00:21:32,360
એપ્લિકેશન તે વસ્તુઓ કરી છે તો.

317
00:21:32,360 --> 00:21:38,320
બીજા મોટા દૂષિત વર્તન શ્રેણી, અને આ હવે કદાચ સૌથી મોટી શ્રેણી છે,

318
00:21:38,320 --> 00:21:43,950
છે અનધિકૃત ડાયલીંગ, અનધિકૃત પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ

319
00:21:43,950 --> 00:21:46,080
અથવા અનધિકૃત ચૂકવણી.

320
00:21:46,080 --> 00:21:48,930
ફોન વિશે અનન્ય છે અન્ય વસ્તુ

321
00:21:48,930 --> 00:21:52,700
ઉપકરણ એક બિલિંગ એકાઉન્ટ જોડાયેલ છે છે,

322
00:21:52,700 --> 00:21:55,960
અને પ્રવૃત્તિઓ માટે ફોન પર થાય ત્યારે

323
00:21:55,960 --> 00:21:58,510
તે ખર્ચ બનાવી શકો છો.

324
00:21:58,510 --> 00:22:00,700
તમે ફોન પર વસ્તુઓ ખરીદી શકો છો,

325
00:22:00,700 --> 00:22:04,390
તમે પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મોકલી અને જ્યારે તમે ખરેખર નાણાં આપીને કરી રહ્યાં છો

326
00:22:04,390 --> 00:22:11,590
બીજી બાજુ પર ફોન નંબર ના એકાઉન્ટ ધારક છે.

327
00:22:11,590 --> 00:22:17,420
આ સ્ટોક ક્વોટ્સ વિચાર અથવા તમારા દૈનિક જન્માક્ષર અથવા અન્ય વસ્તુઓ મેળવવા માટે સુયોજિત કરવામાં આવી હતી,

328
00:22:17,420 --> 00:22:21,680
પરંતુ તેઓ એક SMS લખાણ મોકલીને એક પેદાશ કાયદો કરવા માટે સેટ કરી શકાય છે.

329
00:22:21,680 --> 00:22:26,970
લોકો ટેક્સ્ટ મેસેજ મોકલીને રેડ ક્રોસ માટે પૈસા આપે છે.

330
00:22:26,970 --> 00:22:30,650
તમે $ 10 તે રીતે આપી શકે છે.

331
00:22:30,650 --> 00:22:34,190
>> તેઓ કંઇ કર્યું છે તે આ હુમલાખોરો, તેઓ સુયોજિત છે

332
00:22:34,190 --> 00:22:38,750
વિદેશમાં એકાઉન્ટ્સ, અને તેઓ મૉલવેર એમ્બેડ

333
00:22:38,750 --> 00:22:42,840
ફોન પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મોકલી કરશે,

334
00:22:42,840 --> 00:22:47,700
થોડા વખત, અને તમે ખર્ચ્યા કર્યા છે તમે ખ્યાલ મહિનાના અંતે, કહે છે

335
00:22:47,700 --> 00:22:52,090
દસ અથવા કદાચ ડોલર પણ સેંકડો, અને તેઓ નાણાં સાથે દૂર જવામાં.

336
00:22:52,090 --> 00:22:57,280
આ, આ ખૂબ જ પ્રથમ બાબત હતી કે જેથી ખરાબ થઈ જાય છે કે, Android

337
00:22:57,280 --> 00:23:00,760
બજાર અથવા Google સ્થાન-તે સમયે, Android બજાર હતું

338
00:23:00,760 --> 00:23:04,430
અને તે Google પ્લે-ગૂગલ માટે તપાસ શરૂ કરી છે કે પ્રથમ વસ્તુ હવે છે.

339
00:23:04,430 --> 00:23:08,700
Google તેમના એપ્લિકેશન સ્ટોર Android એપ્લિકેશન્સ વિતરણ શરૂ થયું ત્યારે

340
00:23:08,700 --> 00:23:11,350
તેઓ કંઈપણ તપાસ રહ્યું નથી આવ્યા હતા.

341
00:23:11,350 --> 00:23:15,630
અમે તેઓ અમારી સેવાની શરતો ભાંગી છે જાણ કરવામાં આવી છે એક વાર અમે એપ્લિકેશન્સ ખેંચવાનો પડશે,

342
00:23:15,630 --> 00:23:17,520
પરંતુ આપણે કંઈ માટે ચકાસવા માટે જઈ રહ્યાં છો.

343
00:23:17,520 --> 00:23:24,350
ઠીક છે, લગભગ એક વર્ષ પહેલા તે આ પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મૉલવેર સાથે જેથી ખરાબ થઈ જાય છે

344
00:23:24,350 --> 00:23:28,030
આ માટે તેઓ ચકાસણી શરૂ ખૂબ જ પ્રથમ વસ્તુ છે.

345
00:23:28,030 --> 00:23:31,770
એક એપ્લિકેશન એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલી શકો છો જો

346
00:23:31,770 --> 00:23:34,750
તેઓ વધુ જાતે કે અરજી ચકાસણી કરવી.

347
00:23:34,750 --> 00:23:38,770
તેઓ આ તરીકે ઓળખાવવામાં આવતી API માટે જુઓ,

348
00:23:38,770 --> 00:23:40,580
અને હવે ત્યારથી ગૂગલ વધારો કર્યો છે,

349
00:23:40,580 --> 00:23:46,900
પરંતુ આ તેઓ શોધી શરૂ કરે છે તે પ્રથમ બાબત હતી.

350
00:23:46,900 --> 00:23:50,690
>> કેટલાક એસએમએસ ટેક્સ્ટ સંદેશાઓ હતી કે કેટલાક અન્ય એપ્લિકેશંસ,

351
00:23:50,690 --> 00:23:56,980
આ, Android Qicsomos, હું તે કહે છે ધારી.

352
00:23:56,980 --> 00:24:02,670
આ CarrierIQ બહાર આવી છે મોબાઇલ પર આ વર્તમાન ઘટના હતી

353
00:24:02,670 --> 00:24:07,720
તરીકે સ્પાયવેર, પાંચ વિમાનો દ્વારા ઉપકરણ પર મૂકી

354
00:24:07,720 --> 00:24:10,820
જેથી લોકો તેમના ફોન આ માટે સંવેદનશીલ હોય તો જાણવા માગે છે

355
00:24:10,820 --> 00:24:13,890
અને આ કે પરીક્ષણ કે મફત એપ્લિકેશન હતી.

356
00:24:13,890 --> 00:24:17,520
ઠીક છે, અલબત્ત, આ એપ્લિકેશન હતી, તે પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવામાં

357
00:24:17,520 --> 00:24:20,090
જેથી તમે સ્પાયવેર ચેપ રહ્યાં છો તે જોવા માટે પરીક્ષણ દ્વારા

358
00:24:20,090 --> 00:24:24,930
તમે તમારા ઉપકરણ પર મૉલવેર લોડ.

359
00:24:24,930 --> 00:24:27,310
અમે આ જ વાત છેલ્લા સુપર બાઉલ ખાતે થાય જોવા મળી હતી.

360
00:24:27,310 --> 00:24:33,180
પાંચ મેડન ફૂટબોલ રમત એક બનાવટી આવૃત્તિ હતી

361
00:24:33,180 --> 00:24:38,320
કે પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવામાં આવે છે.

362
00:24:38,320 --> 00:24:45,750
તે ખરેખર ઉપકરણ પર પણ એક બોટ નેટવર્ક બનાવવા માટે પ્રયાસ કર્યો હતો.

363
00:24:45,750 --> 00:24:48,090
અહીં હું કેટલાક ઉદાહરણો છે.

364
00:24:48,090 --> 00:24:52,640
રસપ્રદ પૂરતી, એપલ, ખૂબ સરસ હતી

365
00:24:52,640 --> 00:24:58,470
અને તેઓ કાર્યક્રમો બધા એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવા માટે મંજૂરી આપતા નથી.

366
00:24:58,470 --> 00:25:00,350
કોઈ એપ્લિકેશન કરી શકો છો.

367
00:25:00,350 --> 00:25:03,530
કે નબળાઈ સમગ્ર વર્ગ છૂટકારો મેળવવા એક મહાન માર્ગ છે,

368
00:25:03,530 --> 00:25:09,040
પરંતુ, Android પર તમે તે કરી શકો છો, અને અલબત્ત, બ્લેકબેરી પર તમે પણ કરી શકો છો.

369
00:25:09,040 --> 00:25:13,060
તે બ્લેકબેરી પર તમે જરૂર ઇન્ટરનેટ પરવાનગીઓ કે રસપ્રદ છે

370
00:25:13,060 --> 00:25:18,370
એક SMS ટેક્સ્ટ સંદેશ મોકલ્યો છે.

371
00:25:18,370 --> 00:25:21,580
>> અમે જોવા ખરેખર છે કે અન્ય વસ્તુ

372
00:25:21,580 --> 00:25:24,780
અમે કંઈક દૂષિત છે તે જોવા માટે શોધી રહ્યા છો ત્યારે તો કોઈપણ પ્રકારની છે

373
00:25:24,780 --> 00:25:28,100
અનધિકૃત નેટવર્ક ક્રિયા, જેવા નેટવર્ક ક્રિયા જોવા

374
00:25:28,100 --> 00:25:31,570
એપ્લિકેશન તેની કાર્યક્ષમતા હોય છે તેવું માનવામાં આવે છે,

375
00:25:31,570 --> 00:25:35,380
અને આ અન્ય નેટવર્ક ક્રિયા જુઓ.

376
00:25:35,380 --> 00:25:43,380
કદાચ કામ માટે એક એપ્લિકેશન, HTTP ઉપર માહિતી મળી છે,

377
00:25:43,380 --> 00:25:47,500
પરંતુ તે ઇમેઇલ અથવા SMS અથવા બ્લૂટૂથ અથવા તે કંઈક પર વસ્તુઓ કરી છે જો

378
00:25:47,500 --> 00:25:52,890
હવે એપ્લિકેશન સંભવિત દૂષિત હોઈ શકે છે, તેથી આ તમારા માટે તપાસ કરી શકે છે અન્ય વસ્તુ છે.

379
00:25:52,890 --> 00:26:00,430
અને અહીં આ સ્લાઈડ પર હું કે કેટલાક ઉદાહરણો છે.

380
00:26:00,430 --> 00:26:05,950
અમે મૉલવેર સાથે જોવા મળી હતી બીજી એક રસપ્રદ વાત, 2009 માં થયું

381
00:26:05,950 --> 00:26:07,600
અને તે મોટા પાયે થાય છે.

382
00:26:07,600 --> 00:26:11,390
તે ત્યારથી ખૂબ જ થયું છે તો મને ખબર નથી, પરંતુ તે એક એપ્લિકેશન હતી

383
00:26:11,390 --> 00:26:15,140
કે બીજા કાર્યક્રમ સ્વાંગ રચી.

384
00:26:15,140 --> 00:26:21,700
ત્યાં એપ્લિકેશન્સ સમૂહ હતી, અને તે 09Droid હુમલો ડબ કરવામાં આવી હતી

385
00:26:21,700 --> 00:26:29,770
અને કોઈ નાના, પ્રાદેશિક, મિડસાઇઝ બેન્કો ઘણો હતા નક્કી કર્યું કે

386
00:26:29,770 --> 00:26:32,260
ઓનલાઇન બેન્કિંગ કાર્યક્રમો ન હતી કે,

387
00:26:32,260 --> 00:26:36,870
તેથી તેઓએ શું કર્યું કે તેઓ આશરે 50 ઓનલાઇન બેન્કિંગ કાર્યક્રમો બાંધવામાં હતી

388
00:26:36,870 --> 00:26:39,410
તેઓ બધા વપરાશકર્તા નામ અને પાસવર્ડ લઇ હતી

389
00:26:39,410 --> 00:26:42,190
અને વેબસાઈટ પર તમે પુનઃદિશામાન કરે છે.

390
00:26:42,190 --> 00:26:47,470
અને તેથી તેઓ ગૂગલ બજાર આ બધા મૂકી,

391
00:26:47,470 --> 00:26:51,530
એન્ડ્રોઇડ માર્કેટપ્લેસ, અને કોઈ શોધી જોવા માટે જ્યારે જો તેમના બેંક

392
00:26:51,530 --> 00:26:56,000
, તેઓ બનાવટી અરજી મળશે અરજી હતી

393
00:26:56,000 --> 00:27:01,230
તેમના પ્રમાણપત્રો એકત્ર અને પછી તેમની વેબસાઈટ તેમને રીડાયરેક્ટ છે.

394
00:27:01,230 --> 00:27:06,640
આ ખરેખર છે કે જે રીતે બની હતી ધ એપ્લિકેશન્સ, થોડા અઠવાડિયા માટે હતા

395
00:27:06,640 --> 00:27:09,050
અને ડાઉનલોડ અને હજારો હજારો હતા.

396
00:27:09,050 --> 00:27:12,910
>> આ પ્રકાશમાં આવી રીતે કોઇ સમસ્યા આવી રહી હતી

397
00:27:12,910 --> 00:27:15,740
આ કાર્યક્રમો છે, અને તેઓ તેમના બેંક કહેવાય છે, સાથે

398
00:27:15,740 --> 00:27:18,390
અને તેઓ તેમના બેંક ગ્રાહક આધાર રેખા કહેવામાં આવે છે અને જણાવ્યું હતું કે,

399
00:27:18,390 --> 00:27:21,180
"હું તમારા મોબાઇલ બેન્કિંગ અરજી સાથે સમસ્યા આવી રહી છે."

400
00:27:21,180 --> 00:27:23,460
"તમે મને મદદ કરી શકે છે?"

401
00:27:23,460 --> 00:27:26,540
અને તેઓ "અમે એક મોબાઇલ બેન્કિંગ કાર્યક્રમ નથી." જણાવ્યું હતું કે,

402
00:27:26,540 --> 00:27:28,120
તે તપાસ શરૂ કરી હતી.

403
00:27:28,120 --> 00:27:31,200
, તે બેંક ગૂગલ કહેવાય છે, અને પછી ગૂગલ જોવામાં અને જણાવ્યું હતું કે,

404
00:27:31,200 --> 00:27:37,220
"વાહ, એ જ લેખક, 50 બેન્ક કાર્યક્રમો લખ્યું છે" અને તેમને બધા નીચે લીધો હતો.

405
00:27:37,220 --> 00:27:43,410
પરંતુ ચોક્કસપણે આ ફરી બની શકે છે તેમ.

406
00:27:43,410 --> 00:27:51,790
તમામ વિવિધ બેન્કો યાદી અહીં છે

407
00:27:51,790 --> 00:27:55,870
કે આ કૌભાંડ ભાગ હતા.

408
00:27:55,870 --> 00:28:02,050
એક એપ્લિકેશન કરી શકો છો અન્ય બાબત બીજી અરજી UI એ હાજર છે.

409
00:28:02,050 --> 00:28:06,430
તે ચાલી રહ્યું છે તે ફેસબુક UI એ પોપઅપ શકે છે.

410
00:28:06,430 --> 00:28:09,540
તે તમને ચાલુ રાખવા માટે તમારા વપરાશકર્તા નામ અને પાસવર્ડ માં મૂકવો પડશે કહે છે

411
00:28:09,540 --> 00:28:15,090
અથવા વેબસાઇટ માટે કોઇ વપરાશકર્તા નામ અને પાસવર્ડ UI એ મૂકી

412
00:28:15,090 --> 00:28:18,420
કે કદાચ વપરાશકર્તા વપરાશકર્તા ટ્રીક પ્રયાસ માત્ર વાપરે

413
00:28:18,420 --> 00:28:21,340
સાઇન તેમના ઓળખાણપત્ર મૂકવા માં

414
00:28:21,340 --> 00:28:25,590
આ ખરેખર ઇમેઇલ ફિશીંગ હુમલા એક સીધી સમાંતર છે

415
00:28:25,590 --> 00:28:28,210
કોઈ તમને એક ઇમેઇલ સંદેશ મોકલે છે જ્યાં

416
00:28:28,210 --> 00:28:33,050
અને તમે એક વેબસાઇટ માટે મૂળભૂત રીતે નકલી UI એ આપે છે

417
00:28:33,050 --> 00:28:37,320
તમે વપરાશ હોય છે.

418
00:28:37,320 --> 00:28:41,590
>> અમે દૂષિત કોડ જોવા અન્ય બાબત સિસ્ટમ સુધારો છે.

419
00:28:41,590 --> 00:28:48,160
તમે રુટ વિશેષાધિકાર જરૂરી છે કે જે બધી API કોલોની માટે દેખાય છે

420
00:28:48,160 --> 00:28:50,870
યોગ્ય રીતે ચલાવવા માટે.

421
00:28:50,870 --> 00:28:56,160
ઉપકરણ વેબ પ્રોક્સી બદલવાનું કે અરજી કંઈક હશે

422
00:28:56,160 --> 00:28:59,530
કરવા માટે સમર્થ હોવું જોઈએ નહિં.

423
00:28:59,530 --> 00:29:03,030
પરંતુ અરજી તે કરવા માટે ત્યાં કોડ છે જો

424
00:29:03,030 --> 00:29:05,960
તમે તેને કદાચ મલીન કાર્યક્રમોને ખબર છે કે

425
00:29:05,960 --> 00:29:09,620
અથવા ખૂબ ખૂબ મલીન કાર્યક્રમોને હોઇ શકે,

426
00:29:09,620 --> 00:29:13,910
અને તેથી શું થશે એપ્લિકેશન વિશેષાધિકાર એસ્કેલેટિંગ કેટલાક માર્ગ હોય તેમ બની શકે છે.

427
00:29:13,910 --> 00:29:17,200
કેટલાક અધિકાર એસ્કલેશન શોષણ પાસે હોત

428
00:29:17,200 --> 00:29:20,730
તે વિશેષાધિકારો નિકળ્યા પાંચ એપ્લિકેશન, અને પછી એક વખત

429
00:29:20,730 --> 00:29:23,800
તે આ સિસ્ટમ ફેરફારો કરી શકે છે.

430
00:29:23,800 --> 00:29:28,010
તમે અધિકાર એસ્કલેશન છે મૉલવેર શોધી શકો છો

431
00:29:28,010 --> 00:29:32,550
તે પણ કેવી રીતે અધિકાર એસ્કલેશન જાણ્યા વગર

432
00:29:32,550 --> 00:29:37,960
શોષણ થવાનું છે, અને તે એક સરસ, સરળ રીત છે

433
00:29:37,960 --> 00:29:41,220
મૉલવેર માટે જોવાનું છે.

434
00:29:41,220 --> 00:29:46,030
DroidDream કદાચ, Android મૉલવેર સૌથી પ્રસિદ્ધ ટુકડો હતો.

435
00:29:46,030 --> 00:29:50,530
હું તે થોડા દિવસોમાં વિશે 250,000 વપરાશકર્તાઓ લાગે છે કે અસર

436
00:29:50,530 --> 00:29:52,810
તે મળી આવ્યું હતું તે પહેલાં.

437
00:29:52,810 --> 00:29:56,890
તેઓ 50 બનાવટી કાર્યક્રમો repackaged,

438
00:29:56,890 --> 00:30:00,370
Android એપ્લિકેશન સ્ટોર તેમને મૂકવામાં,

439
00:30:00,370 --> 00:30:10,940
અને મુખ્યત્વે તે વિશેષાધિકારો વધારી, Android Jailbreak કોડ માટે વપરાય

440
00:30:10,940 --> 00:30:16,380
અને પછી આદેશ સ્થાપિત કરવા માટે અને તમામ ભોગ નિયંત્રણ અને ચાલુ

441
00:30:16,380 --> 00:30:20,690
એક બોટ ચોખ્ખી માં છે, પરંતુ તમે આ શોધાયેલ છે શકે

442
00:30:20,690 --> 00:30:24,170
તમે એપ્લિકેશન સ્કેનીંગ અને માત્ર શોધી રહ્યા છો

443
00:30:24,170 --> 00:30:32,230
API જરૂરી રુટ પરવાનગી યોગ્ય રીતે ચલાવવા માટે કે કહે છે.

444
00:30:32,230 --> 00:30:40,150
>> અને હું પ્રોક્સી બદલાતી રહે છે, જે છે અહીં એક ઉદાહરણ છે,

445
00:30:40,150 --> 00:30:46,380
અને આ ખરેખર એ, Android પર જ ઉપલબ્ધ છે.

446
00:30:46,380 --> 00:30:49,070
હું જે Android પર ઉદાહરણો ઘણો આપી રહ્યો છું જોઈ શકો છો

447
00:30:49,070 --> 00:30:53,990
સૌથી વધુ સક્રિય મૉલવેર પર્યાવરણ છે જ્યાં આ છે, કારણ કે

448
00:30:53,990 --> 00:30:58,690
તે દૂષિત કોડ મેળવવા માટે હુમલાખોર માટે ખરેખર સરળ છે કારણ કે

449
00:30:58,690 --> 00:31:01,470
એન્ડ્રોઇડ બજારમાં.

450
00:31:01,470 --> 00:31:06,480
તે એપલ એપ સ્ટોર માં તે કરવા માટે ખૂબ સરળ છે

451
00:31:06,480 --> 00:31:10,250
એપલ પોતાની જાતને ઓળખવા માટે જરૂરી છે કારણ કે વિકાસકર્તાઓ

452
00:31:10,250 --> 00:31:12,790
અને કોડ સાઇન ઇન કરો.

453
00:31:12,790 --> 00:31:20,340
તેઓ ખરેખર તમે કોણ તપાસો, અને એપલ વાસ્તવમાં અરજીઓની ઝીણવટભરી તપાસ કરવામાં આવે છે.

454
00:31:20,340 --> 00:31:27,450
અમે ઉપકરણ સમાધાન મેળવવામાં થયેલ છે સાચા મૉલવેર ઘણો દેખાય નહિં.

455
00:31:27,450 --> 00:31:32,250
હું તે ખરેખર સમાધાન રહ્યું છે કે ગોપનીયતા જ્યાં કેટલાક ઉદાહરણો વિશે વાત કરશે

456
00:31:32,250 --> 00:31:38,460
અને તે ખરેખર એપલ ઉપકરણ પર ચાલી રહ્યું છે તે છે.

457
00:31:38,460 --> 00:31:44,090
દૂષિત કોડ જોવા માટે અન્ય વસ્તુ, ઉપકરણો માં જોખમી કોડ

458
00:31:44,090 --> 00:31:50,300
તર્ક અથવા સમય બોમ્બ છે, અને સમય બોમ્બ કદાચ છે

459
00:31:50,300 --> 00:31:53,370
ખૂબ સરળ તર્ક બોમ્બ કરતાં જોવા માટે.

460
00:31:53,370 --> 00:31:57,030
પરંતુ સમય બોમ્બ સાથે, તમે શું કરી શકો છો તમે જોવા માટે કરી શકો છો

461
00:31:57,030 --> 00:32:04,760
સમય ચકાસાયેલ છે જ્યાં કોડ કે ચોક્કસ સમયમાં સ્થળો જોવામાં આવે છે

462
00:32:04,760 --> 00:32:08,190
એપ્લિકેશન ચોક્કસ વિધેય થાય તે પહેલાં.

463
00:32:08,190 --> 00:32:14,200
અને આ, વપરાશકર્તા કે પ્રવૃત્તિ છુપાવવા માટે થઈ શકે છે

464
00:32:14,200 --> 00:32:17,510
તેથી તે રાત્રે અંતમાં ચાલી રહ્યું છે.

465
00:32:17,510 --> 00:32:24,350
DroidDream 11 PM પર પોસ્ટેડ અને 8 પોસ્ટેડ સ્થાનિક સમય વચ્ચે તેના તમામ પ્રવૃત્તિ હતી

466
00:32:24,350 --> 00:32:30,650
વપરાશકર્તા તેમના ઉપકરણ ઉપયોગ કરી ન શકે, જ્યારે તે કરવા પ્રયાસ કરે છે.

467
00:32:30,650 --> 00:32:38,680
લોકો એક અરજી વર્તણૂક વિશ્લેષણ વાપરી રહ્યા હોય >> આ કરવા માટે અન્ય એક કારણ છે,

468
00:32:38,680 --> 00:32:43,430
, તો કાર્યક્રમ વર્તણૂક છે તે જોવા માટે એક સેન્ડબોક્સ માં એપ્લિકેશન ચાલી

469
00:32:43,430 --> 00:32:51,090
તેઓ આ પ્રવૃત્તિ કરવા સમય આધારિત તર્ક ઉપયોગ કરી શકો છો

470
00:32:51,090 --> 00:32:54,640
એપ્લિકેશન સેન્ડબોક્સ હેઠળ ન હોય ત્યારે.

471
00:32:54,640 --> 00:33:01,520
એપલ જેવા ઉદાહરણ તરીકે, એક એપ્લિકેશન સ્ટોર

472
00:33:01,520 --> 00:33:07,940
અરજી ચાલે છે, પરંતુ તેઓ કદાચ કહે છે, 30 દિવસ માટે દરેક કાર્યક્રમ ચાલે નથી

473
00:33:07,940 --> 00:33:10,550
તે મંજૂરી પહેલાં, જેથી તમે મૂકી શકો છો

474
00:33:10,550 --> 00:33:14,120
ઠીક છે, માત્ર ખરાબ વસ્તુ નથી, જણાવ્યું હતું કે તમારી અરજી તર્ક

475
00:33:14,120 --> 00:33:20,490
30 દિવસ અરજી ના પ્રકાશિત તારીખ પછી 30 દિવસ અથવા પાછળ ગયું છે પછી

476
00:33:20,490 --> 00:33:27,020
અને તે માટે નિરીક્ષણ લોકો દૂષિત કોડ છુપાવો મદદ કરી શકે છે.

477
00:33:27,020 --> 00:33:30,050
એન્ટી વાઈરસ કંપનીઓએ સેન્ડબોક્સોમાંની વસ્તુઓ ચાલી રહ્યું છે

478
00:33:30,050 --> 00:33:36,370
અથવા એપ્લિકેશન દુકાનો પોતાને આ મદદ કરી શકે છે છે

479
00:33:36,370 --> 00:33:39,260
કે નિરીક્ષણ કે છુપાવો.

480
00:33:39,260 --> 00:33:43,020
હવે, કે ના ફ્લિપ બાજુ, તે સ્થિર વિશ્લેષણ સાથે શોધવા માટે સરળ છે છે

481
00:33:43,020 --> 00:33:46,170
તેથી વાસ્તવમાં તમે બધા સ્થળોએ જોવા કરી શકો છો કોડ નિરીક્ષણ

482
00:33:46,170 --> 00:33:54,010
અરજી સમય પરીક્ષણ અને તે રીતે તપાસ કરવી છે.

483
00:33:54,010 --> 00:33:58,850
અને અહીં હું આ 3 વિવિધ પ્લેટફોર્મ પર કેટલાક ઉદાહરણો છે

484
00:33:58,850 --> 00:34:05,640
સમય એપ્લિકેશન નિર્માતા દ્વારા ચકાસણી કરવામાં કેવી રીતે

485
00:34:05,640 --> 00:34:10,520
જેથી કરીને તમે સ્ટેટિક રીતે એપ્લિકેશન નિરીક્ષણ કરી રહ્યાં છો જોવા માટે શું જાણો છો.

486
00:34:10,520 --> 00:34:14,570
>> હું માત્ર અલગ દૂષિત પ્રવૃત્તિઓ સંપૂર્ણ જથ્થો પસાર થયું હતું

487
00:34:14,570 --> 00:34:18,969
અમે જંગલમાં જોવા છે, પરંતુ જે મુદ્દાઓ સૌથી વધુ પ્રચલિત છે?

488
00:34:18,969 --> 00:34:23,940
ઉત્તર કેરોલિના સ્ટેટ મોબાઇલ વંશસૂત્ર પ્રોજેક્ટ કે જ અભ્યાસ

489
00:34:23,940 --> 00:34:28,560
અમુક માહિતી પ્રકાશિત, અને 4 વિસ્તારોમાં મૂળભૂત હતા

490
00:34:28,560 --> 00:34:32,850
પ્રવૃત્તિ ઘણો હતી, જ્યાં તેઓ જોવા મળી હતી.

491
00:34:32,850 --> 00:34:35,370
એપ્લિકેશંસ 37%, અધિકાર એસ્કલેશન કર્યું

492
00:34:35,370 --> 00:34:38,429
જેથી તેઓ ત્યાં Jailbreak કોડ કેટલાક પ્રકારની હતી

493
00:34:38,429 --> 00:34:42,070
તેઓ વિશેષાધિકારો વધારી પ્રયત્ન કર્યો છે જ્યાં તેઓ કરી શકે છે કે જેથી

494
00:34:42,070 --> 00:34:48,360
API માં આદેશો ઓપરેટિંગ સિસ્ટમ તરીકે ચાલી નથી.

495
00:34:48,360 --> 00:34:52,520
એપ્લિકેશંસ 45% બહાર ત્યાં, પ્રીમિયમ એસએમએસ કર્યું

496
00:34:52,520 --> 00:34:57,260
જેથી સીધી મુદ્રીકરણ પ્રયાસ કરી રહી છે કે જે વિશાળ ટકાવારી છે.

497
00:34:57,260 --> 00:35:02,640
93% દૂરસ્થ નિયંત્રણ હતી, તેથી તેઓ એક બોટ નેટ, મોબાઇલ બોટ નેટ સુયોજિત કરવા માટે કર્યો.

498
00:35:02,640 --> 00:35:08,990
અને 45% ઓળખવા માહિતી લણણી

499
00:35:08,990 --> 00:35:16,230
ફોન નંબરો, UUIDs ને, જીપીએસ સ્થાન, વપરાશકર્તા ખાતાઓ, જેમ

500
00:35:16,230 --> 00:35:22,870
સૌથી મૉલવેર આ બધી વસ્તુઓ થોડા કરવા પ્રયત્ન કરે છે, કારણ કે આ 100 થી વધુ સુધી ઉમેરે છે.

501
00:35:22,870 --> 00:35:27,070
>> હું બીજા અડધા બદલો અને કોડ નબળાઈઓ વિશે વાત જાઉં છું.

502
00:35:27,070 --> 00:35:29,480
આ જોખમી પ્રવૃત્તિ બીજા ભાગમાં છે.

503
00:35:29,480 --> 00:35:33,450
વિકાસકર્તા ભૂલો બનાવે છે જ્યાં જરૂરી છે.

504
00:35:33,450 --> 00:35:37,210
કાયદેસર એપ્લિકેશન લેખન એક કાયદેસર વિકાસકર્તા

505
00:35:37,210 --> 00:35:41,830
ભૂલો બનાવવા અથવા મોબાઇલ પ્લેટફોર્મ જોખમ અવગણના છે.

506
00:35:41,830 --> 00:35:44,780
તેઓ માત્ર એક સુરક્ષિત મોબાઇલ એપ્લિકેશન બનાવવા માટે કેવી રીતે ખબર નથી,

507
00:35:44,780 --> 00:35:47,700
અથવા ક્યારેક વિકાસકર્તા જોખમ વપરાશકર્તા મૂકવા જ પડી નથી.

508
00:35:47,700 --> 00:35:50,850
કેટલીક વખત તે તેના બિઝનેસ મોડલ ભાગ હોઈ શકે છે

509
00:35:50,850 --> 00:35:54,610
વપરાશકર્તાની વ્યક્તિગત માહિતી પાક.

510
00:35:54,610 --> 00:35:58,090
કે અન્ય શ્રેણી જેવું છે, અને તે શા માટે આ ખરાબ કેટલાક

511
00:35:58,090 --> 00:36:03,200
અભિપ્રાય માં અલગ અલગ છે, કારણ કે કાયદેસર શરૂ થાય વિરુદ્ધ પર લોહી વહેવું

512
00:36:03,200 --> 00:36:10,440
શું વપરાશકર્તા માંગે છે અને શું વપરાશકર્તા જોખમી ગણવામાં આવે છે વચ્ચે

513
00:36:10,440 --> 00:36:13,050
અને શું એપ્લિકેશન વિકાસકર્તા જોખમી ગણવામાં આવે છે.

514
00:36:13,050 --> 00:36:18,380
અલબત્ત, તે મોટા ભાગના કિસ્સાઓમાં આ એપ્લિકેશન વિકાસકર્તા માહિતી નથી.

515
00:36:18,380 --> 00:36:22,030
>> અને પછી છેવટે, આ બને બીજી રીતે ડેવલપર લિંક શકે છે

516
00:36:22,030 --> 00:36:28,600
તે નબળાઈઓ કે આ જોખમી વર્તન છે કે એક શેર પુસ્તકાલય

517
00:36:28,600 --> 00:36:32,480
તેમને અજ્ઞાત.

518
00:36:32,480 --> 00:36:37,060
પ્રથમ શ્રેણી સંવેદનશીલ માહિતી લિકેજ છે,

519
00:36:37,060 --> 00:36:40,030
એપ્લિકેશન માહિતી ભેગી કરે છે અને આ છે

520
00:36:40,030 --> 00:36:44,980
પાંચ, સરનામું પુસ્તક, માહિતી, માલિક માહિતી જેવી

521
00:36:44,980 --> 00:36:48,000
અને જે ઉપકરણ બોલ કે મોકલે છે.

522
00:36:48,000 --> 00:36:53,050
અને તે ઉપકરણ બંધ છે, એક વાર અમે તે માહિતી સાથે શું થઈ રહ્યું છે તે ખબર નથી.

523
00:36:53,050 --> 00:36:57,170
તે એપ્લિકેશન વિકાસકર્તા દ્વારા insecurely સંગ્રહ કરી શકે છે.

524
00:36:57,170 --> 00:37:02,070
અમે એપ્લિકેશન વિકાસકર્તાઓ સમાધાન મેળવવા જોઇ છે,

525
00:37:02,070 --> 00:37:05,820
અને તેઓ સ્ટોર કરી રહ્યાં છે કે ડેટા લેવામાં નહીં.

526
00:37:05,820 --> 00:37:10,970
આ ફ્લોરિડામાં નીચે ડેવલપર માટે થોડા મહિના પહેલાં થયું

527
00:37:10,970 --> 00:37:21,660
ની આ એક વિશાળ સંખ્યા આઇપેડ UUIDs ને અને ઉપકરણ નામો હતી, જ્યાં

528
00:37:21,660 --> 00:37:25,270
કોઈને, હું તે અનામી હતો, કારણ કે લીક કરવામાં આવી હતી

529
00:37:25,270 --> 00:37:29,460
આ કરવા માટે દાવો કર્યો હતો, આ ડેવલપર ના સર્વર ઝળકી

530
00:37:29,460 --> 00:37:34,920
અને iPad UUIDs ને લાખો ચોરી કરે છે

531
00:37:34,920 --> 00:37:37,390
અને કોમ્પ્યુટર નામો.

532
00:37:37,390 --> 00:37:40,260
નથી સૌથી વધુ જોખમી માહિતી,

533
00:37:40,260 --> 00:37:46,820
પરંતુ કે જો વપરાશકર્તા નામો અને પાસવર્ડો સંગ્રહ હતી

534
00:37:46,820 --> 00:37:48,170
અને ઘર સરનામા?

535
00:37:48,170 --> 00:37:51,100
માહિતી તે પ્રકારના સંગ્રહ એપ્લિકેશન્સ કે જે ઘણાં બધાં છે.

536
00:37:51,100 --> 00:37:53,230
આ જોખમ રહેલું છે.

537
00:37:53,230 --> 00:37:56,620
વિકાસકર્તા કાળજી લેવા ન થાય તો >> થઇ શકે છે કે અન્ય બાબત છે

538
00:37:56,620 --> 00:38:01,370
ડેટા ચેનલ સુરક્ષિત છે, અને તે હું વિશે વાત કરવા જઈ રહ્યો છું બીજી મોટી નબળાઈ છે માટે,

539
00:38:01,370 --> 00:38:05,160
આ ડેટાને સ્પષ્ટ મોકલવામાં આવી રહી છે.

540
00:38:05,160 --> 00:38:09,040
વપરાશકર્તા જાહેર Wi-Fi નેટવર્ક પર છે

541
00:38:09,040 --> 00:38:12,330
અથવા કોઈ અન્યને ક્યાંક ઇન્ટરનેટ સુંઘવાનું છે

542
00:38:12,330 --> 00:38:19,260
પાથ સાથે કે માહિતી બહાર આવી રહી છે.

543
00:38:19,260 --> 00:38:23,790
આ માહિતી લિકેજ એક ખૂબ પ્રસિદ્ધ કેસ પાન્ડોરા સાથે બન્યું,

544
00:38:23,790 --> 00:38:27,250
અને આ આપણે Veracode પર સંશોધન કંઈક છે.

545
00:38:27,250 --> 00:38:33,200
અમે એક હું તે ફેડરલ ટ્રેડ કમિશન હતો હતી સાંભળ્યું છે કે

546
00:38:33,200 --> 00:38:35,310
પાન્ડોરા સાથે રહ્યું તપાસ.

547
00:38:35,310 --> 00:38:39,830
અમે "ત્યાં શું થઈ રહ્યું છે તે? ચાલો પાન્ડોરા એપ્લિકેશન માં ઉત્ખનન શરૂ કરો." જણાવ્યું હતું કે,

548
00:38:39,830 --> 00:38:46,690
અને આપણે શું નક્કી એકત્ર પાન્ડોરા એપ્લિકેશન હતી

549
00:38:46,690 --> 00:38:51,270
તમારી લિંગ અને તમારી ઉંમર,

550
00:38:51,270 --> 00:38:56,660
અને તે પણ તમારા જીપીએસ સ્થાન, અને પાન્ડોરા એપ્લિકેશન ઍક્સેસ

551
00:38:56,660 --> 00:39:00,200
તેઓ કાયદેસર કારણો હતા તે માટે આ હતી.

552
00:39:00,200 --> 00:39:05,360
તેઓ રમતા-પાન્ડોરા હતી કે સંગીત એક સંગીત સ્ટ્રીમિંગ એપ્લિકેશન છે

553
00:39:05,360 --> 00:39:07,530
તેઓ રમતા હતા સંગીત માત્ર યુનાઇટેડ સ્ટેટ્સમાં મંજૂરી હતી,

554
00:39:07,530 --> 00:39:13,020
તેથી તેઓ તેઓ હતા કે તેમના લાયસન્સ કરાર પાલન કરવા તપાસ કરી હતી

555
00:39:13,020 --> 00:39:17,240
વપરાશકર્તા અમેરિકામાં છે, એવું સંગીત માટે.

556
00:39:17,240 --> 00:39:25,070
તેઓ પણ પેરેંટલ સલાહ પાલન કરવા માગે છે

557
00:39:25,070 --> 00:39:33,790
સંગીતમાં આસપાસ પુખ્ત ભાષા,

558
00:39:33,790 --> 00:39:37,500
અને તેથી તે એક સ્વૈચ્છિક કાર્યક્રમ છે, પરંતુ તેઓ કે પાલન કરવા માગે છે

559
00:39:37,500 --> 00:39:43,010
અને બાળકો 13 અને હેઠળ માટે સ્પષ્ટ ગીતો રમી.

560
00:39:43,010 --> 00:39:46,280
>> તેઓ આ માહિતી એકત્ર કરવા માટે કાયદેસર કારણો હતી.

561
00:39:46,280 --> 00:39:49,160
તેમના એપ્લિકેશન તે કરવા પરવાનગીઓ હતી.

562
00:39:49,160 --> 00:39:52,000
વપરાશકર્તાઓ આ કાયદેસર હતી. પરંતુ શું થયું?

563
00:39:52,000 --> 00:39:55,810
તેઓ 3 અથવા 4 અલગ અલગ જાહેરાત પુસ્તકાલયો સાથે જોડાયેલા.

564
00:39:55,810 --> 00:39:59,140
હવે અચાનક આ બધા જાહેરાત લાઈબ્રેરીઓ તમામ

565
00:39:59,140 --> 00:40:02,970
આ જ માહિતી મળી રહ્યો છે.

566
00:40:02,970 --> 00:40:05,830
આ જાહેરાત પુસ્તકાલયો, તમે જાહેરાત લાઈબ્રેરીઓમાં કોડ જોવા હોય તો

567
00:40:05,830 --> 00:40:08,430
તેઓ શું દરેક જાહેરાત પુસ્તકાલય કહે છે

568
00:40:08,430 --> 00:40:11,340
"મારા એપ્લિકેશન જીપીએસ સ્થાન મેળવવાની પરવાનગી આપે છે?"

569
00:40:11,340 --> 00:40:14,890
"ઓહ, તે ઠીક છે, મને જીપીએસ પાંચ જણાવે છે."

570
00:40:14,890 --> 00:40:16,620
દરેક એક જાહેરાત લાઇબ્રેરી કે જે કરે છે,

571
00:40:16,620 --> 00:40:19,740
અને એપ્લિકેશન જીપીએસ પરવાનગી ન થાય તો

572
00:40:19,740 --> 00:40:23,460
તે મેળવવા માટે સમર્થ નહિં હોય છે, પરંતુ તે કરે છે, તે તેને મળશે.

573
00:40:23,460 --> 00:40:26,240
આ જાહેરાત લાઈબ્રેરીઓ કે જ્યાં બિઝનેસ મોડલ છે

574
00:40:26,240 --> 00:40:31,160
વપરાશકર્તા ગોપનીયતા વિરોધ છે.

575
00:40:31,160 --> 00:40:34,980
અને તમે ઉંમર ખબર હોય કહેવું પડશે કે ત્યાં અભ્યાસ કરવામાં આવી છે

576
00:40:34,980 --> 00:40:38,430
એક વ્યક્તિ છે અને તમે તેમના સ્થાન ખબર

577
00:40:38,430 --> 00:40:42,530
તમે તેમના જીપીએસ કોઓર્ડિનેટ્સ છે કારણ કે તેઓ રાત્રે ઊંઘ જ્યાં

578
00:40:42,530 --> 00:40:46,030
તેઓ કદાચ ઊંઘ આવે છે, તો તમે તે વ્યક્તિ છે બરાબર ખબર

579
00:40:46,030 --> 00:40:50,230
તમે તે ઘરના સભ્ય તે વ્યક્તિ છે જે તે નક્કી કરી શકે છે.

580
00:40:50,230 --> 00:40:54,780
ખરેખર આ જાહેરાતકારો માટે ઓળખી છે

581
00:40:54,780 --> 00:40:59,530
બરાબર તમે છે, અને તે કાયદેસર એવું લાગે છે.

582
00:40:59,530 --> 00:41:02,800
હું માત્ર મારા સ્ટ્રીમિંગ સંગીત માંગો છો, અને આ વિચાર એક માત્ર રસ્તો છે.

583
00:41:02,800 --> 00:41:05,370
>> ઠીક છે, અમે આ ખુલ્લી.

584
00:41:05,370 --> 00:41:08,030
અમે ઘણા બ્લોગ પોસ્ટ્સ માં આ લખ્યું હતું,

585
00:41:08,030 --> 00:41:13,280
અને તે ચાલુ છે કે રોલિંગ સ્ટોન મેગેઝિન માંથી કોઈએ

586
00:41:13,280 --> 00:41:18,810
અમારા બ્લોગ પોસ્ટ્સ એક વાંચી અને તે વિશે રોલિંગ સ્ટોન માં પોતાના બ્લોગ લખ્યું હતું,

587
00:41:18,810 --> 00:41:22,120
અને તે પછીના દિવસે પાન્ડોરા તે એક સારો વિચાર હતો

588
00:41:22,120 --> 00:41:27,600
તેમની અરજી ના જાહેરાત લાઈબ્રેરીઓ દૂર કરે છે.

589
00:41:27,600 --> 00:41:31,270
જ્યાં સુધી મને ખબર છે તેઓ માત્ર તેઓ પ્રશંસા કરવી જોઈએ છીએ.

590
00:41:31,270 --> 00:41:35,770
હું તેઓ આ કરી છે કે એપ્લિકેશન એક માત્ર freemium પ્રકાર છો.

591
00:41:35,770 --> 00:41:38,660
બધા અન્ય freemium એપ્લિકેશન આ જ વર્તન હોય છે,

592
00:41:38,660 --> 00:41:41,780
જેથી કરીને તમે આપી રહ્યાં છો માહિતી કયા પ્રકારની વિશે વિચારો મળી છે

593
00:41:41,780 --> 00:41:48,330
તે બધા જાહેરાતકારો બનશે આ freemium કાર્યક્રમો છે.

594
00:41:48,330 --> 00:41:53,390
પ્રેટોરીયન પણ વહેંચાયેલ લાઈબ્રેરીઓનો અંગે અભ્યાસ કર્યો અને જણાવ્યું હતું કે,

595
00:41:53,390 --> 00:41:57,100
"માતાનો લાઈબ્રેરીઓ ટોચ વહેંચાયેલ લાઈબ્રેરીઓનો છે શેર કરેલી શું જુઓ" અને આ માહિતી હતી.

596
00:41:57,100 --> 00:41:59,420
>> તેઓ 53,000 એપ્લિકેશન્સ વિશ્લેષણ,

597
00:41:59,420 --> 00:42:01,900
અને નંબર 1 શેર કરી પુસ્તકાલય AdMob હતી.

598
00:42:01,900 --> 00:42:06,060
તે ત્યાં બહાર કાર્યક્રમો 38% ખરેખર હતી

599
00:42:06,060 --> 00:42:08,800
તમે ઉપયોગ કરી રહ્યાં છો કાર્યક્રમો તેથી 38%

600
00:42:08,800 --> 00:42:11,250
ભાગે તમારા વ્યક્તિગત માહિતી લણણી કરવામાં આવે છે

601
00:42:11,250 --> 00:42:16,650
અને જાહેરાત નેટવર્ક માટે મોકલ્યા.

602
00:42:16,650 --> 00:42:19,350
અપાચે અને Android 8% અને 6% હતા,

603
00:42:19,350 --> 00:42:22,960
અને પછી નીચે, ગૂગલ જાહેરાતો, ઉશ્કેરાટ આ અન્ય મુદ્દાઓ નીચે,

604
00:42:22,960 --> 00:42:26,600
મોબ શહેર અને હજાર મીડિયા,

605
00:42:26,600 --> 00:42:30,500
આ, તો પછી, રસપ્રદ પર્યાપ્ત બધા જાહેરાત કંપનીઓ છે, અને

606
00:42:30,500 --> 00:42:33,500
4% ફેસબુક પુસ્તકાલય કડી

607
00:42:33,500 --> 00:42:38,870
કદાચ ફેસબુક દ્વારા સત્તાધિકરણ કરવા માટે

608
00:42:38,870 --> 00:42:40,810
જેથી એપ્લિકેશન ફેસબુક અધિકૃત કરી શકે છે.

609
00:42:40,810 --> 00:42:44,660
પરંતુ તે પણ ફેસબુક કોડ નિયંત્રિત કોર્પોરેશન અર્થ એ થાય

610
00:42:44,660 --> 00:42:49,010
કે, ત્યાં બહાર Android મોબાઇલ એપ્લિકેશન્સ 4% માં ચાલી રહ્યો છે

611
00:42:49,010 --> 00:42:53,490
અને તેઓ કે એપ્લિકેશન પર વિચાર કરવાની પરવાનગી છે તે તમામ માહિતી વપરાશ હોય છે.

612
00:42:53,490 --> 00:42:57,170
ફેસબુક આવશ્યક જાહેરાત જગ્યા વેચવા માટે પ્રયાસ કરે છે.

613
00:42:57,170 --> 00:43:00,120
કે તેમના બિઝનેસ મોડલ છે.

614
00:43:00,120 --> 00:43:02,920
>> તમે આ પરવાનગીઓ સાથે આ સમગ્ર ઇકોસિસ્ટમ જોવા

615
00:43:02,920 --> 00:43:07,740
અને તમે તે જોવા માટે શરૂ વહેંચાયેલ લાઈબ્રેરીઓનો

616
00:43:07,740 --> 00:43:13,850
તમે માનવામાં કાયદેસર કાર્યક્રમમાં જોખમ ઘણો છે.

617
00:43:13,850 --> 00:43:19,360
પાન્ડોરા સાથે થયું કે આ જ વસ્તુ

618
00:43:19,360 --> 00:43:22,340
, પાથ કહેવાય અરજી સાથે થયું

619
00:43:22,340 --> 00:43:27,660
અને પાથ તેઓ અનુકૂળ, મદદરૂપ વિકાસકર્તાઓ કરવામાં આવી રહી હતી છે.

620
00:43:27,660 --> 00:43:32,160
તેઓ માત્ર તમે એક મહાન વપરાશકર્તા અનુભવ આપવા માટે પ્રયાસ કરી રહ્યા હતા,

621
00:43:32,160 --> 00:43:37,810
અને તે ચાલુ છે કે વપરાશકર્તાને પૂછવાની અથવા વપરાશકર્તા કહેવાની વગર કંઈપણ-

622
00:43:37,810 --> 00:43:40,400
અને આ આઇફોન પર અને, Android પર થયું

623
00:43:40,400 --> 00:43:44,420
પાન્ડોરા એપ્લિકેશન આઇફોન અને, Android પર હતો-

624
00:43:44,420 --> 00:43:48,890
પાથ એપ્લિકેશન તમારા સમગ્ર આંકડાના પુસ્તક પડતો હતો કે

625
00:43:48,890 --> 00:43:52,830
અને તમે સ્થાપિત થયેલ છે અને કાર્યક્રમ ચલાવતી હતી તે જ્યારે પાથ પર અપલોડ,

626
00:43:52,830 --> 00:43:55,840
અને તેઓ આ વિશે કહી ન હતી.

627
00:43:55,840 --> 00:43:58,750
તેઓ તે તમારા માટે ખરેખર મદદરૂપ હતી

628
00:43:58,750 --> 00:44:04,040
તમારું સરનામું પુસ્તક તમામ લોકો સાથે શેર કરવા માટે સક્ષમ હોય છે

629
00:44:04,040 --> 00:44:06,920
તમે પાથ એપ્લિકેશન ઉપયોગ કરી રહ્યાં છો કે.

630
00:44:06,920 --> 00:44:09,490
>> ઠીક છે, દેખીતી રીતે પાથ આ તેમની કંપની માટે મહાન હતું.

631
00:44:09,490 --> 00:44:13,510
વપરાશકર્તા માટે એટલા મહાન નથી.

632
00:44:13,510 --> 00:44:19,020
તમે તેને જો કદાચ એક કિશોર વયે એક વાત છે કે લાગે છે

633
00:44:19,020 --> 00:44:23,700
આ એપ્લિકેશનનો ઉપયોગ કરીને અને મિત્રો તેમના ડઝન ત્યાં છે છે

634
00:44:23,700 --> 00:44:29,360
પરંતુ તે પાથ સ્થાપિત કરે છે કે કંપનીના સીઈઓ છે, જો

635
00:44:29,360 --> 00:44:33,170
અને પછી અચાનક તેમના સમગ્ર આંકડાના પુસ્તક તમામ છે?

636
00:44:33,170 --> 00:44:38,310
તમે સંભવિત મૂલ્યવાન સંપર્ક ઘણી માહિતી મેળવી રહ્યા છીએ

637
00:44:38,310 --> 00:44:40,920
ઘણા લોકોને માટે.

638
00:44:40,920 --> 00:44:44,500
ન્યૂ યોર્ક ટાઇમ્સ એક પત્રકાર, તો તમે ફોન નંબર મળી શકે

639
00:44:44,500 --> 00:44:47,380
તેમના આંકડાના પુસ્તકમાંથી ભૂતપૂર્વ પ્રમુખો માટે,

640
00:44:47,380 --> 00:44:54,780
તેથી દેખીતી રીતે સંવેદનશીલ ઘણી માહિતી આ કંઈક સાથે તબદીલ નહીં.

641
00:44:54,780 --> 00:44:58,090
કે પાથ માફી માગી આ વિશે આવા મોટા અવાજ હતી.

642
00:44:58,090 --> 00:45:01,610
તેઓ તેમના એપ્લિકેશન બદલાયેલ છે, અને તે પણ એપલ અસર.

643
00:45:01,610 --> 00:45:06,950
એપલ અમે વપરાશકર્તાઓ પૂછવા એપ્લિકેશન વિક્રેતાઓ દબાણ રહ્યા છીએ "જણાવ્યું હતું કે,

644
00:45:06,950 --> 00:45:12,650
તેઓ તેમના સમગ્ર આંકડાના પુસ્તક એકત્રિત રહ્યા છીએ. "

645
00:45:12,650 --> 00:45:15,360
>> તે છે અહીં શું થઈ રહ્યું છે તે જેવી લાગે છે

646
00:45:15,360 --> 00:45:19,430
ત્યાં એક મોટા ગોપનીયતા ઉલ્લંઘન છે અને તે પ્રેસ આવેલ ત્યારે

647
00:45:19,430 --> 00:45:21,680
અમે ત્યાં ફેરફાર જોવા.

648
00:45:21,680 --> 00:45:23,230
પરંતુ અલબત્ત, અન્ય વસ્તુઓ બહાર ત્યાં છે.

649
00:45:23,230 --> 00:45:27,440
આ સંલગ્ન કાર્યક્રમ તમારા કૅલેન્ડર પ્રવેશો પાક છે,

650
00:45:27,440 --> 00:45:34,530
પરંતુ એપલ વપરાશકર્તા કે જે વિશે પૂછવા નથી.

651
00:45:34,530 --> 00:45:38,030
કૅલેન્ડર પ્રવેશો પણ તેમને સંવેદનશીલ માહિતી હોઈ શકે છે.

652
00:45:38,030 --> 00:45:40,000
જ્યાં તમે લીટી દોરે જવું છે?

653
00:45:40,000 --> 00:45:43,960
આ ખરેખર પ્રકારની એક વિકસતી સ્થળ છે

654
00:45:43,960 --> 00:45:47,640
કોઈ સારી પ્રમાણભૂત ત્યાં ખરેખર જ્યાં ત્યાં

655
00:45:47,640 --> 00:45:51,990
તેમની માહિતી જોખમ પર હોઈ રહ્યું છે જ્યારે વપરાશકર્તાઓ સમજવા માટે

656
00:45:51,990 --> 00:45:57,820
તેઓ જાણતા રહ્યા છીએ અને જ્યારે તે લેવામાં આવી રહી છે.

657
00:45:57,820 --> 00:46:03,040
અમે Adios કહેવાય Veracode એક એપ્લિકેશન લખ્યું

658
00:46:03,040 --> 00:46:08,350
અને આવશ્યક છે કે તમે તમારા આઇટ્યુન્સ ડિરેક્ટરી પરની એપ્લિકેશન પર નિર્દેશ મંજૂરી

659
00:46:08,350 --> 00:46:12,550
અને તમારા સંપૂર્ણ આંકડાના પુસ્તક શિકાર કરતા હતાં તે તમામ કાર્યક્રમો જુઓ.

660
00:46:12,550 --> 00:46:19,760
અને તમે અહીં આ યાદીમાં જોઈ શકે છે, ક્રોધિત પક્ષીઓ,

661
00:46:19,760 --> 00:46:21,590
AIM, આસપાસ.

662
00:46:21,590 --> 00:46:24,050
શા માટે ક્રોધિત તમારું સરનામું પુસ્તક જરૂર છે?

663
00:46:24,050 --> 00:46:29,160
મને ખબર નથી, પરંતુ તે કોઈક છે.

664
00:46:29,160 --> 00:46:32,310
>> આ ઘણા, ઘણા કાર્યક્રમો કે જે કંઈક છે.

665
00:46:32,310 --> 00:46:34,780
તમે આ માટે કોડ તપાસ કરી શકે છે.

666
00:46:34,780 --> 00:46:38,660
આઇફોન, Android અને બ્લેકબેરી માટે સારી રીતે વ્યાખ્યાયિત API નો છે

667
00:46:38,660 --> 00:46:42,120
પાંચ આંકડાના પુસ્તક પર મેળવો.

668
00:46:42,120 --> 00:46:48,520
તમે ખરેખર સરળતાથી આ માટે તપાસ કરી શકે છે, અને આ આપણે Adios કાર્યક્રમમાં જ કર્યું હતું.

669
00:46:48,520 --> 00:46:52,320
આગામી શ્રેણી, અસુરક્ષિત સંવેદનશીલ માહિતી સંગ્રહ,

670
00:46:52,320 --> 00:46:55,670
વિકાસકર્તાઓ પીન કંઈક લેવા જ્યાં કંઈક અથવા એક એકાઉન્ટ નંબર છે

671
00:46:55,670 --> 00:46:58,530
અથવા પાસવર્ડ અને તે ઉપકરણ પર સ્પષ્ટ માં સ્ટોર કરે છે.

672
00:46:58,530 --> 00:47:02,310
ખરાબ પણ, તેઓ તેને ફોન પર એક વિસ્તાર ભેગો કરી શકે

673
00:47:02,310 --> 00:47:06,820
જે SD કાર્ડ જેવા, વૈશ્વિક સ્તરે પહોંચી શકાય છે.

674
00:47:06,820 --> 00:47:11,320
, Android SD કાર્ડ માટે પરવાનગી આપે છે કારણ કે તમે, Android પર વધુ વખત આ જુઓ.

675
00:47:11,320 --> 00:47:13,200
આઇફોન ઉપકરણો નથી.

676
00:47:13,200 --> 00:47:17,900
પરંતુ અમે પણ આ એક સિટીગ્રુપે કાર્યક્રમમાં થાય જોવા મળી હતી.

677
00:47:17,900 --> 00:47:25,450
તેમના ઓનલાઇન બેન્કિંગ અરજી insecurely એકાઉન્ટ નંબરો સંગ્રહ

678
00:47:25,450 --> 00:47:28,120
માત્ર સ્પષ્ટ છે, જેથી તમે તમારા ઉપકરણ ગુમાવી હોય,

679
00:47:28,120 --> 00:47:30,670
અનિવાર્યપણે તમે તમારી બેંક એકાઉન્ટ ગુમાવી હતી.

680
00:47:30,670 --> 00:47:36,000
હું અંગત રીતે મારા આઇફોન પર બેન્કિંગ નથી શા માટે છે.

681
00:47:36,000 --> 00:47:43,710
હું તે પ્રવૃત્તિઓ આ પ્રકારના કરવા હમણાં ખૂબ જોખમી લાગે છે.

682
00:47:43,710 --> 00:47:45,950
>> સ્કાયપે એક જ વાત હતી.

683
00:47:45,950 --> 00:47:49,870
સ્કાયપે, અલબત્ત, એક એકાઉન્ટ બેલેન્સ, વપરાશકર્તા નામ અને પાસવર્ડ છે

684
00:47:49,870 --> 00:47:51,030
કે સંતુલન ઍક્સેસ છે.

685
00:47:51,030 --> 00:48:00,080
તેઓ મોબાઇલ ઉપકરણ પર સ્પષ્ટ છે કે જે બધી માહિતી સ્ટોર કરવામાં આવી હતી.

686
00:48:00,080 --> 00:48:05,760
હું ફાઈલો બનાવવાની અહીં કેટલાક ઉદાહરણો છે

687
00:48:05,760 --> 00:48:10,310
કે અધિકાર પરવાનગી અથવા ડિસ્ક માટે લખી નથી

688
00:48:10,310 --> 00:48:17,260
અને કોઈ પણ એન્ક્રિપ્શન તે માટે થાય કર્યા નથી.

689
00:48:17,260 --> 00:48:20,190
આ આગામી વિસ્તાર, અસુરક્ષિત સંવેદનશીલ માહિતી પ્રસારણ,

690
00:48:20,190 --> 00:48:24,450
હું આ માટે થોડા વખત ખોટો સંદર્ભ આપવામાં આવ્યો છે અને તેના કારણે જાહેર Wi-Fi છે

691
00:48:24,450 --> 00:48:27,770
આ સંપૂર્ણપણે કરવાની જરૂર એપ્લિકેશન્સ કે કંઈક છે,

692
00:48:27,770 --> 00:48:31,250
અને આ અમે સૌથી ખોટી જઈ શું સંભવિત છે કદાચ.

693
00:48:31,250 --> 00:48:34,920
હું કહી-ખરેખર છે, હું વાસ્તવિક માહિતી હોય છે,

694
00:48:34,920 --> 00:48:38,120
પરંતુ તે અડધા મોબાઇલ એપ્લિકેશન્સ નજીક છે

695
00:48:38,120 --> 00:48:41,780
SSL કરી સ્ક્રૂ.

696
00:48:41,780 --> 00:48:43,910
તેઓ માત્ર API નો યોગ્ય રીતે ઉપયોગ કરતા નથી.

697
00:48:43,910 --> 00:48:47,970
હું તેનો અર્થ, તમે કરવા માટે મળી છે બધા, આ સૂચનાઓનું પાલન અને API નો ઉપયોગ છે

698
00:48:47,970 --> 00:48:54,720
પરંતુ તેઓ જેવી વસ્તુઓ, અન્ય ઓવરને અંતે અમાન્ય પ્રમાણપત્ર છે કે કેમ તેની તપાસ નથી

699
00:48:54,720 --> 00:49:02,120
અન્ય ઓવરને એ પ્રોટોકોલ ડાઉનગ્રેડ હુમલો કરવા પ્રયાસ કરી છે તે ચકાસવા નથી.

700
00:49:02,120 --> 00:49:07,200
>> વિકાસકર્તાઓ, તેઓ તેમના ચકાસણીબોક્સ મેળવવા માંગો છો, અધિકાર?

701
00:49:07,200 --> 00:49:11,910
તેમની જરૂરિયાત વેચવા આ ઉપયોગ છે. તેઓ વેચાણ કરવા માટે આ ઉપયોગ કર્યો છે.

702
00:49:11,910 --> 00:49:14,800
આ જરૂરિયાત છે, સુરક્ષિત વેચવા આ ઉપયોગ નથી

703
00:49:14,800 --> 00:49:19,680
SSL વાપરવા કે બધા કાર્યક્રમો માહિતી સુરક્ષિત શા માટે અને તેથી આ છે

704
00:49:19,680 --> 00:49:23,470
તેને વહન કરવામાં આવી રહી છે, કારણ કે ઉપકરણ ખરેખર પરીક્ષણ કરવાની જરૂર છે

705
00:49:23,470 --> 00:49:28,950
કે યોગ્ય રીતે અમલ કરવામાં આવી હતી તેની ખાતરી કરવા માટે.

706
00:49:28,950 --> 00:49:32,850
અને અહીં હું તમને અરજી જોઈ શકો છો જ્યાં કેટલાક ઉદાહરણો છે

707
00:49:32,850 --> 00:49:37,400
HTTP બદલે HTTPS દ્વારા ઉપયોગ કરી શકે છે.

708
00:49:37,400 --> 00:49:40,510
કેટલાક કિસ્સાઓમાં એપ્લિકેશન્સ HTTP કરવો પડશે

709
00:49:40,510 --> 00:49:44,250
માટે HTTPS કામ ન કરતું હોય.

710
00:49:44,250 --> 00:49:49,070
હું તેઓ પ્રમાણપત્ર ચકાસણી નિષ્ક્રિય કરી તે, Android પર અહીં અન્ય કોલ છે

711
00:49:49,070 --> 00:49:51,700
તેથી એક માણસ ઈન ધ મધ્યમ હુમલો થઇ શકે છે.

712
00:49:51,700 --> 00:49:56,370
અમાન્ય પ્રમાણપત્ર સ્વીકારશે.

713
00:49:56,370 --> 00:50:01,920
આ હુમલાખોરો પર મળી જતા હોય છે જ્યાં બધા કિસ્સાઓમાં છે

714
00:50:01,920 --> 00:50:07,150
ત્યાં વપરાશકર્તા અને વપરાશ તમામ માહિતી તરીકે જ Wi-Fi જોડાણ

715
00:50:07,150 --> 00:50:11,650
કે ઇન્ટરનેટ પર મોકલવામાં આવી રહી છે.

716
00:50:11,650 --> 00:50:15,970
>> અને છેલ્લે, હું અહીં છે છેલ્લા શ્રેણી હાર્ડકોડ પાસવર્ડ અને કીઓ છે.

717
00:50:15,970 --> 00:50:21,470
અમે ખરેખર વિકાસકર્તાઓ ઘણો જ કોડિંગ શૈલી વાપરવા જુઓ

718
00:50:21,470 --> 00:50:25,900
તેઓ વેબ સર્વર કાર્યક્રમો મકાન કરવામાં આવી હતી જ્યારે હતી, કે

719
00:50:25,900 --> 00:50:29,700
તેથી તેઓ એક જાવા સર્વર કાર્યક્રમ નિર્માણ કરી રહ્યાં છો, અને તેઓ કી હાર્ડકોડીંગ છીએ.

720
00:50:29,700 --> 00:50:31,940
વેલ, જો તમે કોઈ સર્વર એપ્લિકેશન બનાવવા કરી રહ્યાં છો, અરે વાહ,

721
00:50:31,940 --> 00:50:34,240
કી હાર્ડકોડીંગ એ સારો વિચાર નથી.

722
00:50:34,240 --> 00:50:36,290
તે મુશ્કેલ બદલવા માટે બનાવે છે.

723
00:50:36,290 --> 00:50:40,700
જે સર્વર બાજુ વપરાશ છે કારણ કે, પરંતુ લાગે છે કે સર્વર બાજુ પર ખૂબ ખરાબ નથી?

724
00:50:40,700 --> 00:50:43,140
માત્ર સંચાલકો.

725
00:50:43,140 --> 00:50:48,100
પરંતુ તમારી પાસે એક જ કોડ લો અને જો તમે મોબાઇલ એપ્લિકેશન પર તેની પર રેડવામાં જો

726
00:50:48,100 --> 00:50:52,550
હવે મોબાઇલ એપ્લિકેશન કે હાર્ડકોડ કી વપરાશ છે કે જે દરેક,

727
00:50:52,550 --> 00:50:56,380
અને અમે ખરેખર આ સમય ઘણો જુઓ, અને હું કેટલાક આંકડા છે

728
00:50:56,380 --> 00:51:00,920
અમે જુઓ આ શું કેટલી વાર છે.

729
00:51:00,920 --> 00:51:04,940
તે વાસ્તવમાં માસ્ટરકાર્ડ પ્રકાશિત કે ઉદાહરણ કોડ હતી

730
00:51:04,940 --> 00:51:06,850
તેમની સેવા વાપરવા વિશે.

731
00:51:06,850 --> 00:51:11,860
ઉદાહરણ કોડ કે જે તમે પાસવર્ડ લેશે કેવી રીતે દર્શાવે છે

732
00:51:11,860 --> 00:51:14,850
અને, જમણી ત્યાં હાર્ડકોડ શબ્દમાળા માં મૂકી

733
00:51:14,850 --> 00:51:19,380
અને અમે વિકાસકર્તાઓ કોડ સ્નીપેટ નકલ અને પેસ્ટ પ્રેમ કેવી રીતે

734
00:51:19,380 --> 00:51:22,360
તેઓ કંઈક પ્રયાસ કરી રહ્યા છો, તેથી તમે કોડ સ્નીપેટ નકલ અને પેસ્ટ કરો ત્યારે

735
00:51:22,360 --> 00:51:28,450
તેઓ ઉદાહરણ કોડ તરીકે આપી હતી, અને તમે એક અસુરક્ષિત કાર્યક્રમ હોય છે.

736
00:51:28,450 --> 00:51:31,490
>> અને અહીં અમે કેટલાક ઉદાહરણો છે.

737
00:51:31,490 --> 00:51:35,840
આ પ્રથમ એક અમે તેઓ Hardcode જ્યાં જોવાની છે

738
00:51:35,840 --> 00:51:40,510
મોકલવામાં નહીં કે એક URL માં ડેટા અધિકાર.

739
00:51:40,510 --> 00:51:45,120
ક્યારેક અમે શબ્દમાળા પાસવર્ડ = પાસવર્ડ જુઓ.

740
00:51:45,120 --> 00:51:49,060
કે બ્લેકબેરી અને Android પર ખૂબ શોધવા માટે સરળ, અથવા શબ્દમાળા પાસવર્ડ છે.

741
00:51:49,060 --> 00:51:53,680
તે ખરેખર કારણ કે લગભગ હંમેશા માટે ચકાસવા માટે ખૂબ સરળ છે

742
00:51:53,680 --> 00:51:57,030
વિકાસકર્તા નામો પાસવર્ડ હોલ્ડિંગ છે કે ચલ

743
00:51:57,030 --> 00:52:02,290
પાસવર્ડ કેટલાક વિવિધતા.

744
00:52:02,290 --> 00:52:05,200
હું અમે Veracode પર સ્થિર પૃથ્થકરણ કરે છે કે ઉલ્લેખ કર્યો છે

745
00:52:05,200 --> 00:52:11,790
તેથી અમે સેંકડો Android અને iOS કાર્યક્રમો વિશ્લેષણ કર્યું છે.

746
00:52:11,790 --> 00:52:15,160
અમે તેમને સંપૂર્ણ મોડલ બનાવવામાં આવ્યું છે, અને અમે તેમને સ્કેન કરવા માટે સક્ષમ છીએ

747
00:52:15,160 --> 00:52:19,280
વિવિધ નબળાઈઓ, હું વિશે વાત કરી હતી, ખાસ કરીને નબળાઈઓ માટે

748
00:52:19,280 --> 00:52:21,050
અને હું અહીં અમુક માહિતી છે.

749
00:52:21,050 --> 00:52:24,320
અમે પર હતા, Android એપ્લિકેશન્સ 68.5%

750
00:52:24,320 --> 00:52:28,590
ક્રિપ્ટોગ્રાફિક કોડ ભાંગી હતી,

751
00:52:28,590 --> 00:52:33,240
તમે તમારા પોતાના ક્રિપ્ટો નિયમિત કરી જો અમારા માટે, અમે શોધી શકતા નથી કે જે,

752
00:52:33,240 --> 00:52:38,980
કે એક સારો વિચાર છે, પરંતુ આ વાસ્તવમાં પ્રકાશિત API નો ઉપયોગ કરી રહ્યા છે કે

753
00:52:38,980 --> 00:52:42,530
પ્લેટફોર્મ પર હોય છે, પરંતુ એવી રીતે કે તેમને કરી

754
00:52:42,530 --> 00:52:46,680
આ ક્રિપ્ટો, 68.5 ભોગ બની જશે.

755
00:52:46,680 --> 00:52:49,870
અને આ ખરેખર તો તેમના કાર્યક્રમો મોકલવા છે કે એ લોકો માટે છે, કારણ કે

756
00:52:49,870 --> 00:52:53,730
તેઓ તેને સુરક્ષા ચકાસણી કરવા માટે સારો વિચાર છે.

757
00:52:53,730 --> 00:52:56,960
આ કદાચ પહેલાથી જ સુરક્ષિત વિચારવાનો છે કે લોકો છે

758
00:52:56,960 --> 00:52:59,540
તેથી તે કદાચ પણ વધુ ખરાબ છે.

759
00:52:59,540 --> 00:53:02,690
>> હું નિયંત્રણ લીટી ફીડ ઈન્જેક્શન વિશે વાત કરી ન હતી.

760
00:53:02,690 --> 00:53:07,640
તે અમે ચકાસવા કંઈક નથી, પણ તે એક મુદ્દો કે જોખમી નથી.

761
00:53:07,640 --> 00:53:15,390
માહિતી લિકેજ, આ સંવેદનશીલ માહિતી ઉપકરણ પર મોકલ્યો હોવા થયેલ છે છે.

762
00:53:15,390 --> 00:53:19,270
અમે કાર્યક્રમો 40% માં છે.

763
00:53:19,270 --> 00:53:23,540
સમય અને રાજ્ય તે બગાડી સામાન્ય રીતે ખૂબ મુશ્કેલ રેસ શરત પ્રકાર મુદ્દાઓ છે

764
00:53:23,540 --> 00:53:26,170
તેથી હું તે વાત કરી હતી, પરંતુ અમે તે પર હતા.

765
00:53:26,170 --> 00:53:28,750
23% એસક્યુએલ ઇન્જેક્શન મુદ્દાઓ હતા.

766
00:53:28,750 --> 00:53:32,020
ઘણા લોકો જાણતા નથી કે કાર્યક્રમો ઘણો

767
00:53:32,020 --> 00:53:35,880
ડેટા સ્ટોર કરવા તેમના પાછળ ઓવરને પર એક નાની થોડી SQL ડેટાબેઝ ઉપયોગ કરે છે.

768
00:53:35,880 --> 00:53:40,430
વેલ, જો તમે નેટવર્ક પર પડતો રહ્યા છો તે માહિતી

769
00:53:40,430 --> 00:53:43,800
તે એસક્યુએલ ઇન્જેક્શન હુમલો શબ્દમાળાઓ છે

770
00:53:43,800 --> 00:53:45,970
કોઈને કે મારફતે ઉપકરણ સાથે બાંધછોડ કરી શકે,

771
00:53:45,970 --> 00:53:49,800
અને તેથી હું, અમે વેબ એપ્લિકેશન્સ 40% આ સમસ્યા શોધવા લાગે છે

772
00:53:49,800 --> 00:53:52,840
જે વિશાળ રોગચાળો સમસ્યા છે.

773
00:53:52,840 --> 00:53:55,740
અમે મોબાઇલ એપ્લિકેશન્સ માં તે સમયના 23% શોધવા

774
00:53:55,740 --> 00:54:02,030
ઘણી વેબ એપ્લિકેશન્સ મોબાઇલ કરતાં એસક્યુએલ ઉપયોગ કારણ કે તે કદાચ છે.

775
00:54:02,030 --> 00:54:05,580
>> અને પછી અમે હજુ પણ કેટલાક ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ, અધિકૃતિ મુદ્દાઓ જુઓ

776
00:54:05,580 --> 00:54:09,400
તમે તમારા હાર્ડકોડ પાસવર્ડ હોય છે અને પછી ઓળખપત્ર મેનેજમેન્ટ, કે છે.

777
00:54:09,400 --> 00:54:14,540
આ કાર્યક્રમો 5% માં અમે તે જુઓ.

778
00:54:14,540 --> 00:54:17,970
અને પછી અમે iOS પર અમુક માહિતી છે.

779
00:54:17,970 --> 00:54:20,180
81% ક્ષતિ નિયંત્રણ મુદ્દાઓ હતા.

780
00:54:20,180 --> 00:54:23,130
આ એક કોડ ગુણવત્તા સમસ્યા વધુ છે,

781
00:54:23,130 --> 00:54:28,010
પરંતુ 67% ક્રિપ્ટોગ્રાફિક મુદ્દાઓ હતા, તેથી, Android તરીકે ખૂબ તરીકે ખરાબ નથી.

782
00:54:28,010 --> 00:54:32,440
કદાચ API નો થોડો સરળ છે, iOS પર થોડો સારો દાખલો કોડ.

783
00:54:32,440 --> 00:54:35,420
પરંતુ હજુ પણ ખૂબ જ ઊંચી ટકાવારી.

784
00:54:35,420 --> 00:54:39,040
અમે માહિતી લિકેજ સાથે 54% હતી,

785
00:54:39,040 --> 00:54:42,080
બફર વ્યવસ્થાપન ભૂલો સાથે લગભગ 30%.

786
00:54:42,080 --> 00:54:45,930
તે સંભવિત મેમરી ભ્રષ્ટાચાર સમસ્યા હોઇ શકે છે સ્થાનો છે.

787
00:54:45,930 --> 00:54:50,350
તે શોષણ માટે સમસ્યા ખૂબ નથી તારણ આપે છે કે

788
00:54:50,350 --> 00:54:56,450
તમામ કોડ સહી કરવાની હોય છે iOS પર છે, કારણ કે

789
00:54:56,450 --> 00:55:02,210
તેથી તે iOS પર કોડ ચલાવાય છે કોઈ હુમલાખોર માટે મુશ્કેલ છે.

790
00:55:02,210 --> 00:55:07,880
કોડ ગુણવત્તા, ડિરેક્ટરી ટ્રાવર્સલને, પરંતુ અહીં 14.6% પર પછી પ્રમાણપત્રો મેનેજમેન્ટ,

791
00:55:07,880 --> 00:55:09,250
એન્ડ્રોઇડ પર કરતા પણ ખરાબ.

792
00:55:09,250 --> 00:55:13,240
અમે લોકો યોગ્ય રીતે પાસવર્ડો સંભાળવા નથી.

793
00:55:13,240 --> 00:55:15,790
અને પછી આંકડાકીય ભૂલો અને બફર ઓવરફ્લો,

794
00:55:15,790 --> 00:55:22,680
તે વધુ iOS પર કોડ ગુણવત્તા મુદ્દાઓ હશે આવે છે.

795
00:55:22,680 --> 00:55:26,110
>> કે તે મારા રજૂઆત માટે હતી. અમે સમય નથી અથવા જો મને ખબર નથી.

796
00:55:26,110 --> 00:55:29,540
કોઇ પ્રશ્નો હોય તો મને ખબર નથી.

797
00:55:29,540 --> 00:55:33,220
[પુરૂષ] વિભાજન અને Android બજાર આસપાસ એક ઝડપી પ્રશ્ન.

798
00:55:33,220 --> 00:55:36,240
એપલ ઓછામાં ઓછા Patching માલિકી ધરાવે છે.

799
00:55:36,240 --> 00:55:40,780
તેઓ, Android જગ્યામાં જ્યારે ઓછા તેથી તેને મેળવવાની સારી કામ કરે છે.

800
00:55:40,780 --> 00:55:44,280
તમે લગભગ વર્તમાન રહેવા તમારા ફોન jailbreak જરૂર

801
00:55:44,280 --> 00:55:46,660
Android ના વર્તમાન પ્રકાશન સાથે.

802
00:55:46,660 --> 00:55:50,960
તમારા વિશે-તો અરે વાહ, કે જે વિશાળ સમસ્યા છે અને તેથી છે

803
00:55:50,960 --> 00:55:52,280
[પુરૂષ] શા માટે તમે તે પુનરાવર્તન કરી શકો છો?

804
00:55:52,280 --> 00:55:55,610
>> ઓહ, અધિકાર, તેથી પ્રશ્ન છે તે વિશે વિભાજન હતી

805
00:55:55,610 --> 00:56:00,410
, Android પ્લેટફોર્મ પર ઓપરેટીંગ સિસ્ટમ?

806
00:56:00,410 --> 00:56:05,890
કેવી રીતે તે ઉપકરણોની riskiness અસર કરે છે?

807
00:56:05,890 --> 00:56:09,700
શું થાય છે કારણ કે તે ખરેખર એક વિશાળ સમસ્યા છે

808
00:56:09,700 --> 00:56:15,110
જૂની ઉપકરણો, કોઈને કે ઉપકરણ માટે Jailbreak સાથે આવે છે,

809
00:56:15,110 --> 00:56:19,960
આવશ્યક કે તે ઓપરેટિંગ સિસ્ટમ અપડેટ કરવામાં આવે છે ત્યાં સુધી અધિકાર એસ્કલેશન છે, અને

810
00:56:19,960 --> 00:56:25,350
કોઈપણ મૉલવેર પછી તદ્દન ઉપકરણ સમાધાન કે નબળાઈ ઉપયોગ કરી શકો છો

811
00:56:25,350 --> 00:56:30,200
અને શું અમે Android પર જોઈ રહ્યાં છો નવી ઓપરેટિંગ સિસ્ટમ મેળવવા માટે છે

812
00:56:30,200 --> 00:56:34,690
ગૂગલ પછી હાર્ડવેર નિર્માતા ઓપરેટિંગ સિસ્ટમ મૂકી છે, અને

813
00:56:34,690 --> 00:56:39,390
તેને વૈવિધ્યપૂર્ણ બનાવવા માટે છે, અને પછી વાહક તેને વૈવિધ્યપૂર્ણ અને તે પહોંચાડવા માટે છે.

814
00:56:39,390 --> 00:56:43,070
તમે, મૂળભૂત રીતે અહીં 3 ભાગો છે

815
00:56:43,070 --> 00:56:47,210
અને તે વિશેની પડી નથી કે દેવાનો છે,

816
00:56:47,210 --> 00:56:50,400
અને હાર્ડવેર ઉત્પાદકો પડી નથી, અને Google પૂરતી તેમને prodding નથી

817
00:56:50,400 --> 00:56:54,430
ત્યાં તેથી આવશ્યક ઉપકરણો અડધા સુધી, કંઈ પણ કરવા માટે

818
00:56:54,430 --> 00:57:00,590
તેમને આ અધિકાર એસ્કલેશન નબળાઈઓ છે કે ઓપરેટિંગ સિસ્ટમ હોય છે,

819
00:57:00,590 --> 00:57:08,440
તમે તમારી Android ઉપકરણ પર મૉલવેર વિચાર અને તેથી જો તે સમસ્યા ખૂબ વધુ છે.

820
00:57:08,440 --> 00:57:10,350
>> ઠીક છે, ખૂબ ખૂબ આભાર.

821
00:57:10,350 --> 00:57:12,310
[વધાવી]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]