[સેમિનાર] [ઉપકરણ પાછળ બચાવ: મોબાઇલ એપ્લિકેશન સુરક્ષા]
 [સીએચ Wysopal] [હાર્વર્ડ યુનિવર્સિટી]
 [આ CS50 છે.] [CS50.TV]
 

ગુડ બપોર પછી. મારું નામ સીએચ Wysopal છે.
 હું CTO અને Veracode સહ સ્થાપક છું.
 Veracode અરજી સુરક્ષા કંપની છે.
 અમે વિવિધ કાર્યક્રમો તમામ પ્રકારના પરીક્ષણ,
 અને શું હું આજે વિશે વાત જાઉં છું મોબાઇલ એપ્લિકેશન સુરક્ષા છે.
 મારા પૃષ્ઠભૂમિ હું સુરક્ષા સંશોધન કરી રહ્યો છું છે
 ખૂબ લાંબા સમય માટે, કદાચ લાંબા સમય સુધી કોઇ તરીકે વિશે.
 હું મધ્ય 90 માં શરૂઆત કરી હતી,
 અને તે ખૂબ જ રસપ્રદ હતો કે એક સમય હતો, કારણ કે
 અમે મધ્ય 90 માં નમૂનારૂપ બદલી હતી.
 અચાનક દરેકને કમ્પ્યૂટરના બધા ઇન્ટરનેટ સુધી hooked હતી,
 અને પછી અમે વેબ એપ્લિકેશન્સ ના શરૂઆત કરી હતી,
 અને તે હું પછી ઘણો પર ધ્યાન કેન્દ્રિત કર્યું છે.
 તે રસપ્રદ છે.
 હવે અમે કમ્પ્યુટિંગ સાથે થઈ રહ્યું અન્ય ફેરફાર ફેરફાર હોય છે
 જે મોબાઇલ એપ્લિકેશન્સ માટે પાળી છે.
 

હું તે પછી તે 90 અંતમાં હતી એક જ સમય પ્રકારની છે લાગે
 અમે વેબ એપ્લિકેશન્સ તપાસ અને જેવી ખામીઓ શોધવામાં આવ્યા ત્યારે
 સત્ર વ્યવસ્થાપન ભૂલો અને એસક્યુએલ ઇન્જેક્શન
 જે ખરેખર પહેલાં અસ્તિત્વમાં હતી, અને અચાનક તમામ તેઓ દરેક જગ્યાએ હતા
 વેબ એપ્લિકેશન્સ, અને હવે હું પાછળ તેઓનો ઘણો સમય ઘણો
 મોબાઇલ એપ્લિકેશન્સ પર જોઈ અને જંગલી ત્યાં શું થઈ રહ્યું છે જોઈ છે.
 મોબાઇલ એપ્લિકેશન્સ ખરેખર પ્રભાવશાળી કમ્પ્યુટિંગ પ્લેટફોર્મ હશે આવે છે,
 તેથી અમે ખરેખર તમે સુરક્ષા ઉદ્યોગમાં છો સમય ઘણો પસાર કરવાની જરૂર
 વેબ એપ્લિકેશન્સ પર ધ્યાન કેન્દ્રિત.
 2011 માં ડાઉનલોડ 29 અબજ મોબાઇલ એપ્લિકેશન્સ હતા.
 તે 2014 સુધીમાં 76 અબજ એપ્લિકેશન્સ હોઈ આગાહી છે.
 આ વર્ષે ખરીદી શકાય જતાં હોય છે કે 686 મિલિયન ઉપકરણો છે,
 લોકો કરી કરી રહ્યા છે તેથી આ છે જ્યાં
  તેમની ક્લાઈન્ટ કમ્પ્યુટિંગ ભાગના આગળ જતાં.
 

હું ફિડેલિટી રોકાણો પર એક ઉપ પ્રમુખ માટે વાત કરી હતી
 થોડા મહિના પહેલા, એટલે તે તેઓ માત્ર વધુ ટ્રાફિક જોવા મળી હતી જણાવ્યું હતું કે,
 તેમના ગ્રાહક આધાર નાણાકીય વ્યવહારો કરી
 તેમની વેબસાઈટ પર કરતાં તેમના મોબાઇલ એપ્લિકેશન પર,
 તેથી ભૂતકાળમાં વેબ માટે એક સામાન્ય ઉપયોગ કરવામાં આવ્યો છે
 , તમારા સ્ટોક ક્વોટ્સ ચકાસણી તમારા પોર્ટફોલિયોને વ્યવસ્થા
 અને અમે ખરેખર પર 2012 સ્વીચ કે જોઈ રહ્યાં છો
 મોબાઇલ પ્લેટફોર્મ પર વધુ પ્રબળ છે.
 કોઇ ગુનાહિત પ્રવૃત્તિ હોય તેમ બનશે ચોક્કસપણે છે,
 કોઈ પણ દુષ્ટ પ્રવૃત્તિઓ, તે મોબાઇલ પ્લેટફોર્મ પર ધ્યાન કેન્દ્રિત કરવા માટે શરૂ થઈ રહ્યું છે
 લોકો કે પર સ્વિચ સમય પર રિલીઝ.
 તમે મોબાઇલ પ્લેટફોર્મ જોવા,
 તે અલગ અલગ સ્તરો માં તોડી ઉપયોગી છે પ્લેટફોર્મ જોખમ જોવા માટે,
 તમે ડેસ્કટોપ કમ્પ્યુટર પર જ કરવાનું હતું, જેમ કે
 અને તમે વિવિધ સ્તરો, સોફ્ટવેર, ઓપરેટિંગ સિસ્ટમ, વિશે વિચારો
 નેટવર્ક લેયર, હાર્ડવેર સ્તર, અને અલબત્ત, તે બધા સ્તરો પર નબળાઈઓ છે.
 

આ જ વાત મોબાઇલ પર થાય છે.
 પરંતુ મોબાઇલ, તે તે સ્તરો કેટલાક હાલત વધારે ખરાબ છે કે લાગે છે.
 એક માટે, નેટવર્ક લેયર મોબાઇલ પર વધુ સમસ્યારૂપ છે
 ઘણા લોકોને પોતાની ઓફિસ અથવા ઘર પર છે કારણ કે
 જોડાણો વાયર અથવા તેઓ ત Wi-Fi જોડાણો છે,
 અને મોબાઇલ ઉપકરણો ઘણો સાથે તમે ઘરની બહાર ચોક્કસપણે છો
 અથવા ખૂબ આ ઓફિસ બહાર છે, અને તમે વાઇ વૈજ્ઞાનિક ઉપયોગ કરી રહ્યાં છો ત્યાં
 તમે એક અસુરક્ષિત વાઇ વૈજ્ઞાનિક જોડાણ ઉપયોગ કરી શકે છે,
 જાહેર વાઇ વૈજ્ઞાનિક જોડાણ કંઈક કે જે,
 અમે મોબાઇલ એપ્લિકેશન્સ વિશે વિચારો તેથી જ્યારે અમે ધ્યાનમાં લઇ જાય છે
 નેટવર્ક પર્યાવરણ તે કાર્યક્રમો માટે જોખમી છે કે
 વાઇ વૈજ્ઞાનિક ઉપયોગ કરવામાં આવે છે.
 અને હું મોબાઇલ એપ્લિકેશન જોખમો વધુ માં મળી છે
 કે વધુ મહત્વપૂર્ણ છે શા માટે તમે જોશો.
 મોબાઇલ ઉપકરણો પર હાર્ડવેર સ્તરે જોખમ છે.
 આ ચાલુ સંશોધન એક વિસ્તાર છે.
 લોકો આ બ્રોડબેન્ડ હુમલા અથવા baseband હુમલા કૉલ
 તમે રેડિયો પર સાંભળી છે કે ફર્મવેર હુમલો કરી રહ્યાં છે.
 

આ ખરેખર ડરામણી હુમલા કારણ કે
 વપરાશકર્તા કંઈ પણ કરવા માટે નથી.
 તમે આરએફ શ્રેણી અંદર ઉપકરણો ઘણાં હિટ કરી શકે છે
 એક જ સમયે, અને તે આ સંશોધન પરપોટા જ્યારે જેવી લાગે છે
 તે ઝડપથી જ્યાં વર્ગીકૃત નહીં
 લોકો આસપાસ તરાપ મારો અને કહે છે, "અહીં, તે વિશે અમને જણાવો, અને તે વિશે વાત કરવાનું બંધ કરો."
 આ બ્રોડબેન્ડ વિસ્તારમાં થઈ રહ્યું કેટલાક સંશોધનો છે,
 પણ તે ખૂબ જ હુશ હુશ હોય તેમ લાગે છે.
 હું તેના પર ચાલી રહ્યું છે કે સંશોધનમાં એક રાષ્ટ્ર રાજ્ય પ્રકાર વધુ છે લાગે છે.
 સક્રિય સંશોધનનો વિસ્તાર છે, જોકે, ઓપરેટિંગ સિસ્ટમ સ્તર છે,
 અને ફરી, આ જુઓ: કમ્પ્યુટિંગ વિશ્વમાં કરતાં અલગ છે
 મોબાઇલ જગ્યામાં તમે Jailbreakers કહેવાય લોકો આ ટીમ છે, કારણ કે
 અને Jailbreakers નિયમિત નબળાઈ સંશોધકો કરતાં અલગ છે.
 તેઓ ઓપરેટિંગ સિસ્ટમમાં નબળાઈઓ શોધી પ્રયાસ કરી રહ્યા છો
 પરંતુ તેઓ નબળાઈઓ શોધી પ્રયાસ કરી રહ્યા છો કારણ નથી
 કોઈ બીજાના મશીન તોડી અને તે સમાધાન.
 તે તેમના પોતાના કોમ્પ્યુટર તોડી છે.
 તેઓ પોતાની મોબાઇલ તોડી માંગો 

તેમના પોતાના મોબાઇલ ઑપરેટિંગ સિસ્ટમ સુધારવા
 તેઓ તેમના પસંદગીના કાર્યક્રમો ચલાવી શકો છો, કે જેથી
 અને સંપૂર્ણ વહીવટી પરવાનગીઓ સાથે વસ્તુઓ બદલવા માટે,
 અને તેઓ આ અંગે વિક્રેતા કહેવું નથી માંગતા. તેઓ સફેદ ટોપી સુરક્ષા સંશોધક છે, કે જે સુરક્ષા સંશોધક પસંદ નથી કરી રહ્યાં છો
 જવાબદાર જાહેરાત કરી છે અને તે અંગે વિક્રેતા કહી રહ્યું છે.
 તેઓ આ સંશોધન કરવા માંગો છો, અને તેઓ ખરેખર તેને પ્રકાશિત કરવા માંગો છો
 એક શોષણ અથવા એક rootkit અથવા Jailbreak કોડ છે,
 અને તેઓ અધિકાર પછી, જેમ કે વ્યૂહાત્મક તે કરવા માંગો છો
 વિક્રેતા જહાજો નવી ઓપરેટિંગ સિસ્ટમ.
 આ વિરોધી સંબંધ
 મોબાઇલ પર ઓએસ લેવલ નબળાઈઓ સાથે,
 હું ખૂબ રસપ્રદ છે, અને એક જ જગ્યાએ અમે તેને જોઈ જે
 સારી શોષણ પ્રકાશિત કોડ ત્યાં છે કે જેથી તે તે બનાવે છે
 કર્નલ લેવલ નબળાઈઓ માટે,
 અને અમે ખરેખર મૉલવેર લેખકો દ્વારા વાપરી શકાય તે જોઇ છે.
 તે પીસી વિશ્વ કરતાં થોડુંક અલગ છે.
 અને પછી અંતિમ સ્તર ઉપર સ્તર, તો કાર્યક્રમ સ્તર છે.
 કે હું આજે વિશે વાત જાઉં છું શું છે.
 >>, અન્ય સ્તરો અસ્તિત્વ ધરાવે છે, અને અન્ય સ્તરો તેને રમવા
 પરંતુ હું મોટે ભાગે અરજી સ્તર પર ચાલી રહ્યું છે તે વિશે વાત કરવા જઈ રહ્યો છું
 કોડ આ સેન્ડબોક્સ માં ચાલી રહ્યુ છે.
 તે સંચાલક વિશેષાધિકારો નથી.
 તે ઉપકરણ API નો ઉપયોગ કરવા માટે છે,
 પરંતુ હજુ પણ, દુષ્ટ પ્રવૃત્તિઓ ઘણો અને જોખમ ઘણો કે સ્તર પર થાય છે
 કે બધી માહિતી છે કે જ્યાં સ્તર છે કારણ કે.
 એપ્લિકેશન્સ ઉપકરણ પર બધી માહિતી ઍક્સેસ કરી શકો છો
 તેઓ યોગ્ય પરવાનગી છે,
 અને તેઓ ઉપકરણ પર વિવિધ સેન્સર ઍક્સેસ કરી શકો છો,
 જીપીએસ સેન્સર, માઇક્રોફોન, કેમેરા, તમારી પાસે છે.
 અમે માત્ર અરજી સ્તર પર વિશે વાત કરી રહ્યા છીએ, પણ તે
 આપણે ત્યાં જોખમ ઘણો છે.
 મોબાઇલ પર્યાવરણ વિશે અલગ છે કે અન્ય બાબત
 બધા ઓપરેટિંગ સિસ્ટમ ખેલાડીઓ, તે છે અથવા Android બ્લેકબેરી
 અથવા iOS અથવા વિન્ડોઝ મોબાઇલ, તેઓ બધા એક સૂક્ષ્મ પ્રકારની પરવાનગી મોડેલ છે
 અને આ માટે તેઓ ઓપરેટિંગ સિસ્ટમ માં સમાયેલ છે કે જે માર્ગ છે
 તે તમને લાગે તરીકે જોખમી નથી, તે વિચાર.
 જો તમને ત્યાં પર તમારા બધા સંપર્કો છે, પણ તે તમારા બધા વ્યક્તિગત માહિતી,
 તમે તમારા ફોટા છે, તમે ત્યાં તમારા સ્થાન છે
 જો તમને ત્યાં પર ઓટો પ્રવેશ માટે તમારી બેંક પિન સ્ટોર કરી રહ્યાં છે, તે સુરક્ષિત છે, કારણ કે
 એપ્લિકેશન્સ કેટલાક ભાગોમાં પર કરવા માટે આપે ચોક્કસ પરવાનગી છે
 ઉપકરણ પર માહિતી, અને વપરાશકર્તાનો સાથે રજૂ કરી શકાય છે
 આ પરવાનગીઓ અને ઠીક છે.
 

તે સાથે સમસ્યા હંમેશા વપરાશકર્તા છે ઠીક છે.
 સુરક્ષા વ્યક્તિ તરીકે, હું તમે વપરાશકર્તા સંકેત આપી શકે છે જાણો છો,
 ખરેખર ખરાબ કંઈક થવાનું છે કહે છે, તો તમે તેને શું કરવા માંગો છો?
 અને તેઓ ધસારો છો અથવા તે બીજી બાજુ પર ખરેખર લલચાવવા એ, કોઇએ કંઈક છે, તો,
 જેવી રમત છે, તેઓ માટે રાહ જોઈ રહ્યો છું કે સ્થાપિત કરી રહ્યા છે
 તેઓ ઠીક ક્લિક કરો રહ્યા છીએ.
 હું માત્ર મારા પહેલાથી જ ડુક્કર અંતે પક્ષીઓ ઘસવું દો અહીં મારા સ્લાઇડ પર કહે છે શા માટે છે,
 અને તમે બ્લેકબેરી પરવાનગી બોક્સની ઉદાહરણો છે અહીં સ્લાઇડ પર જોઈ શકો છો.
 તે "બ્લેકબેરી યાત્રા એપ્લિકેશન પરવાનગીઓ સુયોજિત કરો કહે છે
 તેને નીચેના બટન પર ક્લિક "અને મૂળભૂત વપરાશકર્તા માત્ર કહેવું રહ્યું છે પછી
 પરવાનગીઓ સેટ અને સાચવો.
 અહીં તે વસ્તુઓ બતાવે છે, Android પ્રોમ્પ્ટ છે,
 અને તે ખરેખર લગભગ એક ચેતવણી કે લાગે છે કે કંઈક મૂકે છે.
 તે ત્યાં ઉપજ સાઇન કહ્યું નેટવર્ક સંચાર, ફોન કૉલ એક પ્રકારના મળ્યું છે
 પણ વપરાશકર્તા અધિકાર સ્થાપિત કરો પર ક્લિક રહ્યું છે?
 અને પછી એપલ એક સંપૂર્ણપણે નિરુપદ્રવી છે.
 તે ચેતવણી કોઇ પણ પ્રકારના આપતું નથી.
 તે એપલ તમારું હાલનું સ્થાન ઉપયોગ કરવા માંગો છો માત્ર છે.
 અલબત્ત તમે ઠીક ક્લિક કરો રહ્યા છીએ.
 

આ સાદા પરવાનગી મોડેલ છે
 અને એપ્લિકેશન્સ તેઓ જાહેર કરે છે મેનિફેસ્ટ ફાઇલનો હોય છે
 , પરવાનગીઓ તેઓ જરૂર છે, અને તે વપરાશકર્તા માટે દર્શાવવામાં આવશે
 અને વપરાશકર્તા હું આ મંજૂરી આપવા કહે છે પડશે.
 પરંતુ પ્રમાણિક પ્રયત્ન કરીએ.
 વપરાશકર્તાઓ માત્ર હંમેશા ઠીક કહી જતા હોય છે.
 માતાનો આ એપ્લિકેશન્સ માટે પૂછે છે કે પરવાનગીઓ પર એક ઝડપી નજર
 અને છે કે પરવાનગીઓ અમુક છે.
 આ કંપની પ્રેટોરીયન ગયા વર્ષે સર્વેક્ષણ કર્યું
 Android બજાર અને 3 જી પાર્ટી બજારોમાં વિશ્લેષણ 53,000 કાર્યક્રમો,
 તેથી આ બધા Android છે.
 અને સરેરાશ એપ્લિકેશન 3 પરવાનગીઓ વિનંતી કરી.
 કેટલીક એપ્લિકેશન્સ 117 પરવાનગીઓ વિનંતી,
 તેથી સ્વાભાવિક રીતે આ સમજવા માટે વપરાશકર્તા માટે દાણાદાર અને રસ્તો ખૂબ જટિલ ખૂબ જ સુંદર છે
 તેઓ આ 117 પરવાનગીઓ જરૂરી છે કે આ એપ્લિકેશન સાથે રજૂ કરી રહ્યાં છો.
 તે 45 પૃષ્ઠો લાંબો છે કે અંતિમ વપરાશકર્તા લાઈસન્સ મંજૂરીપત્ર જેવું છે.
 કદાચ ટૂંક સમયમાં તેઓ તે જેવું છે જ્યાં એક વિકલ્પ પડશે
 પરવાનગીઓ છાપો અને મને ઇમેઇલ મોકલો.
 

પરંતુ તમે ઉપરની રસપ્રદ પરવાનગીઓ કેટલાક જોવા તો
 તેઓ 53,000 બહાર ડાઉનલોડ કે એપ્લિકેશન્સ 24%
 ઉપકરણ માંથી વિનંતી જીપીએસ જાણકારી.
 8% સંપર્કો વાંચો.
 4% એસએમએસ મોકલવામાં, અને 3% એસએમએસ પ્રાપ્ત થઈ છે.
 2% ઓડિયો રેકોર્ડ.
 1% આઉટગોઇંગ કોલ્સ પ્રક્રિયા.
 મને ખબર નથી.
 હું એપ્લિકેશન સ્ટોર માં એપ્લિકેશન્સ 4% ખરેખર એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવાની જરૂર નથી લાગતું
 તેથી હું કમનસીબ કંઈક પર ચાલે છે કે એક સંકેત છે લાગે છે.
 એપ્લિકેશંસ 8% તમારા સંપર્કો યાદી પણ વાંચી કરવાની જરૂર છે. તે કદાચ જરૂરી નથી.
 પરવાનગીઓ વિશે અન્ય રસપ્રદ વસ્તુઓ છે કે છે
 તમે કાર્યક્રમમાં માં વહેંચાયેલ લાઈબ્રેરીઓમાં લિંક જો
 તે અરજી ની પરવાનગીઓ બોલાવે,
 તેથી તમારા એપ્લિકેશન સંપર્ક સૂચિ જરૂર અથવા કામ કરવા માટે જીપીએસ સ્થાન જરૂર છે કે નહી
 અને તમે દાખલા તરીકે, જાહેરાત પુસ્તકાલય લિંક,
 તે જાહેરાત પુસ્તકાલય પણ સંપર્કો ઍક્સેસ કરવા માટે સક્ષમ હશે
 અને એ પણ જીપીએસ સ્થાન વાપરવા માટે સમર્થ હોય છે,
 અને એપ્લિકેશન વિકાસકર્તા જાહેરાત પુસ્તકાલય ચાલી રહ્યો છે તે કોડ વિશે કંઇ જાણે છે.
 તેઓ તેમના એપ્લિકેશન મુદ્રીકરણ કરવા માંગો છો કારણ કે તેઓ માત્ર કે લિંક કરી રહ્યાં છો.
 

કયાં અને હું સાથે આ કેટલાક ઉદાહરણો વિશે વાત કરીશું
 પાન્ડોરા નામની એક એપ્લિકેશન જ્યાં એપ્લિકેશન વિકાસકર્તા
 અજાણતા માહિતી લીક થઈ શકે છે
 તેમના વપરાશકર્તાઓ તરફથી કારણ કે તેઓ સાઇન કડી થયેલ છે લાઈબ્રેરીઓનો
 તમામ વિવિધ એપ્લિકેશન્સ જોઈ, ત્યાં લેન્ડસ્કેપ સરવે
 દૂષિત અથવા કરી કંઈક વપરાશકર્તાઓ નહિં માંગો હતી, કારણ કે સમાચાર માં જાણ કરવામાં આવેલ
 અને પછી ઘણો નિરીક્ષણ એપ્લિકેશન્સ-અમે મોબાઇલ એપ્લિકેશન્સ પર સ્થિર દ્વિસંગી વિશ્લેષણ રમું છું
 તેથી અમે તેમને પરીક્ષણ અને કોડ પર ધ્યાન આપવામાં આવે છે પોતે-
 આપણે કાર્યક્રમોમાં જોખમી વર્તન અમારા ટોચના 10 યાદી ફોન સાથે આવ્યા હતા.
 અને તે 2 વિભાગો, દૂષિત કોડ તૂટી ગયેલ છે
 તેથી આ એપ્લિકેશન્સ કરી છે કે જે કદાચ ખરાબ વસ્તુઓ છે કે
 કે દૂષિત વ્યક્તિગત કંઈક હોઈ શકે છે
 ખાસ અરજી મૂકી છે, પરંતુ તે થોડો ઝાંખું છે છે.
 તે ડેવલપર દંડ છે વિચારે છે કે જે કંઈક હોઈ શકે છે
 પરંતુ તે વપરાશકર્તા દ્વારા દૂષિત વિચાર આવી રહી અંત થાય છે.
 

અને પછી બીજા વિભાગમાં અમે નબળાઈઓ કોડિંગ કૉલ છે,
 અને આ ડેવલપર મૂળભૂત ભૂલો બનાવવા થયેલ છે વસ્તુઓ છે
 અથવા માત્ર સુરક્ષિત રીતે એપ્લિકેશન લખવા માટે કેવી રીતે નથી,
  અને તે જોખમ પરની એપ્લિકેશન પર વપરાશકર્તા મૂકી છે.
 હું વિગતવાર આ મારફતે જાઓ અને કેટલાક ઉદાહરણો આપી જાઉં છું.
 સંદર્ભ માટે, હું OWASP મોબાઇલ ટોચના 10 યાદી છે મૂકવા માગે છે.
 આ 10 મુદ્દાઓ છે કે OWASP ખાતે જૂથ,
 ઓપન વેબ એપ્લિકેશન સુરક્ષા યોજના, તેઓ એક કામ જૂથ છે
 મોબાઇલ ટોચના 10 યાદી પર કામ.
 તેઓ ટોચની 10 છે, જે ખૂબ જ પ્રખ્યાત વેબ ટોચના 10 યાદી, છે
 riskiest વસ્તુઓ તમે વેબ કાર્યક્રમમાં કરી શકે છે.
 તેઓ મોબાઇલ માટે આ જ વાત કરી રહ્યા છીએ,
 અને તેમની યાદી અવર્સ કરતાં થોડું અલગ છે.
 10 બહાર 6 જ છે.
 તેઓ અલગ અલગ છે 4 છે.
 હું તેઓ પર વિવિધ લઇ એક થોડો છે લાગે છે
 મોબાઇલ એપ્લિકેશન્સ માં જોખમ છે તેમના મુદ્દાઓ ઘણો
 ખરેખર અરજી બેક એન્ડ સર્વર સાથે વાતચીત છે કેવી રીતે
 અથવા શું બેક સર્વર પર ચાલી રહ્યું છે,
 માત્ર સરળ ક્લાઈન્ટ એપ્લિકેશન્સ છે કે જોખમી વર્તન હોય છે ખૂબ જ કે એપ્લિકેશન્સ.
 

અહીં લાલ આ મુદ્દાઓ 2 યાદીઓ વચ્ચે તફાવત છે.
 અને મારા સંશોધન ટીમ કેટલાક ખરેખર આ પ્રોજેક્ટ માટે ફાળો આપ્યો છે,
 તેથી અમે સમય પર થાય છે તે દેખાશે, પણ હું અહીં takeaway છે
 અમે ખરેખર ટોચની 10 યાદીમાં મોબાઇલ એપ્લિકેશન્સ છે તે ખબર નથી કારણ કે
 તેઓ ખરેખર માત્ર હવે 2 અથવા 3 વર્ષ માટે આસપાસ કરવામાં આવી છે
 અને ખરેખર ઓપરેટિંગ સિસ્ટમો સંશોધન માટે પૂરતો સમય ત્યાં નથી
 અને તેઓ શું કરવા માટે સક્ષમ છીએ, અને પર્યાપ્ત સમય નથી
 તમે કરશે જો દૂષિત સમુદાય માટે, પૂરતો સમય પસાર કર્યો હોય તેમ
 મોબાઇલ એપ્લિકેશન્સ દ્વારા વપરાશકર્તાઓ હુમલો કરવાનો પ્રયાસ કરી છે, તેથી હું આ યાદીઓ થોડો ફેરફાર અપેક્ષા.
 પરંતુ હવે માટે, આ ચિંતા ટોચના 10 વસ્તુઓ છે.
 તમે મોબાઇલ બાજુ પર આશ્ચર્ય શકે છે જ્યાં કરે દૂષિત મોબાઇલ કોડ-
 કેવી રીતે તે ઉપકરણ પર વિચાર કરે છે?
 ઉત્તર કેરોલિના રાજ્ય મોબાઇલ મૉલવેર વંશસૂત્ર પ્રોજેક્ટ કહેવાય પ્રોજેક્ટ છે
 જ્યાં તેઓ તેઓ કરી શકે છે એટલું મોબાઇલ મૉલવેર એકઠી કરે છે અને તે વિશ્લેષણ કરવામાં આવે છે
 અને તેઓ મોબાઇલ મૉલવેર વાપરે છે ઈન્જેક્શન વેક્ટર્સ ભાંગી છે
 અને 86%, પુનઃરચના કહેવાય ટેકનિકનો ઉપયોગ
 અને આ, Android પ્લેટફોર્મ પર જ છે
 તમે ખરેખર આ પુનઃરચના કરી શકો છો.
 

કારણ, Android કોડ સાથે બનેલ છે છે
 સરળતાથી decompilable છે Dalvik કહેવાય જાવા બાઇટ કોડ.
 શું ખરાબ વ્યક્તિ કરી શકે છે
 , Android એપ્લિકેશન લે છે, તે decompile,
 તેમના દૂષિત કોડ દાખલ કરો, તેને પુનઃકમ્પાઈલ,
 અને પછી તે કાર્યક્રમની નવી આવૃત્તિ હોઈ આશયથી એપ્લિકેશન સ્ટોર તે મૂકવામાં,
 અથવા માત્ર કદાચ અરજી ના નામ બદલીને.
 તે રમત અમુક પ્રકારની હતી, સહેજ નામ બદલવા
 અને તેથી આ પુનઃરચના મોબાઇલ મૉલવેર 86% વિતરિત નહીં કેવી રીતે છે.
 જે અન્ય ટેકનિક કહેવાય સુધારો છે
 પુનઃરચના ખૂબ સમાન છે, પરંતુ તમે ખરેખર સાઇન દૂષિત કોડ મૂકી નથી
 તમે શું તમે નાના સુધારા પદ્ધતિ મૂકવા છે.
 તમે decompile, તમે સુધારો પદ્ધતિ મૂકવા, અને તમે તેને પુનઃકમ્પાઈલ,
 અને પછી એપ્લિકેશન તે ઉપકરણ પર મૉલવેર નીચે બનાવ્યા ચાલી રહ્યું છે.
 

અત્યાર ભાગના તે 2 તરકીબો છે.
 મોબાઇલ પર ખરેખર ખૂબ ડાઉનલોડ ડ્રાઈવ-bys અથવા ડ્રાઇવ દ્વારા ડાઉનલોડ્સ, નથી
 ફિશિંગ હુમલો જેવા છે જે.
 અરે, આ ખરેખર ઠંડી વેબસાઇટ તપાસો
 અથવા જો તમે આ વેબસાઇટ પર જાઓ અને આ ફોર્મ ભરવા માટે જરૂર છે
 આવું ચાલુ રાખો. તે હુમલા ફિશીંગ છે.
 આ જ વાત મોબાઇલ પ્લેટફોર્મ પર થાય છે જ્યાં તેઓ
 , ડાઉનલોડ કહે છે મોબાઇલ એપ્લિકેશન માટે નિર્દેશ "હાય, આ બેન્ક ઓફ અમેરિકા છે."
 "અમે તમને આ એપ્લિકેશન ઉપયોગ કરી રહ્યાં છો જુઓ."
 "તમે આ અન્ય એપ્લિકેશન ડાઉનલોડ કરી શકો."
 થીયરી પ્રમાણે, જો તે કામ કરી શકે છે.
 કદાચ તે હમણાં જ તે સફળ છે કે નહીં તે નક્કી કરવા માટે પૂરતી ઉપયોગ કરવામાં આવી રહ્યો નથી
 પરંતુ તેઓ સમય કે ટેકનિક ઓછી 1% વપરાય છે છે.
 આ સમય મોટા ભાગના તે ખરેખર એક repackaged કોડ છે.
 

અન્ય શ્રેણી કહેવાય એકલ છે
 કોઈને માત્ર એકદમ નવી અરજી બનાવે છે.
 તેઓ કંઈક હોઈ purports કે એક એપ્લિકેશન બનાવી.
 તે કંઈક બીજું એક પુનઃરચના નથી, અને તે દૂષિત કોડ છે.
 તે વખતે 14% માટે વપરાય છે.
 હવે હું દૂષિત કોડ શું કરી છે તે વિશે વાત કરવા માંગો છો?
 ત્યાં પ્રથમ મૉલવેર એક
 તમે સ્પાયવેર કરી શકીએ.
 તે વાસ્તવમાં વપરાશકર્તા પર સ્પાઇઝને.
 ઈમેઈલો, એસએમએસ સંદેશાઓ એકત્રિત કરે છે.
 તે માઇક્રોફોન ચાલુ કરે છે.
 તે સંપર્ક પુસ્તક પાક છે, અને તે અન્ય કોઈને તેને મોકલે છે.
 સ્પાયવેર આ પ્રકારની પીસી પર અસ્તિત્વ ધરાવે છે,
 લોકો મોબાઇલ ઉપકરણો પર આ કરવા માટે પ્રયાસ માટે તેથી તે સંપૂર્ણ અર્થમાં બનાવે છે.
 

આ પ્રથમ ઉદાહરણો છે ગુપ્ત એસએમએસ Replicator નામના પ્રોગ્રામ હતો.
 તે વર્ષ દંપતી પહેલાં, Android બજાર હતો
 તમે કોઈની Android ફોન ઍક્સેસ હતી અને જો આ વિચાર હતો
 તમે પર જાસૂસ માગતા હતા, તેથી કદાચ તે તમારા પતિ કે
 અથવા તમારા અન્ય નોંધપાત્ર અને તમે તેમના ટેક્સ્ટ મેસેજિંગ પર જાસૂસ કરવા માંગો છો,
 તમે આ એપ્લિકેશન ડાઉનલોડ કરો અને તેને સ્થાપિત અને તે રૂપરેખાંકિત કરી શકે છે
 નકલ સાથે તમને એક એસએમએસ ટેક્સ્ટ મેસેજ મોકલવા માટે
 દરેક એસએમએસ ટેક્સ્ટ મેસેજ તેઓ જાય છે.
 આ સ્પષ્ટપણે, સેવા ની એપ સ્ટોર શરતો ઉલ્લંઘન છે
 અને આ તે ત્યાં છે 18 કલાકની અંદર, Android બજારથી દૂર કરવામાં આવી હતી
 તેથી લોકો ખૂબ ઓછી સંખ્યામાં આ કારણે જોખમ હતા.
 હવે, મને લાગે છે કે આ કાર્યક્રમ કંઈક કદાચ થોડા ઓછા ઉત્તેજક તરીકે ઓળખાતું હતું, જો
 ગુપ્ત એસએમએસ Replicator જેમ તે કદાચ પુષ્કળ સારું કામ કર્યું હશે.
 પરંતુ તે પ્રકારની સ્પષ્ટ દેખાતી હતી.
 

અમે એપ્લિકેશન્સ અમે નથી માંગતા કે આ વર્તન હોય છે તે નક્કી કરવા માટે કરી શકો છો એક વસ્તુઓ
 FIPS એ તપાસ કરવી છે.
 આ વાસ્તવમાં અમે એપ્લિકેશન્સ સેવાઓ અથવા સૉફ્ટવેરને ડિકમ્પાઇલ શકે છે, Android પર શું ખરેખર સરળ છે.
 IOS પર તમે આઇડીએ પ્રો જેવા disassembler ઉપયોગ કરી શકો છો
 એપ્લિકેશન કૉલ કરે છે અને તે શું કરી રહ્યો છે API નો શું જોવાનું છે.
 અમે અમારા કોડ માટે આપણા પોતાના દ્વિસંગી સ્થિર વિશ્લેષક લખ્યું
 અને અમે આ કરવા માટે, અને તેથી તમે કરી શકે શું તમે કહી શકે છે
 ઉપકરણ મૂળભૂત રીતે મારા પર જાસૂસી અથવા મને ટ્રૅક કરી રહ્યું છે જે કંઇ થાય છે?
 અને હું અહીં આઇફોન પર કેટલાક ઉદાહરણો છે.
 આ પ્રથમ ઉદાહરણ ફોન પર UUID કેવી રીતે વાપરવા માટે છે.
 આ વાસ્તવમાં એપલ માત્ર નવા કાર્યક્રમો માટે પ્રતિબંધિત છે કે કંઈક છે,
 પરંતુ તમે તમારા ફોન પર ચાલી શકે છે જૂના કાર્યક્રમો હજુ પણ આ કરી શકો છો,
 અને તેથી તે અનન્ય ઓળખકર્તા તમે ટ્રૅક કરવા માટે વાપરી શકાય છે
 ઘણાં વિવિધ કાર્યક્રમો સમગ્ર.
 

આ, Android પર, હું અહીં ઉપકરણ સ્થાન મેળવવાની એક ઉદાહરણ છે.
 તમે કે API ને કૉલ છે કે જો એપ્લિકેશન ટ્રૅક કરી રહ્યું છે તે જોઈ શકે છે
 અને તમે તેને દંડ સ્થાન અથવા બરછટ પાંચ મેળવવામાં છે કે શું જોઈ શકો છો.
 અને પછી અહીં નીચે, હું બ્લેકબેરી પર કેવી રીતે એક ઉદાહરણ છે
 અરજી તમારા ઇનબૉક્સમાં ઇમેઇલ ને એક્સેસ કરી શકે છે.
 આ તમે જોવા માટે તપાસ કરી શકો છો વસ્તુઓ જે પ્રકારનું છે
 એપ્લિકેશન તે વસ્તુઓ કરી છે તો.
 બીજા મોટા દૂષિત વર્તન શ્રેણી, અને આ હવે કદાચ સૌથી મોટી શ્રેણી છે,
 છે અનધિકૃત ડાયલીંગ, અનધિકૃત પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ
 અથવા અનધિકૃત ચૂકવણી.
 ફોન વિશે અનન્ય છે અન્ય વસ્તુ
 ઉપકરણ એક બિલિંગ એકાઉન્ટ જોડાયેલ છે છે,
 અને પ્રવૃત્તિઓ માટે ફોન પર થાય ત્યારે
 તે ખર્ચ બનાવી શકો છો.
 તમે ફોન પર વસ્તુઓ ખરીદી શકો છો,
 તમે પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મોકલી અને જ્યારે તમે ખરેખર નાણાં આપીને કરી રહ્યાં છો
 બીજી બાજુ પર ફોન નંબર ના એકાઉન્ટ ધારક છે.
 આ સ્ટોક ક્વોટ્સ વિચાર અથવા તમારા દૈનિક જન્માક્ષર અથવા અન્ય વસ્તુઓ મેળવવા માટે સુયોજિત કરવામાં આવી હતી,
 પરંતુ તેઓ એક SMS લખાણ મોકલીને એક પેદાશ કાયદો કરવા માટે સેટ કરી શકાય છે.
 લોકો ટેક્સ્ટ મેસેજ મોકલીને રેડ ક્રોસ માટે પૈસા આપે છે.
 તમે $ 10 તે રીતે આપી શકે છે.
 

તેઓ કંઇ કર્યું છે તે આ હુમલાખોરો, તેઓ સુયોજિત છે
 વિદેશમાં એકાઉન્ટ્સ, અને તેઓ મૉલવેર એમ્બેડ
 ફોન પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મોકલી કરશે,
 થોડા વખત, અને તમે ખર્ચ્યા કર્યા છે તમે ખ્યાલ મહિનાના અંતે, કહે છે
 દસ અથવા કદાચ ડોલર પણ સેંકડો, અને તેઓ નાણાં સાથે દૂર જવામાં.
 આ, આ ખૂબ જ પ્રથમ બાબત હતી કે જેથી ખરાબ થઈ જાય છે કે, Android
 બજાર અથવા Google સ્થાન-તે સમયે, Android બજાર હતું
 અને તે Google પ્લે-ગૂગલ માટે તપાસ શરૂ કરી છે કે પ્રથમ વસ્તુ હવે છે.
 Google તેમના એપ્લિકેશન સ્ટોર Android એપ્લિકેશન્સ વિતરણ શરૂ થયું ત્યારે
 તેઓ કંઈપણ તપાસ રહ્યું નથી આવ્યા હતા.
 અમે તેઓ અમારી સેવાની શરતો ભાંગી છે જાણ કરવામાં આવી છે એક વાર અમે એપ્લિકેશન્સ ખેંચવાનો પડશે,
 પરંતુ આપણે કંઈ માટે ચકાસવા માટે જઈ રહ્યાં છો. ઠીક છે, લગભગ એક વર્ષ પહેલા તે આ પ્રીમિયમ એસએમએસ ટેક્સ્ટ મેસેજ મૉલવેર સાથે જેથી ખરાબ થઈ જાય છે
 આ માટે તેઓ ચકાસણી શરૂ ખૂબ જ પ્રથમ વસ્તુ છે.
 એક એપ્લિકેશન એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલી શકો છો જો
 તેઓ વધુ જાતે કે અરજી ચકાસણી કરવી.
 તેઓ આ તરીકે ઓળખાવવામાં આવતી API માટે જુઓ,
 અને હવે ત્યારથી ગૂગલ વધારો કર્યો છે,
 પરંતુ આ તેઓ શોધી શરૂ કરે છે તે પ્રથમ બાબત હતી.
 

કેટલાક એસએમએસ ટેક્સ્ટ સંદેશાઓ હતી કે કેટલાક અન્ય એપ્લિકેશંસ,
 આ, Android Qicsomos, હું તે કહે છે ધારી.
 આ CarrierIQ બહાર આવી છે મોબાઇલ પર આ વર્તમાન ઘટના હતી
 તરીકે સ્પાયવેર, પાંચ વિમાનો દ્વારા ઉપકરણ પર મૂકી
 જેથી લોકો તેમના ફોન આ માટે સંવેદનશીલ હોય તો જાણવા માગે છે
 અને આ કે પરીક્ષણ કે મફત એપ્લિકેશન હતી.
 ઠીક છે, અલબત્ત, આ એપ્લિકેશન હતી, તે પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવામાં
 જેથી તમે સ્પાયવેર ચેપ રહ્યાં છો તે જોવા માટે પરીક્ષણ દ્વારા
 તમે તમારા ઉપકરણ પર મૉલવેર લોડ.
 અમે આ જ વાત છેલ્લા સુપર બાઉલ ખાતે થાય જોવા મળી હતી.
 પાંચ મેડન ફૂટબોલ રમત એક બનાવટી આવૃત્તિ હતી
 કે પ્રીમિયમ એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવામાં આવે છે.
 તે ખરેખર ઉપકરણ પર પણ એક બોટ નેટવર્ક બનાવવા માટે પ્રયાસ કર્યો હતો.
 અહીં હું કેટલાક ઉદાહરણો છે.
 રસપ્રદ પૂરતી, એપલ, ખૂબ સરસ હતી
 અને તેઓ કાર્યક્રમો બધા એસએમએસ ટેક્સ્ટ સંદેશાઓ મોકલવા માટે મંજૂરી આપતા નથી.
 કોઈ એપ્લિકેશન કરી શકો છો.
 કે નબળાઈ સમગ્ર વર્ગ છૂટકારો મેળવવા એક મહાન માર્ગ છે,
 પરંતુ, Android પર તમે તે કરી શકો છો, અને અલબત્ત, બ્લેકબેરી પર તમે પણ કરી શકો છો.
 તે બ્લેકબેરી પર તમે જરૂર ઇન્ટરનેટ પરવાનગીઓ કે રસપ્રદ છે
 એક SMS ટેક્સ્ટ સંદેશ મોકલ્યો છે.
 

અમે જોવા ખરેખર છે કે અન્ય વસ્તુ
 અમે કંઈક દૂષિત છે તે જોવા માટે શોધી રહ્યા છો ત્યારે તો કોઈપણ પ્રકારની છે
 અનધિકૃત નેટવર્ક ક્રિયા, જેવા નેટવર્ક ક્રિયા જોવા
 એપ્લિકેશન તેની કાર્યક્ષમતા હોય છે તેવું માનવામાં આવે છે,
 અને આ અન્ય નેટવર્ક ક્રિયા જુઓ.
 કદાચ કામ માટે એક એપ્લિકેશન, HTTP ઉપર માહિતી મળી છે,
 પરંતુ તે ઇમેઇલ અથવા SMS અથવા બ્લૂટૂથ અથવા તે કંઈક પર વસ્તુઓ કરી છે જો
 હવે એપ્લિકેશન સંભવિત દૂષિત હોઈ શકે છે, તેથી આ તમારા માટે તપાસ કરી શકે છે અન્ય વસ્તુ છે.
 અને અહીં આ સ્લાઈડ પર હું કે કેટલાક ઉદાહરણો છે.
 અમે મૉલવેર સાથે જોવા મળી હતી બીજી એક રસપ્રદ વાત, 2009 માં થયું
 અને તે મોટા પાયે થાય છે.
 તે ત્યારથી ખૂબ જ થયું છે તો મને ખબર નથી, પરંતુ તે એક એપ્લિકેશન હતી
 કે બીજા કાર્યક્રમ સ્વાંગ રચી.
 ત્યાં એપ્લિકેશન્સ સમૂહ હતી, અને તે 09Droid હુમલો ડબ કરવામાં આવી હતી
 અને કોઈ નાના, પ્રાદેશિક, મિડસાઇઝ બેન્કો ઘણો હતા નક્કી કર્યું કે
 ઓનલાઇન બેન્કિંગ કાર્યક્રમો ન હતી કે,
 તેથી તેઓએ શું કર્યું કે તેઓ આશરે 50 ઓનલાઇન બેન્કિંગ કાર્યક્રમો બાંધવામાં હતી
 તેઓ બધા વપરાશકર્તા નામ અને પાસવર્ડ લઇ હતી
 અને વેબસાઈટ પર તમે પુનઃદિશામાન કરે છે.
 અને તેથી તેઓ ગૂગલ બજાર આ બધા મૂકી,
 એન્ડ્રોઇડ માર્કેટપ્લેસ, અને કોઈ શોધી જોવા માટે જ્યારે જો તેમના બેંક
 , તેઓ બનાવટી અરજી મળશે અરજી હતી
 તેમના પ્રમાણપત્રો એકત્ર અને પછી તેમની વેબસાઈટ તેમને રીડાયરેક્ટ છે.
 આ ખરેખર છે કે જે રીતે બની હતી ધ એપ્લિકેશન્સ, થોડા અઠવાડિયા માટે હતા
 અને ડાઉનલોડ અને હજારો હજારો હતા.
 

આ પ્રકાશમાં આવી રીતે કોઇ સમસ્યા આવી રહી હતી
 આ કાર્યક્રમો છે, અને તેઓ તેમના બેંક કહેવાય છે, સાથે
 અને તેઓ તેમના બેંક ગ્રાહક આધાર રેખા કહેવામાં આવે છે અને જણાવ્યું હતું કે,
 "હું તમારા મોબાઇલ બેન્કિંગ અરજી સાથે સમસ્યા આવી રહી છે."
 "તમે મને મદદ કરી શકે છે?"
 અને તેઓ "અમે એક મોબાઇલ બેન્કિંગ કાર્યક્રમ નથી." જણાવ્યું હતું કે,
 તે તપાસ શરૂ કરી હતી.
 , તે બેંક ગૂગલ કહેવાય છે, અને પછી ગૂગલ જોવામાં અને જણાવ્યું હતું કે,
 "વાહ, એ જ લેખક, 50 બેન્ક કાર્યક્રમો લખ્યું છે" અને તેમને બધા નીચે લીધો હતો.
 પરંતુ ચોક્કસપણે આ ફરી બની શકે છે તેમ.
 તમામ વિવિધ બેન્કો યાદી અહીં છે
 કે આ કૌભાંડ ભાગ હતા.
 એક એપ્લિકેશન કરી શકો છો અન્ય બાબત બીજી અરજી UI એ હાજર છે.
 તે ચાલી રહ્યું છે તે ફેસબુક UI એ પોપઅપ શકે છે.
 તે તમને ચાલુ રાખવા માટે તમારા વપરાશકર્તા નામ અને પાસવર્ડ માં મૂકવો પડશે કહે છે
 અથવા વેબસાઇટ માટે કોઇ વપરાશકર્તા નામ અને પાસવર્ડ UI એ મૂકી
 કે કદાચ વપરાશકર્તા વપરાશકર્તા ટ્રીક પ્રયાસ માત્ર વાપરે
 સાઇન તેમના ઓળખાણપત્ર મૂકવા માં
 આ ખરેખર ઇમેઇલ ફિશીંગ હુમલા એક સીધી સમાંતર છે
 કોઈ તમને એક ઇમેઇલ સંદેશ મોકલે છે જ્યાં
 અને તમે એક વેબસાઇટ માટે મૂળભૂત રીતે નકલી UI એ આપે છે
 તમે વપરાશ હોય છે.
 

અમે દૂષિત કોડ જોવા અન્ય બાબત સિસ્ટમ સુધારો છે.
 તમે રુટ વિશેષાધિકાર જરૂરી છે કે જે બધી API કોલોની માટે દેખાય છે
 યોગ્ય રીતે ચલાવવા માટે.
 ઉપકરણ વેબ પ્રોક્સી બદલવાનું કે અરજી કંઈક હશે
 કરવા માટે સમર્થ હોવું જોઈએ નહિં.
 પરંતુ અરજી તે કરવા માટે ત્યાં કોડ છે જો
 તમે તેને કદાચ મલીન કાર્યક્રમોને ખબર છે કે
 અથવા ખૂબ ખૂબ મલીન કાર્યક્રમોને હોઇ શકે,
 અને તેથી શું થશે એપ્લિકેશન વિશેષાધિકાર એસ્કેલેટિંગ કેટલાક માર્ગ હોય તેમ બની શકે છે.
 કેટલાક અધિકાર એસ્કલેશન શોષણ પાસે હોત
 તે વિશેષાધિકારો નિકળ્યા પાંચ એપ્લિકેશન, અને પછી એક વખત
 તે આ સિસ્ટમ ફેરફારો કરી શકે છે. તમે અધિકાર એસ્કલેશન છે મૉલવેર શોધી શકો છો
 તે પણ કેવી રીતે અધિકાર એસ્કલેશન જાણ્યા વગર
 શોષણ થવાનું છે, અને તે એક સરસ, સરળ રીત છે
 મૉલવેર માટે જોવાનું છે.
 DroidDream કદાચ, Android મૉલવેર સૌથી પ્રસિદ્ધ ટુકડો હતો.
 હું તે થોડા દિવસોમાં વિશે 250,000 વપરાશકર્તાઓ લાગે છે કે અસર
 તે મળી આવ્યું હતું તે પહેલાં.
 તેઓ 50 બનાવટી કાર્યક્રમો repackaged,
 Android એપ્લિકેશન સ્ટોર તેમને મૂકવામાં,
 અને મુખ્યત્વે તે વિશેષાધિકારો વધારી, Android Jailbreak કોડ માટે વપરાય
 અને પછી આદેશ સ્થાપિત કરવા માટે અને તમામ ભોગ નિયંત્રણ અને ચાલુ
 એક બોટ ચોખ્ખી માં છે, પરંતુ તમે આ શોધાયેલ છે શકે
 તમે એપ્લિકેશન સ્કેનીંગ અને માત્ર શોધી રહ્યા છો
 API જરૂરી રુટ પરવાનગી યોગ્ય રીતે ચલાવવા માટે કે કહે છે.
 

અને હું પ્રોક્સી બદલાતી રહે છે, જે છે અહીં એક ઉદાહરણ છે,
 અને આ ખરેખર એ, Android પર જ ઉપલબ્ધ છે.
 હું જે Android પર ઉદાહરણો ઘણો આપી રહ્યો છું જોઈ શકો છો
 સૌથી વધુ સક્રિય મૉલવેર પર્યાવરણ છે જ્યાં આ છે, કારણ કે
 તે દૂષિત કોડ મેળવવા માટે હુમલાખોર માટે ખરેખર સરળ છે કારણ કે
 એન્ડ્રોઇડ બજારમાં.
 તે એપલ એપ સ્ટોર માં તે કરવા માટે ખૂબ સરળ છે
 એપલ પોતાની જાતને ઓળખવા માટે જરૂરી છે કારણ કે વિકાસકર્તાઓ
 અને કોડ સાઇન ઇન કરો.
 તેઓ ખરેખર તમે કોણ તપાસો, અને એપલ વાસ્તવમાં અરજીઓની ઝીણવટભરી તપાસ કરવામાં આવે છે.
 અમે ઉપકરણ સમાધાન મેળવવામાં થયેલ છે સાચા મૉલવેર ઘણો દેખાય નહિં.
 હું તે ખરેખર સમાધાન રહ્યું છે કે ગોપનીયતા જ્યાં કેટલાક ઉદાહરણો વિશે વાત કરશે
 અને તે ખરેખર એપલ ઉપકરણ પર ચાલી રહ્યું છે તે છે.
 દૂષિત કોડ જોવા માટે અન્ય વસ્તુ, ઉપકરણો માં જોખમી કોડ
 તર્ક અથવા સમય બોમ્બ છે, અને સમય બોમ્બ કદાચ છે
 ખૂબ સરળ તર્ક બોમ્બ કરતાં જોવા માટે.
 પરંતુ સમય બોમ્બ સાથે, તમે શું કરી શકો છો તમે જોવા માટે કરી શકો છો
 સમય ચકાસાયેલ છે જ્યાં કોડ કે ચોક્કસ સમયમાં સ્થળો જોવામાં આવે છે
 એપ્લિકેશન ચોક્કસ વિધેય થાય તે પહેલાં.
 અને આ, વપરાશકર્તા કે પ્રવૃત્તિ છુપાવવા માટે થઈ શકે છે
 તેથી તે રાત્રે અંતમાં ચાલી રહ્યું છે.
 DroidDream 11 PM પર પોસ્ટેડ અને 8 પોસ્ટેડ સ્થાનિક સમય વચ્ચે તેના તમામ પ્રવૃત્તિ હતી
 વપરાશકર્તા તેમના ઉપકરણ ઉપયોગ કરી ન શકે, જ્યારે તે કરવા પ્રયાસ કરે છે.
 લોકો એક અરજી વર્તણૂક વિશ્લેષણ વાપરી રહ્યા હોય 

આ કરવા માટે અન્ય એક કારણ છે,
 , તો કાર્યક્રમ વર્તણૂક છે તે જોવા માટે એક સેન્ડબોક્સ માં એપ્લિકેશન ચાલી
 તેઓ આ પ્રવૃત્તિ કરવા સમય આધારિત તર્ક ઉપયોગ કરી શકો છો
 એપ્લિકેશન સેન્ડબોક્સ હેઠળ ન હોય ત્યારે.
 એપલ જેવા ઉદાહરણ તરીકે, એક એપ્લિકેશન સ્ટોર
 અરજી ચાલે છે, પરંતુ તેઓ કદાચ કહે છે, 30 દિવસ માટે દરેક કાર્યક્રમ ચાલે નથી
 તે મંજૂરી પહેલાં, જેથી તમે મૂકી શકો છો
 ઠીક છે, માત્ર ખરાબ વસ્તુ નથી, જણાવ્યું હતું કે તમારી અરજી તર્ક
 30 દિવસ અરજી ના પ્રકાશિત તારીખ પછી 30 દિવસ અથવા પાછળ ગયું છે પછી
 અને તે માટે નિરીક્ષણ લોકો દૂષિત કોડ છુપાવો મદદ કરી શકે છે.
 એન્ટી વાઈરસ કંપનીઓએ સેન્ડબોક્સોમાંની વસ્તુઓ ચાલી રહ્યું છે
 અથવા એપ્લિકેશન દુકાનો પોતાને આ મદદ કરી શકે છે છે
 કે નિરીક્ષણ કે છુપાવો.
 હવે, કે ના ફ્લિપ બાજુ, તે સ્થિર વિશ્લેષણ સાથે શોધવા માટે સરળ છે છે
 તેથી વાસ્તવમાં તમે બધા સ્થળોએ જોવા કરી શકો છો કોડ નિરીક્ષણ
 અરજી સમય પરીક્ષણ અને તે રીતે તપાસ કરવી છે.
 અને અહીં હું આ 3 વિવિધ પ્લેટફોર્મ પર કેટલાક ઉદાહરણો છે
 સમય એપ્લિકેશન નિર્માતા દ્વારા ચકાસણી કરવામાં કેવી રીતે
 જેથી કરીને તમે સ્ટેટિક રીતે એપ્લિકેશન નિરીક્ષણ કરી રહ્યાં છો જોવા માટે શું જાણો છો.
 

હું માત્ર અલગ દૂષિત પ્રવૃત્તિઓ સંપૂર્ણ જથ્થો પસાર થયું હતું
 અમે જંગલમાં જોવા છે, પરંતુ જે મુદ્દાઓ સૌથી વધુ પ્રચલિત છે?
 ઉત્તર કેરોલિના સ્ટેટ મોબાઇલ વંશસૂત્ર પ્રોજેક્ટ કે જ અભ્યાસ
 અમુક માહિતી પ્રકાશિત, અને 4 વિસ્તારોમાં મૂળભૂત હતા
 પ્રવૃત્તિ ઘણો હતી, જ્યાં તેઓ જોવા મળી હતી.
 એપ્લિકેશંસ 37%, અધિકાર એસ્કલેશન કર્યું
 જેથી તેઓ ત્યાં Jailbreak કોડ કેટલાક પ્રકારની હતી
 તેઓ વિશેષાધિકારો વધારી પ્રયત્ન કર્યો છે જ્યાં તેઓ કરી શકે છે કે જેથી
 API માં આદેશો ઓપરેટિંગ સિસ્ટમ તરીકે ચાલી નથી.
 એપ્લિકેશંસ 45% બહાર ત્યાં, પ્રીમિયમ એસએમએસ કર્યું
 જેથી સીધી મુદ્રીકરણ પ્રયાસ કરી રહી છે કે જે વિશાળ ટકાવારી છે.
 93% દૂરસ્થ નિયંત્રણ હતી, તેથી તેઓ એક બોટ નેટ, મોબાઇલ બોટ નેટ સુયોજિત કરવા માટે કર્યો.
 અને 45% ઓળખવા માહિતી લણણી
 ફોન નંબરો, UUIDs ને, જીપીએસ સ્થાન, વપરાશકર્તા ખાતાઓ, જેમ
 સૌથી મૉલવેર આ બધી વસ્તુઓ થોડા કરવા પ્રયત્ન કરે છે, કારણ કે આ 100 થી વધુ સુધી ઉમેરે છે.
 

હું બીજા અડધા બદલો અને કોડ નબળાઈઓ વિશે વાત જાઉં છું.
 આ જોખમી પ્રવૃત્તિ બીજા ભાગમાં છે.
 વિકાસકર્તા ભૂલો બનાવે છે જ્યાં જરૂરી છે.
 કાયદેસર એપ્લિકેશન લેખન એક કાયદેસર વિકાસકર્તા
 ભૂલો બનાવવા અથવા મોબાઇલ પ્લેટફોર્મ જોખમ અવગણના છે.
 તેઓ માત્ર એક સુરક્ષિત મોબાઇલ એપ્લિકેશન બનાવવા માટે કેવી રીતે ખબર નથી,
 અથવા ક્યારેક વિકાસકર્તા જોખમ વપરાશકર્તા મૂકવા જ પડી નથી.
 કેટલીક વખત તે તેના બિઝનેસ મોડલ ભાગ હોઈ શકે છે
 વપરાશકર્તાની વ્યક્તિગત માહિતી પાક.
 કે અન્ય શ્રેણી જેવું છે, અને તે શા માટે આ ખરાબ કેટલાક
 અભિપ્રાય માં અલગ અલગ છે, કારણ કે કાયદેસર શરૂ થાય વિરુદ્ધ પર લોહી વહેવું
 શું વપરાશકર્તા માંગે છે અને શું વપરાશકર્તા જોખમી ગણવામાં આવે છે વચ્ચે
 અને શું એપ્લિકેશન વિકાસકર્તા જોખમી ગણવામાં આવે છે. અલબત્ત, તે મોટા ભાગના કિસ્સાઓમાં આ એપ્લિકેશન વિકાસકર્તા માહિતી નથી.
 

અને પછી છેવટે, આ બને બીજી રીતે ડેવલપર લિંક શકે છે
 તે નબળાઈઓ કે આ જોખમી વર્તન છે કે એક શેર પુસ્તકાલય
 તેમને અજ્ઞાત.
 પ્રથમ શ્રેણી સંવેદનશીલ માહિતી લિકેજ છે,
 એપ્લિકેશન માહિતી ભેગી કરે છે અને આ છે
 પાંચ, સરનામું પુસ્તક, માહિતી, માલિક માહિતી જેવી
 અને જે ઉપકરણ બોલ કે મોકલે છે.
 અને તે ઉપકરણ બંધ છે, એક વાર અમે તે માહિતી સાથે શું થઈ રહ્યું છે તે ખબર નથી.
 તે એપ્લિકેશન વિકાસકર્તા દ્વારા insecurely સંગ્રહ કરી શકે છે.
 અમે એપ્લિકેશન વિકાસકર્તાઓ સમાધાન મેળવવા જોઇ છે,
 અને તેઓ સ્ટોર કરી રહ્યાં છે કે ડેટા લેવામાં નહીં.
 આ ફ્લોરિડામાં નીચે ડેવલપર માટે થોડા મહિના પહેલાં થયું
 ની આ એક વિશાળ સંખ્યા આઇપેડ UUIDs ને અને ઉપકરણ નામો હતી, જ્યાં
 કોઈને, હું તે અનામી હતો, કારણ કે લીક કરવામાં આવી હતી
 આ કરવા માટે દાવો કર્યો હતો, આ ડેવલપર ના સર્વર ઝળકી
 અને iPad UUIDs ને લાખો ચોરી કરે છે
 અને કોમ્પ્યુટર નામો.
 નથી સૌથી વધુ જોખમી માહિતી,
 પરંતુ કે જો વપરાશકર્તા નામો અને પાસવર્ડો સંગ્રહ હતી
 અને ઘર સરનામા?
 માહિતી તે પ્રકારના સંગ્રહ એપ્લિકેશન્સ કે જે ઘણાં બધાં છે.
 આ જોખમ રહેલું છે.
 વિકાસકર્તા કાળજી લેવા ન થાય તો 

થઇ શકે છે કે અન્ય બાબત છે
 ડેટા ચેનલ સુરક્ષિત છે, અને તે હું વિશે વાત કરવા જઈ રહ્યો છું બીજી મોટી નબળાઈ છે માટે,
 આ ડેટાને સ્પષ્ટ મોકલવામાં આવી રહી છે.
 વપરાશકર્તા જાહેર Wi-Fi નેટવર્ક પર છે
 અથવા કોઈ અન્યને ક્યાંક ઇન્ટરનેટ સુંઘવાનું છે
 પાથ સાથે કે માહિતી બહાર આવી રહી છે.
 આ માહિતી લિકેજ એક ખૂબ પ્રસિદ્ધ કેસ પાન્ડોરા સાથે બન્યું,
 અને આ આપણે Veracode પર સંશોધન કંઈક છે.
 અમે એક હું તે ફેડરલ ટ્રેડ કમિશન હતો હતી સાંભળ્યું છે કે
 પાન્ડોરા સાથે રહ્યું તપાસ.
 અમે "ત્યાં શું થઈ રહ્યું છે તે? ચાલો પાન્ડોરા એપ્લિકેશન માં ઉત્ખનન શરૂ કરો." જણાવ્યું હતું કે,
 અને આપણે શું નક્કી એકત્ર પાન્ડોરા એપ્લિકેશન હતી
 તમારી લિંગ અને તમારી ઉંમર,
 અને તે પણ તમારા જીપીએસ સ્થાન, અને પાન્ડોરા એપ્લિકેશન ઍક્સેસ
 તેઓ કાયદેસર કારણો હતા તે માટે આ હતી.
 તેઓ રમતા-પાન્ડોરા હતી કે સંગીત એક સંગીત સ્ટ્રીમિંગ એપ્લિકેશન છે
 તેઓ રમતા હતા સંગીત માત્ર યુનાઇટેડ સ્ટેટ્સમાં મંજૂરી હતી,
 તેથી તેઓ તેઓ હતા કે તેમના લાયસન્સ કરાર પાલન કરવા તપાસ કરી હતી
 વપરાશકર્તા અમેરિકામાં છે, એવું સંગીત માટે.
 તેઓ પણ પેરેંટલ સલાહ પાલન કરવા માગે છે
 સંગીતમાં આસપાસ પુખ્ત ભાષા,
 અને તેથી તે એક સ્વૈચ્છિક કાર્યક્રમ છે, પરંતુ તેઓ કે પાલન કરવા માગે છે
 અને બાળકો 13 અને હેઠળ માટે સ્પષ્ટ ગીતો રમી.
 

તેઓ આ માહિતી એકત્ર કરવા માટે કાયદેસર કારણો હતી.
 તેમના એપ્લિકેશન તે કરવા પરવાનગીઓ હતી.
 વપરાશકર્તાઓ આ કાયદેસર હતી. પરંતુ શું થયું?
 તેઓ 3 અથવા 4 અલગ અલગ જાહેરાત પુસ્તકાલયો સાથે જોડાયેલા.
 હવે અચાનક આ બધા જાહેરાત લાઈબ્રેરીઓ તમામ
 આ જ માહિતી મળી રહ્યો છે.
 આ જાહેરાત પુસ્તકાલયો, તમે જાહેરાત લાઈબ્રેરીઓમાં કોડ જોવા હોય તો
 તેઓ શું દરેક જાહેરાત પુસ્તકાલય કહે છે
 "મારા એપ્લિકેશન જીપીએસ સ્થાન મેળવવાની પરવાનગી આપે છે?"
 "ઓહ, તે ઠીક છે, મને જીપીએસ પાંચ જણાવે છે."
 દરેક એક જાહેરાત લાઇબ્રેરી કે જે કરે છે,
 અને એપ્લિકેશન જીપીએસ પરવાનગી ન થાય તો
 તે મેળવવા માટે સમર્થ નહિં હોય છે, પરંતુ તે કરે છે, તે તેને મળશે.
 આ જાહેરાત લાઈબ્રેરીઓ કે જ્યાં બિઝનેસ મોડલ છે
 વપરાશકર્તા ગોપનીયતા વિરોધ છે.
 અને તમે ઉંમર ખબર હોય કહેવું પડશે કે ત્યાં અભ્યાસ કરવામાં આવી છે
 એક વ્યક્તિ છે અને તમે તેમના સ્થાન ખબર
 તમે તેમના જીપીએસ કોઓર્ડિનેટ્સ છે કારણ કે તેઓ રાત્રે ઊંઘ જ્યાં
 તેઓ કદાચ ઊંઘ આવે છે, તો તમે તે વ્યક્તિ છે બરાબર ખબર
 તમે તે ઘરના સભ્ય તે વ્યક્તિ છે જે તે નક્કી કરી શકે છે.
 ખરેખર આ જાહેરાતકારો માટે ઓળખી છે
 બરાબર તમે છે, અને તે કાયદેસર એવું લાગે છે.
 હું માત્ર મારા સ્ટ્રીમિંગ સંગીત માંગો છો, અને આ વિચાર એક માત્ર રસ્તો છે.
 

ઠીક છે, અમે આ ખુલ્લી.
 અમે ઘણા બ્લોગ પોસ્ટ્સ માં આ લખ્યું હતું,
 અને તે ચાલુ છે કે રોલિંગ સ્ટોન મેગેઝિન માંથી કોઈએ
 અમારા બ્લોગ પોસ્ટ્સ એક વાંચી અને તે વિશે રોલિંગ સ્ટોન માં પોતાના બ્લોગ લખ્યું હતું,
 અને તે પછીના દિવસે પાન્ડોરા તે એક સારો વિચાર હતો
 તેમની અરજી ના જાહેરાત લાઈબ્રેરીઓ દૂર કરે છે.
 જ્યાં સુધી મને ખબર છે તેઓ માત્ર તેઓ પ્રશંસા કરવી જોઈએ છીએ.
 હું તેઓ આ કરી છે કે એપ્લિકેશન એક માત્ર freemium પ્રકાર છો.
 બધા અન્ય freemium એપ્લિકેશન આ જ વર્તન હોય છે,
 જેથી કરીને તમે આપી રહ્યાં છો માહિતી કયા પ્રકારની વિશે વિચારો મળી છે
 તે બધા જાહેરાતકારો બનશે આ freemium કાર્યક્રમો છે.
 પ્રેટોરીયન પણ વહેંચાયેલ લાઈબ્રેરીઓનો અંગે અભ્યાસ કર્યો અને જણાવ્યું હતું કે,
 "માતાનો લાઈબ્રેરીઓ ટોચ વહેંચાયેલ લાઈબ્રેરીઓનો છે શેર કરેલી શું જુઓ" અને આ માહિતી હતી.
 

તેઓ 53,000 એપ્લિકેશન્સ વિશ્લેષણ,
 અને નંબર 1 શેર કરી પુસ્તકાલય AdMob હતી.
 તે ત્યાં બહાર કાર્યક્રમો 38% ખરેખર હતી
 તમે ઉપયોગ કરી રહ્યાં છો કાર્યક્રમો તેથી 38%
 ભાગે તમારા વ્યક્તિગત માહિતી લણણી કરવામાં આવે છે
 અને જાહેરાત નેટવર્ક માટે મોકલ્યા. અપાચે અને Android 8% અને 6% હતા,
 અને પછી નીચે, ગૂગલ જાહેરાતો, ઉશ્કેરાટ આ અન્ય મુદ્દાઓ નીચે,
 મોબ શહેર અને હજાર મીડિયા,
 આ, તો પછી, રસપ્રદ પર્યાપ્ત બધા જાહેરાત કંપનીઓ છે, અને
 4% ફેસબુક પુસ્તકાલય કડી
 કદાચ ફેસબુક દ્વારા સત્તાધિકરણ કરવા માટે
 જેથી એપ્લિકેશન ફેસબુક અધિકૃત કરી શકે છે.
 પરંતુ તે પણ ફેસબુક કોડ નિયંત્રિત કોર્પોરેશન અર્થ એ થાય
 કે, ત્યાં બહાર Android મોબાઇલ એપ્લિકેશન્સ 4% માં ચાલી રહ્યો છે
 અને તેઓ કે એપ્લિકેશન પર વિચાર કરવાની પરવાનગી છે તે તમામ માહિતી વપરાશ હોય છે.
 ફેસબુક આવશ્યક જાહેરાત જગ્યા વેચવા માટે પ્રયાસ કરે છે.
 કે તેમના બિઝનેસ મોડલ છે.
 

તમે આ પરવાનગીઓ સાથે આ સમગ્ર ઇકોસિસ્ટમ જોવા
 અને તમે તે જોવા માટે શરૂ વહેંચાયેલ લાઈબ્રેરીઓનો
 તમે માનવામાં કાયદેસર કાર્યક્રમમાં જોખમ ઘણો છે.
 પાન્ડોરા સાથે થયું કે આ જ વસ્તુ
 , પાથ કહેવાય અરજી સાથે થયું
 અને પાથ તેઓ અનુકૂળ, મદદરૂપ વિકાસકર્તાઓ કરવામાં આવી રહી હતી છે.
 તેઓ માત્ર તમે એક મહાન વપરાશકર્તા અનુભવ આપવા માટે પ્રયાસ કરી રહ્યા હતા,
 અને તે ચાલુ છે કે વપરાશકર્તાને પૂછવાની અથવા વપરાશકર્તા કહેવાની વગર કંઈપણ-
 અને આ આઇફોન પર અને, Android પર થયું
 પાન્ડોરા એપ્લિકેશન આઇફોન અને, Android પર હતો-
 પાથ એપ્લિકેશન તમારા સમગ્ર આંકડાના પુસ્તક પડતો હતો કે
 અને તમે સ્થાપિત થયેલ છે અને કાર્યક્રમ ચલાવતી હતી તે જ્યારે પાથ પર અપલોડ,
 અને તેઓ આ વિશે કહી ન હતી.
 તેઓ તે તમારા માટે ખરેખર મદદરૂપ હતી
 તમારું સરનામું પુસ્તક તમામ લોકો સાથે શેર કરવા માટે સક્ષમ હોય છે
 તમે પાથ એપ્લિકેશન ઉપયોગ કરી રહ્યાં છો કે.
 

ઠીક છે, દેખીતી રીતે પાથ આ તેમની કંપની માટે મહાન હતું.
 વપરાશકર્તા માટે એટલા મહાન નથી.
 તમે તેને જો કદાચ એક કિશોર વયે એક વાત છે કે લાગે છે
 આ એપ્લિકેશનનો ઉપયોગ કરીને અને મિત્રો તેમના ડઝન ત્યાં છે છે
 પરંતુ તે પાથ સ્થાપિત કરે છે કે કંપનીના સીઈઓ છે, જો
 અને પછી અચાનક તેમના સમગ્ર આંકડાના પુસ્તક તમામ છે?
 તમે સંભવિત મૂલ્યવાન સંપર્ક ઘણી માહિતી મેળવી રહ્યા છીએ
 ઘણા લોકોને માટે.
 ન્યૂ યોર્ક ટાઇમ્સ એક પત્રકાર, તો તમે ફોન નંબર મળી શકે
 તેમના આંકડાના પુસ્તકમાંથી ભૂતપૂર્વ પ્રમુખો માટે,
 તેથી દેખીતી રીતે સંવેદનશીલ ઘણી માહિતી આ કંઈક સાથે તબદીલ નહીં.
 કે પાથ માફી માગી આ વિશે આવા મોટા અવાજ હતી.
 તેઓ તેમના એપ્લિકેશન બદલાયેલ છે, અને તે પણ એપલ અસર.
 એપલ અમે વપરાશકર્તાઓ પૂછવા એપ્લિકેશન વિક્રેતાઓ દબાણ રહ્યા છીએ "જણાવ્યું હતું કે,
 તેઓ તેમના સમગ્ર આંકડાના પુસ્તક એકત્રિત રહ્યા છીએ. "
 

તે છે અહીં શું થઈ રહ્યું છે તે જેવી લાગે છે
 ત્યાં એક મોટા ગોપનીયતા ઉલ્લંઘન છે અને તે પ્રેસ આવેલ ત્યારે
 અમે ત્યાં ફેરફાર જોવા.
 પરંતુ અલબત્ત, અન્ય વસ્તુઓ બહાર ત્યાં છે.
 આ સંલગ્ન કાર્યક્રમ તમારા કૅલેન્ડર પ્રવેશો પાક છે,
 પરંતુ એપલ વપરાશકર્તા કે જે વિશે પૂછવા નથી.
 કૅલેન્ડર પ્રવેશો પણ તેમને સંવેદનશીલ માહિતી હોઈ શકે છે.
 જ્યાં તમે લીટી દોરે જવું છે?
 આ ખરેખર પ્રકારની એક વિકસતી સ્થળ છે
 કોઈ સારી પ્રમાણભૂત ત્યાં ખરેખર જ્યાં ત્યાં
 તેમની માહિતી જોખમ પર હોઈ રહ્યું છે જ્યારે વપરાશકર્તાઓ સમજવા માટે
 તેઓ જાણતા રહ્યા છીએ અને જ્યારે તે લેવામાં આવી રહી છે.
 અમે Adios કહેવાય Veracode એક એપ્લિકેશન લખ્યું
 અને આવશ્યક છે કે તમે તમારા આઇટ્યુન્સ ડિરેક્ટરી પરની એપ્લિકેશન પર નિર્દેશ મંજૂરી
 અને તમારા સંપૂર્ણ આંકડાના પુસ્તક શિકાર કરતા હતાં તે તમામ કાર્યક્રમો જુઓ.
 અને તમે અહીં આ યાદીમાં જોઈ શકે છે, ક્રોધિત પક્ષીઓ,
 AIM, આસપાસ.
 શા માટે ક્રોધિત તમારું સરનામું પુસ્તક જરૂર છે?
 મને ખબર નથી, પરંતુ તે કોઈક છે.
 

આ ઘણા, ઘણા કાર્યક્રમો કે જે કંઈક છે.
 તમે આ માટે કોડ તપાસ કરી શકે છે.
 આઇફોન, Android અને બ્લેકબેરી માટે સારી રીતે વ્યાખ્યાયિત API નો છે
 પાંચ આંકડાના પુસ્તક પર મેળવો.
 તમે ખરેખર સરળતાથી આ માટે તપાસ કરી શકે છે, અને આ આપણે Adios કાર્યક્રમમાં જ કર્યું હતું.
 આગામી શ્રેણી, અસુરક્ષિત સંવેદનશીલ માહિતી સંગ્રહ,
 વિકાસકર્તાઓ પીન કંઈક લેવા જ્યાં કંઈક અથવા એક એકાઉન્ટ નંબર છે
 અથવા પાસવર્ડ અને તે ઉપકરણ પર સ્પષ્ટ માં સ્ટોર કરે છે.
 ખરાબ પણ, તેઓ તેને ફોન પર એક વિસ્તાર ભેગો કરી શકે
 જે SD કાર્ડ જેવા, વૈશ્વિક સ્તરે પહોંચી શકાય છે.
 , Android SD કાર્ડ માટે પરવાનગી આપે છે કારણ કે તમે, Android પર વધુ વખત આ જુઓ.
 આઇફોન ઉપકરણો નથી.
 પરંતુ અમે પણ આ એક સિટીગ્રુપે કાર્યક્રમમાં થાય જોવા મળી હતી.
 તેમના ઓનલાઇન બેન્કિંગ અરજી insecurely એકાઉન્ટ નંબરો સંગ્રહ
 માત્ર સ્પષ્ટ છે, જેથી તમે તમારા ઉપકરણ ગુમાવી હોય,
 અનિવાર્યપણે તમે તમારી બેંક એકાઉન્ટ ગુમાવી હતી.
 હું અંગત રીતે મારા આઇફોન પર બેન્કિંગ નથી શા માટે છે.
 હું તે પ્રવૃત્તિઓ આ પ્રકારના કરવા હમણાં ખૂબ જોખમી લાગે છે.
 

સ્કાયપે એક જ વાત હતી.
 સ્કાયપે, અલબત્ત, એક એકાઉન્ટ બેલેન્સ, વપરાશકર્તા નામ અને પાસવર્ડ છે
 કે સંતુલન ઍક્સેસ છે.
 તેઓ મોબાઇલ ઉપકરણ પર સ્પષ્ટ છે કે જે બધી માહિતી સ્ટોર કરવામાં આવી હતી.
 હું ફાઈલો બનાવવાની અહીં કેટલાક ઉદાહરણો છે
 કે અધિકાર પરવાનગી અથવા ડિસ્ક માટે લખી નથી
 અને કોઈ પણ એન્ક્રિપ્શન તે માટે થાય કર્યા નથી.
 આ આગામી વિસ્તાર, અસુરક્ષિત સંવેદનશીલ માહિતી પ્રસારણ,
 હું આ માટે થોડા વખત ખોટો સંદર્ભ આપવામાં આવ્યો છે અને તેના કારણે જાહેર Wi-Fi છે
 આ સંપૂર્ણપણે કરવાની જરૂર એપ્લિકેશન્સ કે કંઈક છે,
 અને આ અમે સૌથી ખોટી જઈ શું સંભવિત છે કદાચ. હું કહી-ખરેખર છે, હું વાસ્તવિક માહિતી હોય છે,
 પરંતુ તે અડધા મોબાઇલ એપ્લિકેશન્સ નજીક છે
 SSL કરી સ્ક્રૂ.
 તેઓ માત્ર API નો યોગ્ય રીતે ઉપયોગ કરતા નથી.
 હું તેનો અર્થ, તમે કરવા માટે મળી છે બધા, આ સૂચનાઓનું પાલન અને API નો ઉપયોગ છે
 પરંતુ તેઓ જેવી વસ્તુઓ, અન્ય ઓવરને અંતે અમાન્ય પ્રમાણપત્ર છે કે કેમ તેની તપાસ નથી
 અન્ય ઓવરને એ પ્રોટોકોલ ડાઉનગ્રેડ હુમલો કરવા પ્રયાસ કરી છે તે ચકાસવા નથી.
 

વિકાસકર્તાઓ, તેઓ તેમના ચકાસણીબોક્સ મેળવવા માંગો છો, અધિકાર?
 તેમની જરૂરિયાત વેચવા આ ઉપયોગ છે. તેઓ વેચાણ કરવા માટે આ ઉપયોગ કર્યો છે.
 આ જરૂરિયાત છે, સુરક્ષિત વેચવા આ ઉપયોગ નથી
 SSL વાપરવા કે બધા કાર્યક્રમો માહિતી સુરક્ષિત શા માટે અને તેથી આ છે
 તેને વહન કરવામાં આવી રહી છે, કારણ કે ઉપકરણ ખરેખર પરીક્ષણ કરવાની જરૂર છે
 કે યોગ્ય રીતે અમલ કરવામાં આવી હતી તેની ખાતરી કરવા માટે.
 અને અહીં હું તમને અરજી જોઈ શકો છો જ્યાં કેટલાક ઉદાહરણો છે
 HTTP બદલે HTTPS દ્વારા ઉપયોગ કરી શકે છે.
 કેટલાક કિસ્સાઓમાં એપ્લિકેશન્સ HTTP કરવો પડશે
 માટે HTTPS કામ ન કરતું હોય.
 હું તેઓ પ્રમાણપત્ર ચકાસણી નિષ્ક્રિય કરી તે, Android પર અહીં અન્ય કોલ છે
 તેથી એક માણસ ઈન ધ મધ્યમ હુમલો થઇ શકે છે.
 અમાન્ય પ્રમાણપત્ર સ્વીકારશે.
 આ હુમલાખોરો પર મળી જતા હોય છે જ્યાં બધા કિસ્સાઓમાં છે
 ત્યાં વપરાશકર્તા અને વપરાશ તમામ માહિતી તરીકે જ Wi-Fi જોડાણ
 કે ઇન્ટરનેટ પર મોકલવામાં આવી રહી છે.
 

અને છેલ્લે, હું અહીં છે છેલ્લા શ્રેણી હાર્ડકોડ પાસવર્ડ અને કીઓ છે.
 અમે ખરેખર વિકાસકર્તાઓ ઘણો જ કોડિંગ શૈલી વાપરવા જુઓ
 તેઓ વેબ સર્વર કાર્યક્રમો મકાન કરવામાં આવી હતી જ્યારે હતી, કે
 તેથી તેઓ એક જાવા સર્વર કાર્યક્રમ નિર્માણ કરી રહ્યાં છો, અને તેઓ કી હાર્ડકોડીંગ છીએ.
 વેલ, જો તમે કોઈ સર્વર એપ્લિકેશન બનાવવા કરી રહ્યાં છો, અરે વાહ,
 કી હાર્ડકોડીંગ એ સારો વિચાર નથી.
 તે મુશ્કેલ બદલવા માટે બનાવે છે.
 જે સર્વર બાજુ વપરાશ છે કારણ કે, પરંતુ લાગે છે કે સર્વર બાજુ પર ખૂબ ખરાબ નથી?
 માત્ર સંચાલકો.
 પરંતુ તમારી પાસે એક જ કોડ લો અને જો તમે મોબાઇલ એપ્લિકેશન પર તેની પર રેડવામાં જો
 હવે મોબાઇલ એપ્લિકેશન કે હાર્ડકોડ કી વપરાશ છે કે જે દરેક,
 અને અમે ખરેખર આ સમય ઘણો જુઓ, અને હું કેટલાક આંકડા છે
 અમે જુઓ આ શું કેટલી વાર છે.
 તે વાસ્તવમાં માસ્ટરકાર્ડ પ્રકાશિત કે ઉદાહરણ કોડ હતી
 તેમની સેવા વાપરવા વિશે.
 ઉદાહરણ કોડ કે જે તમે પાસવર્ડ લેશે કેવી રીતે દર્શાવે છે
 અને, જમણી ત્યાં હાર્ડકોડ શબ્દમાળા માં મૂકી
 અને અમે વિકાસકર્તાઓ કોડ સ્નીપેટ નકલ અને પેસ્ટ પ્રેમ કેવી રીતે
 તેઓ કંઈક પ્રયાસ કરી રહ્યા છો, તેથી તમે કોડ સ્નીપેટ નકલ અને પેસ્ટ કરો ત્યારે
 તેઓ ઉદાહરણ કોડ તરીકે આપી હતી, અને તમે એક અસુરક્ષિત કાર્યક્રમ હોય છે.
 

અને અહીં અમે કેટલાક ઉદાહરણો છે.
 આ પ્રથમ એક અમે તેઓ Hardcode જ્યાં જોવાની છે
 મોકલવામાં નહીં કે એક URL માં ડેટા અધિકાર.
 ક્યારેક અમે શબ્દમાળા પાસવર્ડ = પાસવર્ડ જુઓ.
 કે બ્લેકબેરી અને Android પર ખૂબ શોધવા માટે સરળ, અથવા શબ્દમાળા પાસવર્ડ છે.
 તે ખરેખર કારણ કે લગભગ હંમેશા માટે ચકાસવા માટે ખૂબ સરળ છે
 વિકાસકર્તા નામો પાસવર્ડ હોલ્ડિંગ છે કે ચલ
 પાસવર્ડ કેટલાક વિવિધતા.
 હું અમે Veracode પર સ્થિર પૃથ્થકરણ કરે છે કે ઉલ્લેખ કર્યો છે
 તેથી અમે સેંકડો Android અને iOS કાર્યક્રમો વિશ્લેષણ કર્યું છે.
 અમે તેમને સંપૂર્ણ મોડલ બનાવવામાં આવ્યું છે, અને અમે તેમને સ્કેન કરવા માટે સક્ષમ છીએ
 વિવિધ નબળાઈઓ, હું વિશે વાત કરી હતી, ખાસ કરીને નબળાઈઓ માટે
 અને હું અહીં અમુક માહિતી છે.
 અમે પર હતા, Android એપ્લિકેશન્સ 68.5%
 ક્રિપ્ટોગ્રાફિક કોડ ભાંગી હતી,
 તમે તમારા પોતાના ક્રિપ્ટો નિયમિત કરી જો અમારા માટે, અમે શોધી શકતા નથી કે જે,
 કે એક સારો વિચાર છે, પરંતુ આ વાસ્તવમાં પ્રકાશિત API નો ઉપયોગ કરી રહ્યા છે કે
 પ્લેટફોર્મ પર હોય છે, પરંતુ એવી રીતે કે તેમને કરી
 આ ક્રિપ્ટો, 68.5 ભોગ બની જશે.
 અને આ ખરેખર તો તેમના કાર્યક્રમો મોકલવા છે કે એ લોકો માટે છે, કારણ કે
 તેઓ તેને સુરક્ષા ચકાસણી કરવા માટે સારો વિચાર છે.
 આ કદાચ પહેલાથી જ સુરક્ષિત વિચારવાનો છે કે લોકો છે
 તેથી તે કદાચ પણ વધુ ખરાબ છે.
 

હું નિયંત્રણ લીટી ફીડ ઈન્જેક્શન વિશે વાત કરી ન હતી.
 તે અમે ચકાસવા કંઈક નથી, પણ તે એક મુદ્દો કે જોખમી નથી.
 માહિતી લિકેજ, આ સંવેદનશીલ માહિતી ઉપકરણ પર મોકલ્યો હોવા થયેલ છે છે.
 અમે કાર્યક્રમો 40% માં છે.
 સમય અને રાજ્ય તે બગાડી સામાન્ય રીતે ખૂબ મુશ્કેલ રેસ શરત પ્રકાર મુદ્દાઓ છે
 તેથી હું તે વાત કરી હતી, પરંતુ અમે તે પર હતા.
 23% એસક્યુએલ ઇન્જેક્શન મુદ્દાઓ હતા.
 ઘણા લોકો જાણતા નથી કે કાર્યક્રમો ઘણો
 ડેટા સ્ટોર કરવા તેમના પાછળ ઓવરને પર એક નાની થોડી SQL ડેટાબેઝ ઉપયોગ કરે છે.
 વેલ, જો તમે નેટવર્ક પર પડતો રહ્યા છો તે માહિતી
 તે એસક્યુએલ ઇન્જેક્શન હુમલો શબ્દમાળાઓ છે
 કોઈને કે મારફતે ઉપકરણ સાથે બાંધછોડ કરી શકે,
 અને તેથી હું, અમે વેબ એપ્લિકેશન્સ 40% આ સમસ્યા શોધવા લાગે છે
 જે વિશાળ રોગચાળો સમસ્યા છે.
 અમે મોબાઇલ એપ્લિકેશન્સ માં તે સમયના 23% શોધવા
 ઘણી વેબ એપ્લિકેશન્સ મોબાઇલ કરતાં એસક્યુએલ ઉપયોગ કારણ કે તે કદાચ છે.
 

અને પછી અમે હજુ પણ કેટલાક ક્રોસ સાઇટ સ્ક્રિપ્ટિંગ, અધિકૃતિ મુદ્દાઓ જુઓ
 તમે તમારા હાર્ડકોડ પાસવર્ડ હોય છે અને પછી ઓળખપત્ર મેનેજમેન્ટ, કે છે.
 આ કાર્યક્રમો 5% માં અમે તે જુઓ.
 અને પછી અમે iOS પર અમુક માહિતી છે.
 81% ક્ષતિ નિયંત્રણ મુદ્દાઓ હતા. આ એક કોડ ગુણવત્તા સમસ્યા વધુ છે,
 પરંતુ 67% ક્રિપ્ટોગ્રાફિક મુદ્દાઓ હતા, તેથી, Android તરીકે ખૂબ તરીકે ખરાબ નથી.
 કદાચ API નો થોડો સરળ છે, iOS પર થોડો સારો દાખલો કોડ.
 પરંતુ હજુ પણ ખૂબ જ ઊંચી ટકાવારી.
 અમે માહિતી લિકેજ સાથે 54% હતી,
 બફર વ્યવસ્થાપન ભૂલો સાથે લગભગ 30%.
 તે સંભવિત મેમરી ભ્રષ્ટાચાર સમસ્યા હોઇ શકે છે સ્થાનો છે.
 તે શોષણ માટે સમસ્યા ખૂબ નથી તારણ આપે છે કે
 તમામ કોડ સહી કરવાની હોય છે iOS પર છે, કારણ કે
 તેથી તે iOS પર કોડ ચલાવાય છે કોઈ હુમલાખોર માટે મુશ્કેલ છે.
 કોડ ગુણવત્તા, ડિરેક્ટરી ટ્રાવર્સલને, પરંતુ અહીં 14.6% પર પછી પ્રમાણપત્રો મેનેજમેન્ટ,
 એન્ડ્રોઇડ પર કરતા પણ ખરાબ.
 અમે લોકો યોગ્ય રીતે પાસવર્ડો સંભાળવા નથી.
 અને પછી આંકડાકીય ભૂલો અને બફર ઓવરફ્લો,
 તે વધુ iOS પર કોડ ગુણવત્તા મુદ્દાઓ હશે આવે છે.
 

કે તે મારા રજૂઆત માટે હતી. અમે સમય નથી અથવા જો મને ખબર નથી.
 કોઇ પ્રશ્નો હોય તો મને ખબર નથી.
 [પુરૂષ] વિભાજન અને Android બજાર આસપાસ એક ઝડપી પ્રશ્ન.
 એપલ ઓછામાં ઓછા Patching માલિકી ધરાવે છે.
 તેઓ, Android જગ્યામાં જ્યારે ઓછા તેથી તેને મેળવવાની સારી કામ કરે છે.
 તમે લગભગ વર્તમાન રહેવા તમારા ફોન jailbreak જરૂર
 Android ના વર્તમાન પ્રકાશન સાથે.
 તમારા વિશે-તો અરે વાહ, કે જે વિશાળ સમસ્યા છે અને તેથી છે
 [પુરૂષ] શા માટે તમે તે પુનરાવર્તન કરી શકો છો?
 

ઓહ, અધિકાર, તેથી પ્રશ્ન છે તે વિશે વિભાજન હતી
 , Android પ્લેટફોર્મ પર ઓપરેટીંગ સિસ્ટમ?
 કેવી રીતે તે ઉપકરણોની riskiness અસર કરે છે?
 શું થાય છે કારણ કે તે ખરેખર એક વિશાળ સમસ્યા છે
 જૂની ઉપકરણો, કોઈને કે ઉપકરણ માટે Jailbreak સાથે આવે છે,
 આવશ્યક કે તે ઓપરેટિંગ સિસ્ટમ અપડેટ કરવામાં આવે છે ત્યાં સુધી અધિકાર એસ્કલેશન છે, અને
 કોઈપણ મૉલવેર પછી તદ્દન ઉપકરણ સમાધાન કે નબળાઈ ઉપયોગ કરી શકો છો
 અને શું અમે Android પર જોઈ રહ્યાં છો નવી ઓપરેટિંગ સિસ્ટમ મેળવવા માટે છે
 ગૂગલ પછી હાર્ડવેર નિર્માતા ઓપરેટિંગ સિસ્ટમ મૂકી છે, અને
 તેને વૈવિધ્યપૂર્ણ બનાવવા માટે છે, અને પછી વાહક તેને વૈવિધ્યપૂર્ણ અને તે પહોંચાડવા માટે છે.
 તમે, મૂળભૂત રીતે અહીં 3 ભાગો છે
 અને તે વિશેની પડી નથી કે દેવાનો છે,
 અને હાર્ડવેર ઉત્પાદકો પડી નથી, અને Google પૂરતી તેમને prodding નથી
 ત્યાં તેથી આવશ્યક ઉપકરણો અડધા સુધી, કંઈ પણ કરવા માટે
 તેમને આ અધિકાર એસ્કલેશન નબળાઈઓ છે કે ઓપરેટિંગ સિસ્ટમ હોય છે,
 તમે તમારી Android ઉપકરણ પર મૉલવેર વિચાર અને તેથી જો તે સમસ્યા ખૂબ વધુ છે.
 

ઠીક છે, ખૂબ ખૂબ આભાર.
 [વધાવી]
 [CS50.TV]