[Seminè] [defann Dèyè aparèy la: Mobile Aplikasyon Sekirite]
 [Chris Wysopal] [Inivèsite Harvard]
 [Sa a se CS50.] [CS50.TV]
 

Bon aprè midi. Non mwen se Chris Wysopal.
 Mwen se CTO a ak ko-fondatè a Veracode.
 Veracode se yon konpayi sekirite aplikasyon an.
 Nou teste tout kalite aplikasyon pou diferan,
 ak sa mwen pral pale sou jodi a se sekirite mobil aplikasyon.
 Background mwen an se mwen te fè rechèch sekirite
 pou yon tan trè lontan, pwobableman sou osi lontan ke okenn moun.
 Mwen te kòmanse nan 90s yo nan mitan,
 epi li te yon tan ki te trè enteresan paske
 nou te gen yon chanjman paradigm nan 90s yo nan mitan.
 Tout moun nan òdinatè yon tout moun toudenkou a te branche jiska entènèt la,
 ak Lè sa a, nou te gen premye jou chak aplikasyon pou entènèt,
 e ke sa a ki sa mwen konsantre sou yon anpil Lè sa a,.
 Li nan ki enteresan.
 Koulye a, nou gen yon lòt chanjman paradigm ap pase ak informatique,
 ki se chanjman an pou aplikasyon pou mobil.
 

Mwen santi mwen li nan kalite yon tan menm jan an Lè sa a, li te nan 90s yo an reta
 lè nou te mennen ankèt sou aplikasyon pou entènèt ak jwenn domaj tankou
 erè jesyon sesyon ak piki SQL
 ki reyèlman pa t egziste anvan, epi tout nan yon toudenkou yo te tout kote
 nan aplikasyon pou entènèt, e kounye a, yon anpil nan tan an mwen pase
 se kap nan aplikasyon mobil ak gade nan sa a pral sou yo deyò nan bwa la.
 Aplikasyon pou mobil yo ap reyèlman ale yo dwe platfòm la informatique dominan,
 Se konsa, nou vrèman bezwen depanse anpil tan si w ap nan endistri a sekirite
 ki konsantre sou aplikasyon sou entènèt.
 Te gen 29 milya dola mobil applications telechaje nan 2011.
 Li prevwa yo dwe 76 milya dola apps pa 2014.
 Genyen 686 milyon dola aparèy ki yo ale nan ka achte ane sa a,
 Se konsa, sa a se kote moun yo pral fè
  majorite a nan kliyan informatique yo pwal pi devan.
 

M 'te pale nan yon vis-prezidan nan Fidelity Envestisman
 yon mwa koup de sa, e li te di yo jis te wè plis trafik
 fè tranzaksyon finansye soti nan baz kliyan yo
 sou aplikasyon mobil yo pase sou sit entènèt yo,
 Se konsa, te gen yon itilize komen pou sit entènèt la nan tan lontan an te
 tcheke quotes stock ou, jere dosye ou,
 e nou aktyèlman wè ke nan 2012 switch sou
 yo dwe plis dominan sou platfòm mobil lan.
 Sètènman si gen k ap pase yo dwe nenpòt ki aktivite kriminèl,
 nenpòt ki aktivite move, li pral kòmanse yo dwe konsantre sou platfòm mobil lan
 apre yon sèten tan jan moun chanje sou ak sa yo ki.
 Si ou gade nan platfòm mobil lan,
 fè yon gade nan risk ki gen nan platfòm la li nan itil nan kraze li desann nan kouch yo diferan,
 jis tankou ou ta fè l 'sou yon òdinatè Desktop,
 epi ou panse osijè de kouch yo diferan, lojisyèl, sistèm opere,
 kouch rezo a, kouch pyès ki nan konpitè, ak nan kou, gen nan frajilite sou tout moun sa yo kouch.
 

Menm bagay la ki k ap pase sou mobil.
 Men, mobil, li sanble ke kèk nan sa yo kouch yo vin pi mal la.
 Pou youn, kouch nan rezo se plis pwoblèm sou mobil
 paske yon anpil nan moun ki gen nan biwo yo oswa nan kay la
 branche koneksyon oswa yo gen sekirite Wi-Fi koneksyon,
 epi ki gen yon anpil nan aparèy mobil ou se evidamman deyò nan kay la
 oswa andeyò nan biwo a yon anpil, epi si w ap itilize Wi-Fi gen
 ou ka sèvi ak yon anksyeu Wi-Fi koneksyon,
 yon bagay ki se yon piblik Wi-Fi koneksyon,
 Se konsa, lè nou panse sou mobil applications nou gen pran nan kont
 ki anviwònman an rezo se riske pou aplikasyon pou moun ki
 lè Wi-Fi se ke yo te itilize.
 Lè m 'jwenn nan plis nan risk ki genyen nan mobil aplikasyon
 ou pral wè poukisa sa a, se pi enpòtan.
 Gen risk nan nivo pyès ki nan konpitè sou aparèy mobil.
 Sa a se yon zòn nan k ap kontinye rechèch.
 Moun ki rele sa yo atak bande oswa atak en
 kote w ap atake firmwèr a ki nan koute nan radyo.
 

Sa yo se reyèlman atak pè paske
 itilizatè a pa bezwen fè anyen.
 Ou ka frape anpil nan aparèy nan RF seri
 nan yon fwa, epi li sanble tankou chak fwa rechèch sa a bul moute
 li byen vit vin klase kote
 moun plonje nan ozalantou yo ak di, "Isit la, di nou sou sa a, epi tanpri sispann pale sou li."
 Genyen kèk rechèch pral sou nan zòn nan bande,
 men li sanble yo dwe trè silans silans.
 Mwen panse ke li la plis nan yon kalite nasyon eta de rechèch ki k ap pase sou.
 Yon zòn nan rechèch aktif, menm si, se kouch nan sistèm opere,
 epi ankò, sa a se diferan pase nan mond lan Desktop informatique
 paske se nan espas ki la mobil ou gen ekip sa yo nan moun yo rele jailbreakers,
 ak jailbreakers yo diferan pase chèchè vilnerabilite regilye.
 Yo ap eseye jwenn frajilite nan sistèm nan fonksyone,
 men rezon ki fè yo yo ap eseye jwenn konesans nan se pa yo
 kraze nan machin yon lòt moun nan ak konpwomi li.
 Li nan kraze nan pwòp òdinatè yo.
 

Yo te vle kraze nan pwòp mobil yo, modifye sistèm opere pwòp mobil yo nan
 sa yo ke yo ka kouri aplikasyon yo nan chwa yo
 ak chanje bagay sa yo ak tout otorizasyon administratif,
 epi yo pa vle di vandè a sou sa. Yo pa ap renmen yon chèchè sekirite ki se yon chèchè sekirite chapo blan
 ki se pral fè divilgasyon responsab epi di vandè a sou li.
 Yo vle fè rechèch sa a, epi yo vle aktyèlman pibliye li
 nan yon esplwate oswa yon routki oswa yon kòd jailbreak,
 ak yo vle fè l 'estratejik, tankou dwa apre
 machann bato yo sistèm nan fonksyone nouvo.
 Ou gen sa a relasyon konfwontasyon
 ak frajilite eksplwatasyon nan nivo sou mobil lan,
 ki mwen panse ke se byen enteresan, ak yon sèl kote nou wè li
 se li fè li pou ke gen nan bon Kòd pibliye esplwate yo deyò
 pou frajilite du-nivo,
 epi nou te wè moun ki aktyèlman ap itilize pa ekriven malveyan.
 Li se yon ti kras diferan pase nan mond lan PC yo.
 Lè sa a, kouch final la se kouch nan tèt yo, se kouch aplikasyon an.
 Sa a ki sa mwen pral pale sou jodi a.
 

Kouch lòt yo egziste, ak lòt kouch yo jwe nan li,
 men mwen sitou pwal pale osijè sa k ap pase sou nan kouch nan aplikasyon
 kote Kòd ap kouri nan sandboks la.
 Li pa gen avantaj administratif yo.
 Li te gen yo sèvi ak APIs yo nan aparèy la,
 men yo toujou, yon anpil nan move aktivite ak yon anpil nan risk ka rive lè sa kouch
 paske se sa kouch nan kote tout enfòmasyon an.
 Apps kapab jwenn aksè nan tout enfòmasyon ki sou aparèy la
 yo si yo gen otorizasyon yo dwat,
 epi yo ka gen aksè detèktè yo diferan sou aparèy la,
 GPS Capteur, mikwofòn, kamera, ki sa ki gen ou.
 Menm si n ap sèlman ap pale de nan kouch nan aplikasyon
 nou gen yon anpil nan risk la.
 Bagay la lòt sa a, se diferan sou anviwònman an mobil
 se tout sistèm opere jwè yo, se pou li mur oswa android
 oswa iOS oswa Windows mobil, yo tout gen yon amann modèl pèmisyon grenn fen,
 ak sa a se youn nan fason yo ke yo bati nan sistèm nan fonksyone
 lide ki fè konnen li pa kòm ki riske jan ou panse.
 Menm si ou gen tout kontak ou sou gen yo, tout enfòmasyon pèsonèl ou,
 ou gen foto ou, ou gen kote ou sou la,
 w ap estoke PIN bank ou pou login oto sou la, li nan san danje paske
 apps gen gen sèten autorisations yo ka resevwa nan yon seri pati
 nan enfòmasyon ki sou aparèy la, ak itilizatè a gen yo dwe prezante ak
 autorisations sa yo ak di oke.
 

Pwoblèm nan ak li se itilizatè a toujou di oke.
 Kòm yon moun sekirite, mwen konnen ou ka pouse itilizatè a,
 di yon bagay reyèlman move ki pral rive, ou ta vle li nan rive?
 Men, si yo ap nan yon prese oswa gen nan yon bagay ki reyèlman Hatian sou lòt bò a de sa,
 tankou yon jwèt ki pral fèt pou enstale yo ke yo ve yo te ap tann pou,
 yo pwal santi yo klike sou oke.
 Se poutèt sa mwen di sou glise m 'isit la jis kite m' voye jete zwazo nan kochon deja,
 epi ou ka wè sou glise la isit la gen nan egzanp nan yon bwat pèmisyon mur.
 Li di "Tanpri mete autorisations yo aplikasyon mur Vwayaj
 apre klike sou bouton ki anba a, "ak fondamantalman itilizatè a se jis pral di
 mete autorisations yo, epi sove.
 Isit la nan yon èd memwa android kote li montre bagay sa yo,
 epi li aktyèlman mete yon bagay ki prèske sanble ak yon avètisman.
 Li te gen yon sòt de siy sede gen li di rezo kominikasyon, apèl nan telefòn,
 Men, itilizatè a ki pral klike sou enstale, dwa?
 Lè sa a, youn nan Apple se konplètman inofansif.
 Li pa bay nenpòt kalite avètisman.
 Se jis nan Apple ta renmen itilize kote ou ye kounye a.
 Natirèlman w ap ale nan klike sou oke.
 

Gen modèl sa a pèmisyon ak grenn fen,
 ak apps gen gen yon dosye manifeste kote yo deklare
 autorisations yo bezwen, e ke sa pral jwenn parèt itilizatè a,
 ak itilizatè a ap dwe di mwen bay otorizasyon sa yo.
 Men, kite a dwe onèt.
 Itilizatè yo yo se jis ale nan toujou di oke.
 Ann pran yon gade rapid nan autorisations yo ki sa yo apps ap mande pou
 ak kèk nan autorisations yo ki la.
 Sa a konpayi pretoryèn te fè yon sondaj ane pase a
 nan 53.000 aplikasyon pou analize nan android mache ak 3yèm pati mache yo,
 Se konsa, sa a se tout android.
 Apre sa, app an mwayèn mande 3 autorisations.
 Gen kèk apps mande 117 autorisations,
 Se konsa, evidamman sa yo, se trè byen grenn fen ak fason twò konplèks pou yon itilizatè yo konprann
 yo si yo ap prezante ak sa-a app ki bezwen 117 autorisations sa yo.
 Se tankou akò a itilizatè fen lisans sa a, se 45 paj lontan.
 Petèt vit, yo pral gen yon opsyon kote li a tankou
 ekri ak lèt ​​detache autorisations yo ak voye m 'yon imel.
 

Men, si ou gade nan kèk nan autorisations an tèt yo enteresan
 24% nan apps yo ke yo telechaje soti nan 53.000 la
 mande enfòmasyon GPS soti nan aparèy la.
 8% li kontak yo.
 4% voye SMS, ak 3% te resevwa SMS.
 2% anrejistre odyo.
 1% trete apèl sortan.
 Mwen pa konnen.
 Mwen pa panse 4% nan apps yo nan magazen an app vrèman bezwen voye SMS mesaj tèks,
 Se konsa, mwen panse ke sa ka yon allusion ke yon bagay ankouraje yo ki pral sou.
 8% nan apps yo bezwen li lis kontak ou. Li pwobableman pa nesesè.
 Youn nan bagay sa yo lòt enteresan sou autorisations se
 si ou lyen an nan pataje bibliyotèk nan aplikasyon ou lan
 moun ki resevwa autorisations yo nan aplikasyon an,
 Se konsa, si app ou a bezwen lis la kontak oswa bezwen kote GPS fonksyone
 epi ou genyen lyen nan yon bibliyotèk piblisite, pou egzanp,
 ki bibliyotèk anons ap tou ap kapab jwenn aksè nan kontak yo
 epi tou li kapab jwenn aksè nan kote GPS,
 ak pwomotè a nan app a konnen pa gen anyen sou kòd la ki nan kouri nan bibliyotèk la anons.
 Yo ap jis ki lye ak ke nan paske yo vle monetize app yo.
 

Sa a se kote-epi mwen pral pale sou kèk egzanp sou sa a ak
 yon aplikasyon rele Pandora kote yon pwomotè aplikasyon
 ta ka ras dwe koule enfòmasyon
 soti nan itilizatè yo paske yo te bibliyotèk yo te lye pous
 Fè sondaj sou peyizaj la deyò, gade nan tout apps yo diferan
 sa yo ki te te rapòte nan nouvèl la kòm move oubyen w ap fè divinò yon bagay pa t 'vle
 ak Lè sa a, enspekte yon anpil nan apps-nou fè yon anpil nan estatik analiz binè sou mobil applications,
 Se konsa, nou te enspekte yo, li gade kòd la tèt li-
 nou te vini ak sa nou rele nou an tèt 10 lis konpòtman ki riske nan aplikasyon yo.
 Apre sa, li la kraze nan 2 seksyon, move kòd,
 Se konsa, sa yo, se move bagay ki apps yo ka rive fè sa
 gen plis chans yo dwe yon bagay ke yon moun move
 te espesyalman mete nan aplikasyon an, men li la yon ti jan mou.
 Li ta ka yon bagay ki yon pwomotè panse se amann,
 men li fini moute ke yo te panse a kòm move pa itilizatè a.
 

Lè sa a, seksyon an dezyèm se sa nou rele kod frajilite,
 ak sa yo se bagay sa yo kote pwomotè a fondamantalman ap fè erè
 oswa jis pa konprann ki jan yo ekri app a byen,
  Epi sa a, mete itilizatè a app a risk.
 Mwen pral yo ale nan sa yo an detay ak ba ou kèk egzanp.
 Pou referans, mwen te vle mete OWASP mobil tèt 10 lis la.
 Sa yo se pwoblèm yo ki 10 ke yon gwoup nan OWASP,
 Pwojè a Open entènèt Aplikasyon Sekirite yo, yo gen yon gwoup k ap travay
 ap travay sou yon mobil tèt 10 lis.
 Yo gen yon trè popilè sit entènèt tèt 10 lis yo, ki se 10 an tèt la
 riskiest bagay ou ka gen nan yon aplikasyon sou entènèt.
 Yo ap fè menm bagay la pou mobil,
 ak lis yo se yon ti kras diferan pase nou.
 6 soti nan 10 an yo se menm bagay la.
 Yo gen 4 ki diferan.
 Mwen panse ke yo gen yon ti kras nan yon pran diferan sou
 risk nan mobil applications kote yon anpil nan pwoblèm yo
 yo se reyèlman ki jan aplikasyon an ki kominike nan yon sèvè tounen-fen
 oswa sa a pral sou sou sèvè a tounen-fen,
 apps pa tèlman sa yo ki te riske konpòtman ki apps kliyan jis dwat.
 

Moun yo an wouj isit la yo se diferans ki genyen ant lis yo 2.
 Se konsa, kèk nan ekip rechèch mwen gen aktyèlman kontribye nan pwojè sa a,
 Se konsa, nou pral wè sa k ap pase apre yon sèten tan, men mwen panse Takeaway a isit la se
 nou pa vrèman konnen ki sa tèt 10 lis la se nan mobil applications paske
 yo te reyèlman sèlman te alantou pou 2 oubyen 3 ane kounye a,
 epi gen pa te ase tan vrèman fè rechèch sou sistèm yo opere
 ak sa yo ap kapab nan, epi gen pa te ase tan
 pou kominote a move, si ou pral, nan te pase ase tan
 ap eseye atake itilizatè a mobil applications, se konsa mwen espere lis sa yo chanje yon ti kras.
 Men, pou kounye a, sa yo, se tèt 10 bagay sa yo enkyete sou.
 Ou ta ka mande sou bò mobil kote fè mobil kòd la-move
 li montre kouman li jwenn sou nan aparèy la?
 North Carolina Eta a gen yon pwojè yo rele genomic pwojè a mobil malveyan
 ki kote yo kolekte kòm anpil malveyan mobil jan yo kapab ak analize li,
 epi yo te kraze vektè yo piki ki malveyan mobil lan itilize,
 ak 86% sèvi ak yon teknik yo rele reanbalaj,
 ak sa a se sèlman sou platfòm la android
 èske ou kapab reyèlman fè reanbalaj sa a.
 

Rezon ki fè la se se android Kòd bati ak
 yon Java Kòd multiple rele Dalvik ki se fasil decompilable.
 Ki sa ki nèg la move ka fè se
 pran yon aplikasyon android, dekonpilasyon li,
 insert move Kòd yo, compile li,
 ak Lè sa a, mete l 'moute nan magazen an app pretann yo dwe yon nouvo vèsyon an aplikasyon sa a,
 oswa jis petèt chanje non an nan aplikasyon an.
 Si li te kèk sòt de jwèt, chanje non an yon ti kras,
 yo ak pou reanbalaj sa a se ki jan 86% nan mobil malveyan vin distribye yo.
 Genyen yon lòt teknik yo rele aktyalizasyon ki se
 trè menm jan ak reanbalaj, men ou aktyèlman pa mete kòd la move pous
 Ki sa ou fè se ou mete nan yon ti mekanis aktyalizasyon.
 Ou dekonpilasyon, ou mete nan yon mekanis aktyalizasyon, epi ou compile li,
 ak Lè sa a, lè app a ap kouri li rale desann malveyan la sou aparèy la.
 

Pa byen lwen majorite nan moun sa yo ki 2 teknik.
 Gen se pa reyèlman anpil download kondwi-bys oswa kondwi-pa downloads sou mobiles,
 ki ta ka tankou yon atak èskrokri.
 Hey, tcheke deyò sit entènèt sa a vrèman fre,
 oswa ou bezwen pou yo ale nan sit entènèt sa a ak ranpli fòm sa a
 kenbe k ap kontinye fè yon bagay. Moun sa yo ki ap èskrokri atak.
 Menm bagay la ki ka rive sou platfòm mobil lan kote yo
 pwen nan yon app mobil yo download, di "Alo, sa a se Bank of America."
 "Nou wè w ap itilize aplikasyon sa a."
 "Ou ta dwe download lòt aplikasyon sa a."
 Teyorikman, ki ta ka travay.
 Petèt li jis pa se ke yo te itilize ase yo detèmine si li nan siksè oswa ou pa,
 Men, yo te jwenn ke se mwens pase 1% nan moman an ki teknik ki te itilize.
 Majorite a nan tan an li vrèman yon kòd rkondisyone.
 

Genyen yon lòt kategori yo rele otonòm
 kote yon moun jis ap bati yon aplikasyon mak-nouvo.
 Yo bati yon aplikasyon ki enskri tèt yo dwe yon bagay.
 Li pa yon reanbalaj nan yon lòt bagay, ak ki gen kòd la move.
 Sa a itilize 14% nan moman an.
 Koulye a, mwen vle pale sou sa kòd la move fè se?
 Youn nan malveyan nan premye yo deyò
 ou ta ka konsidere yon espyon.
 Li fondamantalman espyon sou itilizatè a.
 Li kolekte Imèl, mesaj SMS.
 Li sanble sou mikwofòn la.
 Li anpile liv la kontak, epi li voye l 'yo ale nan yon lòt moun.
 Sa a ki kalite espyon egziste sou PC a,
 Se konsa, li fè sans pafè pou moun yo eseye fè sa a sou aparèy mobil.
 

Youn nan egzanp yo an premye nan sa a te yon pwogram yo rele sekrè SMS replikateur.
 Li te nan mache a android yon koup nan ane de sa,
 ak lide a te si ou te gen aksè a telefòn yon moun nan android
 ke ou te vle al rekonèt sou li a, se konsa petèt li mari oswa madanm ou
 oswa ou enpòtan lòt epi ou vle al rekonèt sou messagerie tèks yo,
 ou ta ka download app sa a ak enstale li epi li configured li
 voye yon mesaj tèks SMS jwenn ou ak yon kopi
 nan chak mesaj SMS tèks yo te.
 Evidamman sa se nan vyolasyon kondisyon ki magazen app nan sèvis yo,
 ak sa a te retire nan Marketplace a android nan lespas 18 èdtan nan li yo te gen,
 Se konsa, yon ti kantite moun ki te nan risk paske yo te sa a.
 Koulye a, mwen panse ke si yo te pwogram nan te rele yon bagay petèt yon ti kras mwens pwovokan
 tankou sekrè SMS replikateur li pwobableman ta yo te travay pi byen anpil.
 Men, li te kalite klè.
 

Youn nan bagay ki nou ka fè detèmine si apps gen konpòtman sa a ke nou pa vle
 se yo enspekte kòd la.
 Sa a se aktyèlman vrèman fasil fè sou android paske nou ka dekonpilasyon apps yo.
 Sou yo ou ka itilize yon dezasanbleur tankou IDA Pro
 fè yon gade nan sa ki APIs app a ap rele epi ki sa li ap fè.
 Nou te ekri pwòp binè analyser estatik nou an pou Kòd nou
 e nou fè sa, ak Se konsa, sa ou ta ka fè se ou kapab di
 aparèy la fè anyen ki se fondamantalman espyonaj sou mwen oswa swiv m 'konsa?
 Apre sa, mwen gen kèk egzanp isit la sou iPhone a.
 Sa a premye egzanp ki jan pou jwenn aksè nan uwi la sou telefòn nan.
 Sa a se aktyèlman yon bagay ki Apple te jis entèdi pou nouvo aplikasyon pou,
 Men, aplikasyon pou fin vye granmoun ke ou ta ka yo te kouri sou telefòn ou ka toujou fè sa,
 yo ak pou ka ke idantifikasyon dwe itilize yo swiv ou
 atravè anpil aplikasyon pou diferan.
 

Sou android a, mwen gen yon egzanp isit la pou trape kote aparèy la.
 Ou ka wè ke si ki rele API ki gen la ki app se swiv,
 epi ou ka wè si wi ou non li nan ap resevwa amann kote oswa koryas kote.
 Lè sa a, sou anba a isit la, mwen gen yon egzanp sou kouman sou mur a
 yon aplikasyon ta ka jwenn aksè nan mesaj yo imel nan bwat resepsyon ou.
 Sa yo se ki kalite bagay ou ka enspekte yo wè
 si app a ap fè bagay sa yo.
 Dezyèm kategori a gwo move konpòtman, ak sa a se pwobableman kategori nan pi gwo kounye a,
 se konpoze san otorizasyon, prim san otorizasyon mesaj SMS tèks
 oswa peman san otorizasyon.
 Yon lòt bagay ki ki inik sou telefòn la
 se se aparèy la branche nan yon kont faktirasyon,
 ak lè aktivite rive sou telefòn la
 li ka kreye akizasyon yo.
 Ou ka achte bagay sa yo nan telefòn nan,
 ak lè ou voye yon mesaj prim SMS tèks w ap aktyèlman bay lajan
 detantè a kont nan nimewo telefòn lan sou lòt bò a.
 Sa yo te mete kanpe w jwenn quotes aksyon oswa jwenn horoscope chak jou ou oswa lòt bagay,
 men yo ka mete kanpe bay lòd yon pwodwi pa voye yon tèks SMS.
 Moun ki bay lajan nan Lakwa Wouj pa voye yon mesaj tèks.
 Ou ka bay $ 10 ki fason.
 

Atakan yo mete, sa yo te fè se yo mete kanpe
 kont nan peyi etranje, epi yo Afiche nan malveyan a
 ke telefòn nan ap voye yon mesaj tèks prim SMS,
 di, yon fwa kèk yon jou, ak nan fen mwa a ou reyalize ou te depanse
 dè dizèn oswa petèt menm dè santèn de dola, epi yo mache ale ak lajan an.
 Sa a te tèlman mal ke sa a te trè premye bagay ki android a
 Marketplace oswa plas la-li Google te Marketplace a android nan moman an,
 epi li kounye a Google Jwe-premye bagay ki Google te kòmanse tcheke pou.
 Lè Google te kòmanse distribye android apps nan magazen app yo
 yo di yo pa te ale nan tcheke pou anyen.
 Nou pral rale apps yon fwa nou ve yo te konnen yo te kase tèm nou an sèvis yo,
 men nou pa ap ale nan tcheke pou anyen. Oke, sou yon ane de sa li te tèlman mal ak sa-a prim SMS mesaj tèks malveyan
 ke sa a se trè premye bagay la yo te kòmanse tcheke pou.
 Si yon app ka voye SMS mesaj tèks
 yo plis manyèlman egzamine aplikasyon sa a.
 Yo gade pou APIs ki rele sa a,
 e kounye a, depi lè sa a Google te elaji,
 men sa a te premye bagay nan yo ke yo te kòmanse kap chèche.
 

Gen kèk lòt apps ki te fè kèk mesaj tèks SMS,
 sa a Qicsomos android, mwen devine li se te rele.
 Te gen evènman aktyèl sa a sou mobil la kote sa a CarrierIQ soti
 kòm espyon mete yo sou aparèy la pa transpòtè yo,
 Se konsa, pèp te vle konnen si telefòn yo te vilnerab a sa a,
 ak sa a te yon app gratis ki teste sa.
 Oke, nan kou, sa app sa a te fè li te voye prim SMS mesaj tèks,
 Se konsa, pa fè tès yo wè si w ap enfekte ak espyon
 ou chaje malveyan sou aparèy ou an.
 Nou te wè menm bagay la rive nan dènye Super Bowl la.
 Te gen yon vèsyon fos nan foutbòl jwèt la Madden
 ki te voye prim SMS mesaj tèks.
 Li aktyèlman yo te eseye kreye yon rezo bot twò sou aparèy la.
 Men mwen gen kèk egzanp.
 Enteresan ase, Apple te trè entelijan,
 epi yo pa pèmèt aplikasyon pou yo voye SMS mesaj tèks nan tout.
 Pa gen app kapab fè li.
 Sa se yon bon fason nan pou elimine pou nan yon klas antye nan frajilite,
 men sou android ou ka fè li, ak nan kou, sou mur ou ka fè li tou.
 Li nan enteresan ki sou mur a tout sa ou bezwen se autorisations entènèt
 voye yon mesaj tèks SMS.
 

Lòt bagay la vrèman ke nou gade pou
 lè nou ap chache wè si yon bagay ki move se jis nenpòt kalite
 aktivite rezo san otorizasyon, tankou gade nan aktivite a rezo
 se app a sipoze gen gen fonksyonalite li yo,
 epi gade nan sa a lòt aktivite rezo-a.
 Petèt yon app, nan travay, gen yo ka resevwa done sou HTTP,
 Men, si li nan fè bagay sou imel oswa SMS oswa Bluetooth oswa yon bagay tankou sa
 kounye a ke app te kapab potansyèlman kapab move, se konsa sa a se yon lòt bagay ou ka enspekte pou.
 Yo, epi sou glise sa a isit la mwen gen kèk egzanp sou sa.
 Yon lòt bagay ki enteresan nou te wè ak malveyan ki te pase li tounen nan 2009,
 epi li te rive nan yon fason gwo.
 Mwen pa konnen si li te pase a tèlman depi lè sa a, men li te yon app
 ki impersonated yon lòt aplikasyon.
 Te gen yon seri apps, epi li te ame atak la 09Droid,
 ak yon moun deside ke te gen yon anpil nan piti, rejyonal yo, bank mwayèn
 ki pa t 'gen aplikasyon pou bankè sou entènèt,
 Se konsa, sa yo te fè te yo te bati sou 50 sou entènèt aplikasyon pou bankè
 ke tout moun yo te fè pran non an itilizatè ak modpas
 ak redireksyon ou nan sit entènèt la.
 Se konsa, yo mete sa yo tout moute nan Google Marketplace la,
 nan mache a android, ak lè yon moun chache wè si bank yo
 te gen yon aplikasyon yo ta jwenn aplikasyon an fos,
 ki kolekte kalifikasyon yo epi yo Lè sa a, reyorante resous yo nan sit entènèt yo.
 Wout la ke sa a aktyèlman te vin-apps yo te kanpe pou yon semèn,
 Te gen dè milye e dè milye de downloads.
 

Fason pou sa a te vin nan limyè te yon moun te gen yon pwoblèm
 ak youn nan aplikasyon yo, epi yo rele bank yo,
 epi yo rele liy sipò pou kliyan labank yo, li di:
 "Mwen gen yon pwoblèm ak aplikasyon mobil bankè ou."
 "Èske ou ka ede m 'soti?"
 Apre sa, yo di konsa, "Nou pa gen yon aplikasyon bankè mobil."
 Ki te kòmanse ankèt la.
 Ke bank yo rele Google, ak Lè sa a, Google te, li di:
 "Wow, li te menm otè a ekri 50 aplikasyon pou labank," li pote yo tout desann.
 Men, sètènman sa a te kapab rive ankò.
 Genyen lis la nan tout bank yo diferan isit la
 ki te yon pati nan tronpe sa a.
 Lòt bagay nan yon app ka fè se prezan UI a nan yon lòt aplikasyon.
 Pandan ke li ap kouri li te kapab pòp moute Facebook UI la.
 Li di ou gen yo mete nan non itilizatè ak modpas ou kontinye
 oubyen yo mete li moute nenpòt ki non itilizatè ak modpas UI pou yon sit entènèt
 ke petèt itilizatè a itilize jis eseye fè je chèch ak itilizatè a
 nan mete kalifikasyon yo pous
 Sa a se reyèlman yon paralèl tou dwat nan atak yo èskrokri imel
 kote yon moun voye ou yon mesaj imel
 ak ba ou fondamantalman yon UI fo pou yon sit entènèt
 ke ou gen aksè a.
 

Lòt bagay la nou gade pou nan move Kòd se modifikasyon sistèm.
 Ou ka gade pou tout apèl yo avèk yo API ki mande pou privilèj rasin
 al touye kòrèkteman.
 Chanje prokurasyon entènèt aparèy la ta dwe yon bagay ki yon aplikasyon
 pa ta dwe kapab fè.
 Men, si aplikasyon an gen kòd nan la fè sa
 ou konnen ke li la pwobableman yon aplikasyon pou move
 oswa te trè chans yo dwe yon aplikasyon pou move,
 yo ak pou sa ki ka rive se ke app ta gen kèk fason pou eskalade privilèj.
 Li ta gen kèk akselerasyon vyolans privilèj esplwate
 nan aplikasyon an, ak Lè sa a, yon fwa li ogmante privilèj
 li ta fè sistèm modifikasyon sa yo. Ou ka jwenn malveyan ki gen privilèj akselerasyon vyolans
 nan li menm san yo pa konnen ki jan akselerasyon vyolans la privilèj
 esplwate ki pral rive, epi ki nan yon bèl, fason fasil
 yo gade pou malveyan.
 DroidDream te pwobableman moso la ki pi popilè nan android malveyan.
 Mwen panse ke li afekte sou 250,000 divinò sou yon kèk jou
 anvan li te jwenn li.
 Yo rkondisyone 50 aplikasyon pou fos,
 mete yo nan magazen an app android,
 ak esansyèlman li itilize android Kòd jailbreak ap vin pi grav privilèj
 ak Lè sa a, enstale yon lòd ak kontwòl epi y'a vire tout viktim yo
 nan yon rezo bot, men ou te ka detekte sa a
 si ou te analysis aplikasyon an ak jis kap chèche
 API rele ki te mande pou pèmisyon rasin al touye kòrèkteman.
 

Apre sa, gen nan yon egzanp isit la mwen gen ki se chanje proxy a,
 ak sa a aktyèlman se sèlman ki disponib sou android a.
 Ou ka wè m 'ap ban nou yon anpil nan egzanp sou android
 paske sa se kote ekosistèm nan pi aktif malveyan se
 paske li se reyèlman fasil pou yon atakè yo ka resevwa move Kòd
 sou plas piblik la android.
 Li pa tèlman fasil fè sa nan Apple App Store la
 paske Apple mande pou devlopè yo idantifye tèt yo
 epi siyen Kòd la.
 Yo aktyèlman tcheke ki moun ou ye, ak Apple se aktyèlman egzaminen aplikasyon yo.
 Nou pa wè yon bann vre malveyan ki kote aparèy la ap resevwa konpwomèt.
 Mwen pral pale sou kèk egzanp kote li vrèman vi prive ki nan ap resevwa konpwomèt,
 e ke sa a sa ki vrèman k ap pase sou aparèy la Apple.
 Yon lòt bagay yo gade pou move kòd, ki riske Kòd nan aparèy
 se lojik oswa tan bonm, ak bonm tan yo se pwobableman
 pi fasil gade pou pase bonm lojik.
 Men, avèk bonm tan, ki sa ou ka fè se ou ka gade pou
 kote nan kòd la ki kote tan an teste oswa yon tan absoli se gade pou
 anvan sèten fonctionnalités nan app a k ap pase.
 Lè sa a kapab fèt yo kache ki aktivite ki soti nan itilizatè a,
 se konsa li k ap pase anreta nan mitan lannwit.
 DroidDream te fè tout aktivite li yo ant 11 PM ak 8 AM lè lokal
 pou yo eseye fè li pandan y ap itilizatè a pa ta ka lè l sèvi avèk aparèy yo.
 

Yon lòt rezon ki fè sa a se si moun yo se lè l sèvi avèk konpòtman analiz de yon aplikasyon,
 kouri app a nan yon bwat sab yo wè sa ki konpòtman an nan aplikasyon an se,
 yo kapab itilize tan ki baze sou lojik fè aktivite a
 lè app a se pa nan sandboks la.
 Pou egzanp, yon magazen app tankou Apple
 kouri aplikasyon an, men yo pwobableman pa kouri chak aplikasyon pou, di, 30 jou
 anvan yo apwouve li, se konsa ou ka mete
 lojik nan aplikasyon ou lan ki di: oke, se sèlman fè sa ki mal
 apre 30 jou te ale pa oswa apre 30 jou apre dat la pibliye nan aplikasyon an,
 ak ki ka ede Kòd po a, move nan men moun enspekte pou li.
 Si konpayi anti-viris ap kouri bagay sa yo nan sandboxes
 oswa nan boutik yo app tèt yo yo se sa a kapab ede
 kache ki soti nan ke enspeksyon.
 Koulye a, bò la baskile nan se sa ki li fasil jwenn ak analiz estatik,
 Se konsa, aktyèlman enspekte kòd la ou ka gade pou tout kote ki
 kote aplikasyon an tès tan an ak enspekte ki fason.
 Ak isit la mwen gen kèk egzanp sou 3 tribin sa yo diferan
 ki jan yo kapab tan dwe tcheke pou pa Maker a app
 konsa ou konnen ki sa yo gade pou si w ap enspekte app a statik.
 

Mwen jis mache ale nan tout yon pakèt tout diferan aktivite move
 ke nou te wè nan bwa a, men ki sa yo ki pi répandus a?
 Menm etid ki soti nan North Carolina Pwojè Eta mobil genomic
 pibliye kèk done, li te gen fondamantalman 4 zòn
 yo ke yo te wè kote te gen yon anpil nan aktivite.
 37% nan apps yo te fè privilèj akselerasyon vyolans,
 Se konsa, yo te gen kèk di ki kalite Kòd jailbreak nan la
 kote yo te eseye vin pi grav privilèj sa yo ke yo te kapab
 Kòmandman API kouri kòm sistèm nan fonksyone.
 45% nan apps yo deyò te fè prim SMS,
 Se konsa, sa a, se yon pousantaj gwo ki ap eseye monetize dirèkteman.
 93% te fè kontwòl remote, se konsa yo te eseye mete kanpe yon rezo bot, yon rezo mobil bot.
 Apre sa, 45% rekòlte enfòmasyon ki idantifye
 tankou nimewo telefòn, UUIDs, GPS kote, kont itilizatè,
 ak sa a ajoute jiska plis pase 100 paske pifò malveyan eseye fè kèk nan bagay sa yo.
 

Mwen pral chanje a yon dezyèm mwatye nan epi pale sou konesans nan kòd.
 Sa a se dezyèm mwatye nan aktivite a ki riske.
 Sa a se kote esansyèlman pwomotè a ap fè erè.
 Yon pwomotè lejitim ekri yon app lejitim
 ap fè erè oswa se inyoran nan risk ki gen nan platfòm mobil lan.
 Yo jis pa konnen ki jan fè yon sekirite app mobil,
 oswa pafwa pwomotè a pa pran swen sou mete itilizatè a nan risk.
 Pafwa yon pati nan modèl biznis yo ta ka
 rekòlte enfòmasyon pèsonèl itilizatè a la.
 Sa a sòt de lòt kategori a, ak Se poutèt sa kèk nan sa a move
 kont lejitim kòmanse senyen plis pase paske gen nan diferans nan opinyon
 ant sa itilizatè a vle ak sa ki itilizatè a konsidere kòm ki riske
 ak sa ki pwomotè a aplikasyon konsidere ki riske. Natirèlman, li pa done pwomotè a aplikasyon an nan pifò ka.
 

Lè sa a, finalman, yon lòt fason sa rive se yon pwomotè ta ka lyen an nan
 yon bibliyotèk pataje ki gen frajilite oswa konpòtman sa a ki riske nan li
 ensu l yo.
 Premye kategori a se sansib flit done,
 ak sa a se lè app a kolekte enfòmasyon
 tankou kote, enfòmasyon adrès liv, enfòmasyon mèt kay
 epi voye ki nan aparèy la.
 E yon fwa li a nan aparèy la, nou pa konnen sa kap pase ak enfòmasyon sa a.
 Li te kapab dwe estoke ensekirite pa pwomotè aplikasyon an.
 Nou te wè devlopè aplikasyon jwenn konpwomèt,
 ak done nan yo ke yo ap estoke vin yo te pran.
 Sa te rive yon kèk mwa de sa nan yon pwomotè desann nan Florid
 kote yon nimewo gwo-li te iPad UUIDs ak non aparèy
 yo te fwi paske yon moun, mwen panse ke li te anonim,
 reklame fè sa, te kraze nan serveurs pwomotè sa a
 e yo te vole dè milyon de iPad UUIDs
 ak non òdinatè.
 Se pa enfòmasyon ki pi riske,
 men sa si sa ki te depo a nan non itilizatè yo ak modpas
 ak adrès lakay ou?
 Genyen anpil bagay nan apps ki magazen ki kalite enfòmasyon.
 Risk la ki gen la.
 

Lòt bagay la ki ka rive se si pwomotè a pa pran swen
 an sekirite kanal la done, e ke sa a yon lòt vilnerabilite gwo Mwen pral pale sou,
 se ke done yo te voye nan klè a.
 Si itilizatè a se sou yon piblik rezo Wi-Fi
 oswa gen yon moun ki snife entènèt la yon kote
 bò chemen an se ke done yo te ekspoze.
 Youn ka trè popilè nan sa a flit enfòmasyon te pase ak Pandora,
 ak sa a se yon bagay nou fè nan Veracode.
 Nou te tande ke te gen yon-Mwen panse ke li te yon Komisyon Federal Komès
 envestigasyon pwal sou ak Pandora.
 Nou te di, "Ki sa k ap pase sou la? Ann kòmanse fouye nan aplikasyon an Pandora."
 Apre sa, ki sa nou detèmine te aplikasyon an Pandora kolekte
 sèks ou ak laj ou,
 epi tou li li jwenn aksè kote GPS ou a, ak aplikasyon an Pandora
 te fè sa pou sa yo te di yo te rezon lejitim yo genyen.
 Mizik la yo ke yo te jwe-Pandora se yon app-difizyon mizik
 te mizik yo t ap jwe sèlman ki gen lisans nan peyi Etazini,
 Se konsa, yo te gen yo tcheke yo konfòme yo avèk akò lisans yo yo ke yo te
 pou mizik la ki itilizatè a te nan peyi Etazini.
 Yo menm tou yo te vle konfòme li avèk konseye paran an te fè
 alantou lang granmoun nan mizik,
 yo ak pou li nan yon pwogram volontè yo, men yo te vle konfòme li avèk ki
 epi yo pa jwe eksplisit lyrics bay timoun 13 ak anba.
 

Yo te gen rezon lejitim yo genyen pou kolekte done sa a.
 App yo te gen otorizasyon yo fè li.
 Itilizatè yo te panse sa a te lejitim. Men, sa ki te pase?
 Yo lye nan 3 oswa 4 diferan bibliyotèk anons.
 Koulye a, tout nan yon toudenkou tout bagay sa yo bibliyotèk anons
 ap resevwa aksè a menm enfòmasyon sa yo.
 Bibliyotèk yo anons, si ou gade nan kòd la nan bibliyotèk yo anons
 sa yo fè a se tout bibliyotèk anons di
 "App mwen gen pèmisyon yo ka resevwa GPS kote?"
 "Oh, li? Okay, di m 'kote GPS."
 Chak bibliyotèk anons sèl fè sa,
 epi si app a pa gen GPS pèmisyon
 li pa pral kapab jwenn li, men li si li fè sa, li pral jwenn li.
 Sa a se kote modèl biznis la nan bibliyotèk yo anons
 se te opoze ak enfòmasyon prive ki nan itilizatè a.
 Apre sa, a te syans yo deyò ki pral di si ou konnen gen laj la
 nan yon moun, epi ou konnen ki kote yo
 kote yo dòmi nan mitan lannwit, paske ou gen kowòdone GPS yo
 pandan ke yo petèt ap dòmi, ou konnen egzakteman ki moun sa a se
 paske ou ka detèmine ki manm nan moun ki lakay se moun sa a.
 Vrèman sa a se idantifye piblisite
 egzakteman ki moun ou ye, epi li sanble li te lejitim.
 Mwen jis vle mizik difizyon m 'yo, ak sa a se wout la sèlman nan jwenn li.
 

Bon, nou ekspoze sa a.
 Nou te ekri sa a moute nan plizyè posts blog,
 epi li te tounen soti ke yon moun nan magazin Rolling Stone
 li youn nan posts blog nou an e li te ekri blog pwòp yo nan Rolling Stone sou li,
 ak jou a trè pwochen Pandora te panse li te yon bon lide
 yo retire bibliyotèk yo anons ki nan aplikasyon yo.
 Osi lwen ke mwen konnen yo ap sèlman-yo ta dwe konplimante la.
 Mwen panse ke yo ap sèlman kalite a freemium nan app ki te fè sa.
 Tout lòt apps yo freemium gen konpòtman sa a menm,
 Se konsa, ou te gen yo reflechi sou ki kalite done ou ap bay
 aplikasyon pou freemium sa yo paske li nan tout ale nan piblisite.
 Pretoryèn 'te fè yon etid sou pataje bibliyotèk, li di:
 "Se pou yo gade nan sa ki pataje bibliyotèk yo se bibliyotèk yo sou tèt pataje," ak sa a te done yo.
 

Yo analize 53.000 apps,
 ak nimewo 1 pataje bibliyotèk la te AdMob.
 Li te aktyèlman nan 38% nan aplikasyon yo deyò,
 Se konsa, 38% nan aplikasyon yo w ap itilize
 yo gen anpil chans rekòlte enfòmasyon pèsonèl ou
 ak voye li nan rezo yo anons. Apache ak android yo te 8% ak 6%,
 ak Lè sa a, sa yo lòt moun desann nan pati anba a, Google Ajoute, rafal,
 Foul City ak milenèr Medya,
 sa yo, se tout konpayi anons, ak lè sa a, enteresan ase,
 4% lye nan bibliyotèk la Facebook
 pwobableman fè otantifikasyon nan Facebook
 Se konsa, app a te kapab legalized Facebook la.
 Men, ki vle di tou sosyete a Facebook kontwole Kòd
 ki nan kouri nan 4% nan android apps yo mobil yo deyò,
 epi yo gen aksè a tout done sa yo ki ki app gen pèmisyon jwenn nan.
 Facebook esansyèlman ap eseye vann espas piblisite.
 Sa a modèl biznis yo.
 

Si ou gade nan sa a ekosistèm antye ak autorisations sa yo
 ak bibliyotèk pataje ou kòmanse wè ke
 ou gen yon anpil nan risk nan yon aplikasyon pou swadizan lejitim.
 Menm bagay la menm jan an sa ki te rive ak Pandora
 te pase ak yon aplikasyon rele Path,
 ak Path te panse yo te yo te itil, devlopè zanmitay.
 Yo te jis ap eseye ba ou yon eksperyans itilizatè gwo,
 epi li te tounen soti ke san yo pa pouse itilizatè a oswa di itilizatè a anyen-
 ak sa a te rive sou iPhone a ak sou android,
 Pandora app a te sou iPhone ak android-
 ki aplikasyon an Path te arachman tout liv adrès ou
 ak uploading li nan Path jis lè ou enstale, li kouri al aplikasyon an,
 yo pa t 'di ou sou sa a.
 Yo te panse li te vrèman itil pou ou
 pou kapab pataje ak tout pèp la nan liv adrès ou
 ke w ap lè l sèvi avèk aplikasyon an Path.
 

Oke, evidamman Path te panse sa a te gwo pou konpayi yo.
 Pa tèlman gwo itilizatè a.
 Ou gen panse ke li nan yon sèl bagay si petèt yon tinedjè
 se lè l sèvi avèk aplikasyon sa a epi plizyè douzèn yo nan zanmi yo nan la,
 men ki sa si li nan CEO nan yon konpayi ki enstale Path
 ak Lè sa a, tout nan yon toudenkou liv yo adrès antye se 'kanpe?
 W ap ale nan jwenn yon anpil nan enfòmasyon kontak ki kapab gen anpil valè
 pou yon anpil nan moun.
 Yon jounalis soti nan New York Times la, ou ta ka kapab jwenn nimewo telefòn
 pou prezidan ansyen ki soti nan liv adrès yo,
 Se konsa, evidamman vin yon anpil nan enfòmasyon sansib transfere ak yon bagay tankou sa a.
 Te gen tankou yon gwo Sabatani sou sa ki Path eskize.
 Yo chanje app yo, epi yo li menm afekte Apple.
 Apple te di, "Nou pwal fòse app fournisseurs de motive-itilizatè
 yo si yo ap ale nan kolekte tout liv adrès yo. "
 

Li sanble ke sa kap pase isit la se
 lè gen nan yon vyolasyon sou vi prive gwo epi li fè laprès la
 nou wè yon chanjman yo deyò.
 Men, nan kou, gen nan lòt bagay yo deyò.
 Aplikasyon an LinkedIn anpile antre kalandriye ou,
 Men, Apple pa fè ka itilizatè a pouse sou sa.
 Kalandriye antre ka gen enfòmasyon sansib nan yo tou.
 Ki kote ou menm ki pral trase liy la?
 Sa a se vrèman kalite yon kote ki en
 kote ki gen nan reyèlman pa gen okenn estanda bon yo deyò
 pou itilizatè yo konprann lè enfòmasyon yo a pwal nan risk
 ak yo lè yo ap ale nan konnen li a ke yo te yo te pran.
 Nou te ekri yon app nan Veracode rele adyo,
 ak esansyèlman li te pèmèt ou nan pwen app a nan anyè iTunes ou
 ak gade nan tout aplikasyon yo ki te rekòlte liv plen adrès ou.
 Apre sa, jan ou ka wè sou lis sa a isit la, Zwazo fache,
 BI, AroundMe.
 Poukisa Zwazo fache bezwen liv adrès ou a?
 Mwen pa konnen, men li fè yon jan kanmenm.
 

Sa a se yon bagay ki anpil, anpil aplikasyon pou fè.
 Ou ka enspekte kòd la pou sa a.
 Genyen byen defini APIs pou ifon, andwad ak mur
 jwenn nan liv la adrès.
 Ou ka reyèlman fasil enspekte pou sa a, ak sa a se sa nou te fè nan aplikasyon adyo nou an.
 Kategori a kap vini an, ak Ensekirite sansibl Done Depo,
 se yon bagay ki kote devlopè pran yon bagay tankou yon PIN oswa yon nimewo kont
 oswa yon modpas ak magazen li nan klè a sou aparèy la.
 Menm pi mal, yo ta kapab magazen li nan yon zòn sou telefòn la
 ki se globalman aksesib, tankou kat la NE.
 Ou wè sa a pi souvan sou android paske android pèmèt pou yon kat SD.
 IPhone aparèy pa fè sa.
 Men, nou menm wè sa rive nan yon aplikasyon pou Citigroup.
 Aplikasyon bank yo sou entènèt ki estoke chif yo kont ensekirite,
 jis nan klè a, se konsa si ou pèdi aparèy ou an,
 esansyèlman ou pèdi kont labank ou.
 Se poutèt sa mwen pèsonèlman pa fè bankè sou iPhone m 'yo.
 Mwen panse ke li twò ki riske kounye a fè sa yo kalite aktivite yo.
 

Skype fè menm bagay la.
 Skype, nan kou, gen yon balans kont, yon non itilizatè ak modpas
 ki gen aksè ki balans.
 Yo te sere tout enfòmasyon ki nan klè a sou aparèy mobil lan.
 Mwen gen kèk egzanp isit la pou kreye dosye
 ki pa gen otorizasyon yo dwa oubyen ekri nan disk
 epi yo pa gen okenn chifreman rive pou sa.
 Sa a nan zòn kap vini an, ak Ensekirite sansibl Done Transmisyon,
 Mwen te mansyone sa a yon fwa kèk, e paske nan piblik Wi-Fi
 sa a se yon bagay ki applications absoliman bezwen fè,
 ak sa a se pwobableman sa nou wè ale mal pi plis la. Mwen ta ka di-aktyèlman, mwen panse ke mwen gen done yo reyèl,
 men li la fèmen nan mwatye aplikasyon pou mobil yo
 vis moute nan fè SSL.
 Yo jis pa sèvi ak APIs yo kòrèkteman.
 Mwen vle di, tout sa ou te gen fè se swiv enstriksyon ki epi sèvi ak APIs yo,
 men yo bagay sa yo tankou pa tcheke si gen yon sètifika valab nan fen a lòt,
 pa tcheke si fen a lòt ap eseye fè yon atak à pwotokòl.
 

Devlopè yo, yo vle jwenn toulède kaz yo, dwa?
 Kondisyon yo se yo sèvi ak sa a nan vann. Yo te itilize sa a nan vann.
 Kondisyon an se pa yo sèvi ak sa a nan vann byen,
 yo ak pou sa a se poukisa tout aplikasyon ki itilize SSL an sekirite done
 kòm li a ke yo te transmèt nan aparèy la reyèlman bezwen yo dwe enspekte
 a asire w ke te aplike kòrèkteman.
 Ak isit la mwen gen kèk egzanp kote ou ka wè yon aplikasyon
 ta ka lè l sèvi avèk HTTP olye pou yo t.
 Nan kèk ka apps pral tonbe tounen nan HTTP
 si t a se pa sa k ap travay.
 Mwen gen yon lòt apèl isit la sou android kote yo te enfim chèk la sètifika,
 Se konsa, yon atak moun-an--mitan an ka rive.
 Y ap mete yon sètifika valab yo ap aksepte.
 Sa yo se tout ka kote atakan yo ale nan pral kapab jwenn sou
 menm Wi-Fi koneksyon an kòm itilizatè a ak aksè tout done yo
 ki nan ke yo te voye sou entènèt la.
 

E finalman, nan dènye kategori a mwen gen isit la se dur modpas ak kle.
 Nou aktyèlman wè yon anpil nan devlopè sèvi ak style la kodaj menm
 yo ke yo te fè lè yo t'ap bati aplikasyon pou sèvè entènèt,
 Se konsa, yo ap bati yon aplikasyon sèvè Java, epi yo ap hardcoding kle a.
 Oke, lè w ap bati yon aplikasyon sèvè, yeah,
 hardcoding kle a se pa yon bon lide.
 Li fè li difisil a chanje.
 Men, li la pa te tèlman mal sou bò sèvè paske moun ki gen aksè a bò lanmè a sèvè?
 Se sèl administratè yo.
 Men, si ou pran kòd la menm ak ou vide l 'sou nan yon aplikasyon mobil
 kounye a tout moun ki gen ke mobil aplikasyon gen aksè a ke kle dur,
 epi nou aktyèlman wè sa a yon anpil nan fwa, epi mwen gen kèk estatistik
 sou ki jan souvan nou wè sa a rive.
 Li aktyèlman te nan Kòd egzanp ki MasterCard pibliye
 sou kouman yo sèvi ak sèvis yo.
 Kòd la egzanp te montre ki jan ou ta jis pran modpas la
 li mete l 'nan yon fisèl dur dwa la,
 e nou konnen ki jan devlopè renmen a kapab bay kopi epi kole fragman Kòd
 yo lè yo ap eseye fè yon bagay, se konsa ou kopye epi kole brib nan Kòd
 ke yo te kòm Kòd egzanp, epi ou gen yon aplikasyon sekirite.
 

Ak isit la nou gen kèk egzanp.
 Yon sèl premye Sa a se youn nou wè yon anpil kote yo hardcode
 dwa pou done nan yon URL ki vin te voye yo.
 Pafwa nou wè fisèl modpas = modpas la.
 Sa a trè fasil yo detekte, oswa modpas fisèl sou mur ak android.
 Li nan aktyèlman trè fasil yo tcheke pou paske prèske toujou
 non yo pwomotè varyab la ki nan kenbe modpas la
 kèk varyasyon nan modpas.
 Mwen mansyone ke nou fè analiz estatik nan Veracode,
 Se konsa, nou te analize plizyè santèn andwad ak yo aplikasyon yo.
 Nou te bati modèl plen nan yo, epi nou ap kapab optik yo
 pou frajilite diferan, espesyalman frajilite yo, mwen t'ap pale yo sou,
 epi mwen te gen kèk done isit la.
 68,5% nan apps yo android nou te etidye
 te kraze kriptografik kòd,
 ki pou nou, nou pa ka detekte si ou te fè pwòp woutin kriptografik ou a,
 pa sa ki sa a, se yon bon lide, men sa a se aktyèlman lè l sèvi avèk APIs yo pibliye
 ki sou platfòm la men ap fè yo nan yon fason
 ki kriptografik a ta dwe frajil yo, 68,5.
 Lè sa a se pou moun ki ap voye nou aplikasyon yo aktyèlman paske
 yo panse ke li nan yon bon lide yo fè tès sekirite.
 Sa yo se deja moun ki ap pwobableman panse byen,
 Se konsa, li la pwobableman menm vin pi mal.
 

Mwen pa t 'pale osijè kontwòl liy piki manje.
 Li nan yon bagay nou tcheke pou, men li la pa sa ki riske yon pwoblèm.
 Flit Enfòmasyon sou, sa a se ki kote done sansib te voye sou aparèy la.
 Nou te jwenn ke nan 40% nan aplikasyon yo.
 Tan ak eta a, sa yo se ras pwoblèm di ki kalite kondisyon, tipikman trè difisil yo esplwate,
 Se konsa, mwen pa t 'pale de sa, men nou gade li.
 23% te gen pwoblèm piki SQL.
 Yon anpil moun pa konnen ke yon anpil nan aplikasyon pou
 sèvi ak yon ti baz done SQL ti kras sou fen do yo nan magazen done.
 Bon, si done yo ke w ap arachman sou rezo a
 gen strings SQL atak piki nan li
 yon moun kapab konpwomi aparèy la nan sa a,
 Se poutèt sa mwen panse ke nou jwenn apeprè 40% nan aplikasyon pou entènèt gen pwoblèm sa a,
 ki se yon pwoblèm epidemi gwo.
 Nou jwenn li 23% nan tan an nan mobil applications
 e ke sa a pwobableman paske anpil plis aplikasyon pou entènèt sèvi ak SQL pase mobil.
 

Lè sa a, nou toujou wè kèk scripting kwa-sit, pwoblèm otorizasyon,
 ak Lè sa a, jesyon diplòm, ki nan kote ou gen modpas dur ou.
 Nan 5% nan aplikasyon yo nou wè ke.
 Lè sa a, nou gen kèk done sou yo.
 81% te gen pwoblèm manyen erè. Sa a se plis nan yon pwoblèm bon jan kalite kòd,
 Men, 67% te gen pwoblèm kriptografik, se konsa pa byen tankou move jan android.
 Petèt APIs yo se yon ti jan pi fasil, kòd sa egzanp yon ti kras pi byen sou yo.
 Men, toujou yon pousantaj trè wo.
 Nou te gen 54% ki gen enfòmasyon flit,
 anviwon 30% ak erè jesyon tanpon.
 Sa a kote ki gen te kapab potansyèlman kapab yon pwoblèm koripsyon memwa.
 Li sanble ke sa a pa kòm anpil nan yon pwoblèm pou eksplwatasyon
 sou yo paske tout kòd la te ka siyen,
 Se konsa, li difisil pou yon atakè al touye abitrè Kòd sou yo.
 Bon jan kalite Postal, anyè parcours, men Lè sa a, kalifikasyon jesyon isit la nan 14.6%,
 Se konsa, pi mal pase sou android a.
 Nou gen moun ki pa manyen modpas kòrèkteman.
 Lè sa a, nimerik erè yo ak tanpon debòde,
 moun ki gen plis pral fè pwoblèm bon jan kalite Kòd sou yo.
 

Sa ki te li pou prezantasyon m 'yo. Mwen pa konnen si nou ap soti nan tan oswa ou pa.
 Mwen pa konnen si gen nan nenpòt kesyon.
 [Gason] Yon kesyon rapid alantou fwagmantasyon ak mache a android.
 Apple omwen posede reparèt.
 Yo fè yon bon travay pou trape li yo deyò Lè nou konsidere ke mwens Se konsa, nan espas ki la android.
 Ou prèske bezwen jailbreak telefòn ou yo rete a
 ak liberasyon an aktyèl la nan android.
 Yeah, sa a, se yon gwo pwoblèm ak Se konsa, si ou panse osijè de-
 [Gason] Poukisa pa ka ou repete li?
 

Oh, dwa, se konsa kesyon an te sa ki sou fwagmantasyon
 nan sistèm nan fonksyone sou platfòm la android?
 Ki jan ki afekte azar nan nan aparèy sa yo?
 Apre sa, li aktyèlman se yon gwo pwoblèm paske sa k ap pase se
 aparèy yo ki pi gran, lè yon moun vini ak yon jailbreak pou sa aparèy,
 esansyèlman sa a, se privilèj akselerasyon vyolans, ak jiskaske yo ki sistèm opere mete ajou
 nenpòt ki malveyan ka Lè sa a, sèvi ak sa vilnerabilite ak totalman konpwomi aparèy la,
 ak sa nou ap wè sou android a se yo nan lòd yo ka resevwa yon nouvo sistèm opere
 Google te mete yo deyò sistèm nan fonksyone, ak Lè sa a, manifakti a pyès ki nan konpitè
 te Customize li, ak Lè sa a, konpayi asirans la te Customize li ak delivre li.
 Ou gen fondamantalman 3 pati k ap deplase isit la,
 epi li vire soti ke transpòtè yo pa pran swen,
 ak manifaktirè yo pyès ki nan konpitè pa pran swen, ak Google se pa sa prodding yo ase
 fè anyen, se konsa esansyèlman plis pase mwatye nan aparèy yo ki soti genyen
 gen sistèm operasyon ki gen sa yo privilèj frajilite akselerasyon vyolans yo nan yo,
 ak Se konsa, si ou jwenn malveyan sou aparèy android ou yo ke li pi plis nan yon pwoblèm.
 

Okay, mèsi anpil.
 [Aplodisman]
 [CS50.TV]