1
00:00:00,000 --> 00:00:02,610
>> [संगोष्ठी] [डिवाइस के पीछे का बचाव: मोबाइल अनुप्रयोग सुरक्षा]

2
00:00:02,610 --> 00:00:04,380
[क्रिस Wysopal] [हार्वर्ड विश्वविद्यालय]

3
00:00:04,380 --> 00:00:07,830
[यह CS50 है.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> नमस्कार. मेरा नाम क्रिस Wysopal है.

5
00:00:10,360 --> 00:00:13,360
मैं सीटीओ और Veracode के सह संस्थापक हूँ.

6
00:00:13,360 --> 00:00:15,880
Veracode एक आवेदन सुरक्षा कंपनी है.

7
00:00:15,880 --> 00:00:18,230
हम विभिन्न अनुप्रयोगों के सभी प्रकार के परीक्षण,

8
00:00:18,230 --> 00:00:25,060
और क्या मैं आज के बारे में बात करने जा रहा हूँ मोबाइल आवेदन सुरक्षा है.

9
00:00:25,060 --> 00:00:28,630
मेरी पृष्ठभूमि मैं सुरक्षा अनुसंधान कर रहा है है

10
00:00:28,630 --> 00:00:31,970
एक बहुत लंबे समय के लिए, शायद के रूप में लंबे समय तक किसी के रूप के बारे में.

11
00:00:31,970 --> 00:00:35,000
मैं मध्य 90 के दशक में शुरू किया था,

12
00:00:35,000 --> 00:00:37,370
और यह बहुत दिलचस्प था कि एक समय था क्योंकि

13
00:00:37,370 --> 00:00:39,220
हम मध्य 90 के दशक में एक प्रतिमान परिवर्तन किया था.

14
00:00:39,220 --> 00:00:43,520
अचानक हर किसी के कंप्यूटर के सभी इंटरनेट से चौंक गई,

15
00:00:43,520 --> 00:00:46,550
और फिर हम वेब अनुप्रयोगों की शुरुआत की थी,

16
00:00:46,550 --> 00:00:49,330
और कहा कि मैं तो एक बहुत ध्यान केन्द्रित किया था.

17
00:00:49,330 --> 00:00:51,160
यह दिलचस्प है.

18
00:00:51,160 --> 00:00:53,930
अब हम कंप्यूटिंग के साथ हो रहा है एक और प्रतिमान बदल दिया है

19
00:00:53,930 --> 00:00:58,710
जो मोबाइल अनुप्रयोगों के लिए बदलाव है.

20
00:00:58,710 --> 00:01:03,680
>> मैं यह तो यह देर से 90 के दशक में था एक समान समय की तरह है महसूस

21
00:01:03,680 --> 00:01:07,650
हम वेब अनुप्रयोगों की जांच और जैसे दोषों खोज रहे थे जब

22
00:01:07,650 --> 00:01:11,800
सत्र प्रबंधन त्रुटियों और SQL इंजेक्शन

23
00:01:11,800 --> 00:01:14,940
जो वास्तव में पहले मौजूद नहीं था, और अचानक वे हर जगह थे

24
00:01:14,940 --> 00:01:19,360
वेब अनुप्रयोगों में, और अब मैं खर्च समय की एक बहुत

25
00:01:19,360 --> 00:01:27,950
मोबाइल अनुप्रयोगों पर देख रहे हैं और जंगली में बाहर वहाँ क्या हो रहा है पर विचार कर रही है.

26
00:01:27,950 --> 00:01:32,060
मोबाइल अनुप्रयोगों वास्तव में प्रभावी कंप्यूटिंग मंच होने जा रहे हैं,

27
00:01:32,060 --> 00:01:35,060
इसलिए हम वास्तव में आप सुरक्षा उद्योग में हैं, तो समय की एक बहुत खर्च करने की जरूरत

28
00:01:35,060 --> 00:01:39,280
वेब अनुप्रयोगों पर ध्यान दे.

29
00:01:39,280 --> 00:01:43,420
2011 में डाउनलोड की 29 अरब मोबाइल क्षुधा थे.

30
00:01:43,420 --> 00:01:47,920
यह 2014 तक 76 अरब क्षुधा होने की भविष्यवाणी की है.

31
00:01:47,920 --> 00:01:54,040
इस साल खरीदा जा जा रहे हैं कि 686,000,000 उपकरणों रहे है,

32
00:01:54,040 --> 00:01:57,060
लोग कर रहे हो जा रहे हैं, जहां तो यह है

33
00:01:57,060 --> 00:01:59,600
 उनके ग्राहक कंप्यूटिंग के बहुमत के आगे जा रही है.

34
00:01:59,600 --> 00:02:04,220
>> मैं फिडेलिटी इनवेस्टमेंट्स में एक अध्यक्ष, उपाध्यक्ष के लिए बात कर रहा था

35
00:02:04,220 --> 00:02:08,780
एक दो महीने पहले, और उन्होंने कहा कि वे अभी और अधिक यातायात देखा था

36
00:02:08,780 --> 00:02:12,610
अपने ग्राहक आधार से वित्तीय लेनदेन कर

37
00:02:12,610 --> 00:02:16,230
अपनी वेबसाइट पर की तुलना में उनके मोबाइल आवेदन पर,

38
00:02:16,230 --> 00:02:20,610
इसलिए अतीत में वेब के लिए एक आम का उपयोग किया गया है

39
00:02:20,610 --> 00:02:23,800
, अपने शेयर भाव जाँच अपने पोर्टफोलियो के प्रबंधन

40
00:02:23,800 --> 00:02:28,060
और हम वास्तव में अधिक 2012 स्विच में देख रहे हैं कि

41
00:02:28,060 --> 00:02:30,960
मोबाइल मंच पर और अधिक प्रभावी होने के लिए.

42
00:02:30,960 --> 00:02:34,530
किसी भी आपराधिक गतिविधि होने जा रहा है निश्चित रूप से अगर,

43
00:02:34,530 --> 00:02:38,900
किसी भी दुर्भावनापूर्ण गतिविधि, यह मोबाइल प्लेटफॉर्म पर ध्यान केंद्रित किया जाना शुरू हो रहा है

44
00:02:38,900 --> 00:02:44,210
लोगों को उस पर स्विच समय के साथ के रूप में.

45
00:02:44,210 --> 00:02:48,320
आप मोबाइल मंच पर नजर डालें तो,

46
00:02:48,320 --> 00:02:54,380
यह अलग परतों में टूट के लिए उपयोगी है मंच के जोखिम को देखने के लिए,

47
00:02:54,380 --> 00:02:59,010
आप एक डेस्कटॉप कंप्यूटर पर ऐसा होता है, जैसे

48
00:02:59,010 --> 00:03:02,860
और आप अलग अलग परतों, सॉफ्टवेयर, ऑपरेटिंग सिस्टम, के बारे में सोचना

49
00:03:02,860 --> 00:03:07,730
नेटवर्क परत, हार्डवेयर परत, और जाहिर है, उन सभी परतों पर कमजोरियों नहीं है.

50
00:03:07,730 --> 00:03:10,510
>> एक ही बात मोबाइल पर होता है.

51
00:03:10,510 --> 00:03:14,880
लेकिन मोबाइल, यह उन परतों में से कुछ बंद भी बदतर हैं कि लगता है.

52
00:03:14,880 --> 00:03:19,840
एक के लिए, नेटवर्क परत मोबाइल पर अधिक समस्याग्रस्त है

53
00:03:19,840 --> 00:03:25,650
बहुत से लोगों को उनके कार्यालय में या घर पर ही है क्योंकि

54
00:03:25,650 --> 00:03:30,780
कनेक्शन तार या वे सुरक्षित वाईफ़ाई कनेक्शन है,

55
00:03:30,780 --> 00:03:36,530
और मोबाइल उपकरणों के बहुत से आप घर के बाहर स्पष्ट रूप से कर रहे हैं

56
00:03:36,530 --> 00:03:40,520
या एक बहुत कार्यालय के बाहर, और आप Wi-Fi उपयोग कर रहे हैं वहाँ

57
00:03:40,520 --> 00:03:42,820
आप एक असुरक्षित वाई फाई कनेक्शन का उपयोग किया जा सकता है,

58
00:03:42,820 --> 00:03:45,570
एक सार्वजनिक वाईफ़ाई कनेक्शन है कि कुछ,

59
00:03:45,570 --> 00:03:48,840
हम मोबाइल एप्लिकेशन के बारे में सोचना तो जब हम खाते में रखना होगा

60
00:03:48,840 --> 00:03:53,770
नेटवर्क वातावरण उन अनुप्रयोगों के लिए जोखिम भरी है कि

61
00:03:53,770 --> 00:03:57,640
वाई फाई का इस्तेमाल किया जा रहा है.

62
00:03:57,640 --> 00:04:02,410
और मैं मोबाइल आवेदन जोखिम के अधिक में मिलता है जब

63
00:04:02,410 --> 00:04:04,910
अधिक महत्वपूर्ण है कि यही कारण है कि आप देखेंगे.

64
00:04:04,910 --> 00:04:09,710
मोबाइल उपकरणों पर हार्डवेयर स्तर पर जोखिम भी हैं.

65
00:04:09,710 --> 00:04:11,670
यह चल रहे अनुसंधान का एक क्षेत्र है.

66
00:04:11,670 --> 00:04:15,910
लोग इन ब्रॉडबैंड हमलों या बेसबैंड हमलों कॉल

67
00:04:15,910 --> 00:04:21,870
आप रेडियो पर सुन रहा है कि फर्मवेयर पर हमला कर रहे हैं.

68
00:04:21,870 --> 00:04:25,430
>> ये वास्तव में डरावना हमले कर रहे हैं, क्योंकि

69
00:04:25,430 --> 00:04:27,280
उपयोगकर्ता कुछ भी करने की जरूरत नहीं है.

70
00:04:27,280 --> 00:04:30,760
आप आरएफ सीमा के भीतर उपकरणों के बहुत से हिट कर सकते हैं

71
00:04:30,760 --> 00:04:36,690
एक ही बार में, और यह इस शोध बुलबुले जब भी तरह लगता है

72
00:04:36,690 --> 00:04:40,750
यह जल्दी से जहां वर्गीकृत किया जाता है

73
00:04:40,750 --> 00:04:46,600
आसपास के लोगों में झपट्टा और कहते हैं, "यहां, इस बारे में हमें बताओ, और इसके बारे में बात करना बंद करें."

74
00:04:46,600 --> 00:04:49,460
ब्रॉडबैंड क्षेत्र में चल रहा है वहाँ कुछ अनुसंधान,

75
00:04:49,460 --> 00:04:51,980
लेकिन यह बहुत हश हश हो रहा है.

76
00:04:51,980 --> 00:04:56,910
मैं यह हो रहा है कि अनुसंधान के एक राष्ट्र राज्य प्रकार के और अधिक लगता है.

77
00:04:56,910 --> 00:05:02,140
सक्रिय अनुसंधान के एक क्षेत्र है, हालांकि, ऑपरेटिंग सिस्टम परत है,

78
00:05:02,140 --> 00:05:08,910
और फिर, यह डेस्कटॉप कंप्यूटिंग की दुनिया की तुलना में अलग है

79
00:05:08,910 --> 00:05:14,840
मोबाइल अंतरिक्ष में आप Jailbreakers कहा जाता है कि लोगों की इन टीमों है, क्योंकि

80
00:05:14,840 --> 00:05:18,670
और Jailbreakers नियमित भेद्यता शोधकर्ताओं की तुलना में अलग हैं.

81
00:05:18,670 --> 00:05:21,970
वे ऑपरेटिंग सिस्टम में कमजोरियों खोजने की कोशिश कर रहे हैं

82
00:05:21,970 --> 00:05:27,000
लेकिन वे कमजोरियों खोजने की कोशिश कर रहे हैं कारण के लिए नहीं है

83
00:05:27,000 --> 00:05:31,810
किसी और की मशीन में तोड़ और यह समझौता.

84
00:05:31,810 --> 00:05:34,280
यह उनके स्वयं के कंप्यूटर में तोड़ने के लिए है.

85
00:05:34,280 --> 00:05:38,820
वे अपने स्वयं के मोबाइल में तोड़ना चाहते >>, अपने स्वयं के मोबाइल ऑपरेटिंग सिस्टम को संशोधित

86
00:05:38,820 --> 00:05:41,050
वे अपनी पसंद के अनुप्रयोगों चला सकते हैं तो

87
00:05:41,050 --> 00:05:44,510
और पूरा प्रशासनिक अनुमति के साथ चीजों को बदलने,

88
00:05:44,510 --> 00:05:49,050
और वे इस बारे में विक्रेता बताने के लिए नहीं करना चाहती.

89
00:05:49,050 --> 00:05:52,960
वे एक सफेद टोपी सुरक्षा शोधकर्ता है जो एक सुरक्षा शोधकर्ता पसंद नहीं कर रहे हैं

90
00:05:52,960 --> 00:05:56,600
जिम्मेदार प्रकटीकरण करते हैं और इसके बारे में विक्रेता बताने जा रहा है.

91
00:05:56,600 --> 00:06:01,270
वे इस शोध करना चाहते हैं, और वे वास्तव में इसे प्रकाशित करना चाहते हैं

92
00:06:01,270 --> 00:06:06,400
में एक शोषण या एक rootkit या एक भागने कोड,

93
00:06:06,400 --> 00:06:10,010
और वे सही होने के बाद जैसे, रणनीतिक यह करना चाहते हैं

94
00:06:10,010 --> 00:06:13,570
विक्रेता जहाजों के नए ऑपरेटिंग सिस्टम.

95
00:06:13,570 --> 00:06:16,350
आप इस विरोधात्मक रिश्ता है

96
00:06:16,350 --> 00:06:19,000
मोबाइल पर ओएस स्तर कमजोरियों के साथ,

97
00:06:19,000 --> 00:06:23,150
मैं काफी दिलचस्प लगता है, और एक ही स्थान पर हम यह देखते हैं जो

98
00:06:23,150 --> 00:06:29,210
अच्छा फायदा उठाने प्रकाशित कोड को वहाँ से बाहर है कि वहाँ तो यह है कि यह बनाता है

99
00:06:29,210 --> 00:06:31,750
कर्नेल स्तर कमजोरियों के लिए,

100
00:06:31,750 --> 00:06:35,040
और हम वास्तव में मैलवेयर लेखकों द्वारा इस्तेमाल किया जा उन देखा है.

101
00:06:35,040 --> 00:06:38,450
यह पीसी दुनिया से थोड़ा अलग है.

102
00:06:38,450 --> 00:06:42,530
और फिर अंतिम परत ऊपर परत, अनुप्रयोग परत है.

103
00:06:42,530 --> 00:06:45,250
यही कारण है कि मैं आज के बारे में बात करने जा रहा हूँ.

104
00:06:45,250 --> 00:06:48,970
>>, अन्य परतों मौजूद हैं, और अन्य परतों इसे में खेलना

105
00:06:48,970 --> 00:06:53,310
लेकिन मैं ज्यादातर आवेदन परत में क्या हो रहा है के बारे में बात करने जा रहा हूँ

106
00:06:53,310 --> 00:06:55,560
कोड sandbox में चल रहा है, जहां.

107
00:06:55,560 --> 00:06:58,670
यह प्रशासनिक विशेषाधिकार नहीं है.

108
00:06:58,670 --> 00:07:02,170
यह डिवाइस के एपीआई का उपयोग करने के लिए है,

109
00:07:02,170 --> 00:07:06,970
लेकिन फिर भी, दुर्भावनापूर्ण गतिविधि का एक बहुत कुछ है और जोखिम का एक बहुत है कि परत में हो सकता है

110
00:07:06,970 --> 00:07:09,220
सब जानकारी है कि जहां परत है क्योंकि.

111
00:07:09,220 --> 00:07:12,330
Apps उपकरण पर सभी जानकारी का उपयोग कर सकते हैं

112
00:07:12,330 --> 00:07:15,390
वे सही अनुमति है, तो

113
00:07:15,390 --> 00:07:17,540
और वे डिवाइस पर अलग सेंसर का उपयोग कर सकते हैं,

114
00:07:17,540 --> 00:07:23,950
जीपीएस सेंसर, माइक्रोफोन, कैमरा, तुम क्या है.

115
00:07:23,950 --> 00:07:27,380
हम केवल आवेदन परत पर के बारे में बात कर रहे हैं, भले ही

116
00:07:27,380 --> 00:07:33,700
हम वहाँ जोखिम के एक बहुत कुछ है.

117
00:07:33,700 --> 00:07:38,450
मोबाइल पर्यावरण के बारे में अलग है कि दूसरी बात

118
00:07:38,450 --> 00:07:45,060
सभी ऑपरेटिंग सिस्टम के खिलाड़ियों, यह हो जाता है ब्लैकबेरी या Android

119
00:07:45,060 --> 00:07:53,410
या आईओएस या विंडोज मोबाइल, वे सब, एक ठीक छोटाबीजवाला अनुमति मॉडल

120
00:07:53,410 --> 00:07:56,990
और यह वे ऑपरेटिंग सिस्टम में बनाया गया है कि तरीकों में से एक है

121
00:07:56,990 --> 00:08:01,230
यह रूप में आपको लगता जोखिम भरा नहीं है कि विचार.

122
00:08:01,230 --> 00:08:04,550
आप वहां पर अपने सभी संपर्क किया है, भले ही अपने सभी व्यक्तिगत जानकारी,

123
00:08:04,550 --> 00:08:09,080
आप अपने फोटो है, आप वहां पर अपना स्थान है

124
00:08:09,080 --> 00:08:14,820
आप वहाँ पर ऑटो लॉगिन करने के लिए अपने बैंक पिन भंडारण कर रहे हैं, यह सुरक्षित है क्योंकि

125
00:08:14,820 --> 00:08:19,430
क्षुधा कुछ भागों में पाने के लिए कुछ अनुमतियों के लिए है

126
00:08:19,430 --> 00:08:25,080
डिवाइस के बारे में जानकारी है, और उपयोगकर्ता के साथ प्रस्तुत किया जाना है

127
00:08:25,080 --> 00:08:29,230
इन अनुमतियों और ठीक कहते हैं.

128
00:08:29,230 --> 00:08:32,590
>> इसके साथ समस्या हमेशा उपयोगकर्ता है ठीक कहते हैं.

129
00:08:32,590 --> 00:08:35,240
एक सुरक्षा व्यक्ति के रूप में, मैं आपको उपयोगकर्ता को संकेत कर सकते हैं,

130
00:08:35,240 --> 00:08:40,100
वास्तव में कुछ बुरा होने वाला है कहना, आप ऐसा करना चाहते हैं?

131
00:08:40,100 --> 00:08:44,680
और वे एक भीड़ में हो या उस के दूसरी तरफ वास्तव में मोहक अगर वहाँ कुछ,

132
00:08:44,680 --> 00:08:47,760
की तरह एक खेल है, वे के लिए इंतजार कर रहा है कि स्थापित किया जा रहा है

133
00:08:47,760 --> 00:08:50,860
वे ठीक क्लिक करने के लिए जा रहे हैं.

134
00:08:50,860 --> 00:08:56,630
मैं तो बस मुझे पहले से ही सूअरों में पक्षियों लात चलो यहाँ मेरी स्लाइड पर क्यों कहते हैं, आइये

135
00:08:56,630 --> 00:09:03,150
और आप एक ब्लैकबेरी अनुमति बॉक्स के उदाहरण नहीं है यहाँ स्लाइड पर देख सकते हैं.

136
00:09:03,150 --> 00:09:05,990
यह "ब्लैकबेरी यात्रा आवेदन अनुमतियाँ सेट करें कहते हैं

137
00:09:05,990 --> 00:09:09,720
, नीचे दिए गए बटन पर क्लिक "और मूल रूप से उपयोगकर्ता सिर्फ कहने जा रहा है के बाद

138
00:09:09,720 --> 00:09:12,240
अनुमतियाँ सेट और बचाने के लिए.

139
00:09:12,240 --> 00:09:18,010
यहाँ यह बातें पता चलता है जहां एक Android शीघ्र है,

140
00:09:18,010 --> 00:09:20,260
और यह वास्तव में लगभग एक चेतावनी की तरह लग रहा है कि कुछ कहते हैं.

141
00:09:20,260 --> 00:09:25,090
यह वहाँ उपज साइन कह नेटवर्क संचार, फोन कॉल का एक तरह से मिल गया है

142
00:09:25,090 --> 00:09:28,120
लेकिन उपयोगकर्ता सही, स्थापित क्लिक करने के लिए जा रहा है?

143
00:09:28,120 --> 00:09:32,940
और फिर एप्पल से एक पूरी तरह से अहानिकर है.

144
00:09:32,940 --> 00:09:34,300
यह चेतावनी के किसी भी प्रकार देना नहीं है.

145
00:09:34,300 --> 00:09:37,380
यह एप्पल अपने वर्तमान स्थान का उपयोग करना चाहते हैं तो बस है.

146
00:09:37,380 --> 00:09:39,670
बेशक आप ठीक क्लिक करने के लिए जा रहे हैं.

147
00:09:39,670 --> 00:09:42,260
>> इस सुक्ष्म अनुमति मॉडल है,

148
00:09:42,260 --> 00:09:45,890
और क्षुधा वे घोषित जहां एक प्रकट फ़ाइल के लिए है

149
00:09:45,890 --> 00:09:49,410
, अनुमति की जरूरत है वे है, और है कि उपयोगकर्ता के लिए प्रदर्शित हो जाएगी

150
00:09:49,410 --> 00:09:53,480
और उपयोगकर्ता मैं इन अनुमति देना कहने के लिए होगा.

151
00:09:53,480 --> 00:09:55,080
लेकिन हम ईमानदार हो.

152
00:09:55,080 --> 00:09:58,400
प्रयोक्ता बस हमेशा ठीक कहने जा रहे हैं.

153
00:09:58,400 --> 00:10:04,460
इन क्षुधा के लिए पूछ रहे हैं कि अनुमतियों पर एक त्वरित देखो

154
00:10:04,460 --> 00:10:06,850
और वहाँ रहे हैं कि अनुमतियों के कुछ.

155
00:10:06,850 --> 00:10:09,950
इस कंपनी Praetorian पिछले साल एक सर्वेक्षण किया था

156
00:10:09,950 --> 00:10:14,170
एंड्रॉयड बाजार और 3 पार्टी बाजारों में विश्लेषण 53,000 आवेदनों की,

157
00:10:14,170 --> 00:10:16,770
इसलिए यह सभी Android है.

158
00:10:16,770 --> 00:10:19,670
और औसत एप्लिकेशन 3 अनुमतियों का अनुरोध किया.

159
00:10:19,670 --> 00:10:23,370
कुछ क्षुधा 117 अनुमतियों का अनुरोध किया,

160
00:10:23,370 --> 00:10:27,480
तो जाहिर है इन को समझने के लिए एक उपयोगकर्ता के लिए सुक्ष्म और रास्ता भी जटिल बहुत ठीक हैं

161
00:10:27,480 --> 00:10:31,600
वे इन 117 अनुमतियों की जरूरत है कि इस बॉक्स के साथ प्रस्तुत कर रहे हैं.

162
00:10:31,600 --> 00:10:37,270
यह 45 पृष्ठों लंबा है कि अंत उपयोगकर्ता लाइसेंस समझौते की तरह है.

163
00:10:37,270 --> 00:10:40,240
हो सकता है कि जल्द ही वे यह पसंद है जहां एक विकल्प होगा

164
00:10:40,240 --> 00:10:43,100
अनुमतियाँ प्रिंट और मुझे एक ईमेल भेजें.

165
00:10:43,100 --> 00:10:45,480
>> लेकिन आप शीर्ष दिलचस्प अनुमतियों के कुछ देखो अगर

166
00:10:45,480 --> 00:10:50,840
वे 53,000 से बाहर डाउनलोड की क्षुधा का 24%

167
00:10:50,840 --> 00:10:57,230
डिवाइस से अनुरोध किया जीपीएस जानकारी.

168
00:10:57,230 --> 00:10:59,810
8% संपर्कों पढ़ा.

169
00:10:59,810 --> 00:11:03,770
4% एसएमएस भेजा, और 3% एसएमएस मिला.

170
00:11:03,770 --> 00:11:07,730
2% ऑडियो दर्ज की गई.

171
00:11:07,730 --> 00:11:11,210
1% आउटगोइंग कॉल संसाधित.

172
00:11:11,210 --> 00:11:13,140
मुझे नहीं मालूम.

173
00:11:13,140 --> 00:11:17,520
मैं, app की दुकान में क्षुधा की 4% वास्तव में एसएमएस पाठ संदेश भेजने की जरूरत नहीं लगता

174
00:11:17,520 --> 00:11:21,410
इसलिए मुझे लगता है कि कुछ अनहोनी हो रहा है कि एक संकेत है.

175
00:11:21,410 --> 00:11:24,350
क्षुधा के 8% आपकी संपर्क सूची पढ़ने की जरूरत है.

176
00:11:24,350 --> 00:11:26,510
यह शायद आवश्यक नहीं है.

177
00:11:26,510 --> 00:11:30,990
अनुमतियों के बारे में अन्य रोचक बातों में से एक है

178
00:11:30,990 --> 00:11:36,740
आप अपने आवेदन में साझा पुस्तकालयों में लिंक अगर

179
00:11:36,740 --> 00:11:39,780
उन आवेदन की अनुमति के वारिस,

180
00:11:39,780 --> 00:11:46,570
इसलिए अपने app संपर्क सूची की जरूरत है या कार्य करने के लिए जीपीएस स्थान की जरूरत है

181
00:11:46,570 --> 00:11:49,940
और आप उदाहरण के लिए, एक विज्ञापन के पुस्तकालय में लिंक,

182
00:11:49,940 --> 00:11:53,170
उस विज्ञापन पुस्तकालय भी संपर्कों का उपयोग करने में सक्षम हो जाएगा

183
00:11:53,170 --> 00:11:57,630
और भी जीपीएस स्थान का उपयोग कर सकेंगे,

184
00:11:57,630 --> 00:12:01,990
और एप्लिकेशन डेवलपर की विज्ञापन लाइब्रेरी में चल रहा है कि कोड के बारे में कुछ नहीं जानता.

185
00:12:01,990 --> 00:12:05,370
वे उनके अनुप्रयोग धातु के सिक्के के लिए चाहते हैं क्योंकि वे सिर्फ उस में लिंक कर रहे हैं.

186
00:12:05,370 --> 00:12:09,820
>> यह कहाँ और है कि मैं के साथ इस के कुछ उदाहरण के बारे में बात करेंगे

187
00:12:09,820 --> 00:12:13,930
पेंडोरा नामक एक आवेदन जहां एक आवेदन डेवलपर

188
00:12:13,930 --> 00:12:18,910
अनजाने जानकारी लीक हो सकती है

189
00:12:18,910 --> 00:12:24,580
अपने उपयोगकर्ताओं से क्योंकि वे अंदर जुड़ा है पुस्तकालयों की

190
00:12:24,580 --> 00:12:30,110
सब अलग अलग क्षुधा को देख, वहाँ से बाहर परिदृश्य सर्वेक्षण

191
00:12:30,110 --> 00:12:34,310
दुर्भावनापूर्ण या कर कुछ उपयोगकर्ताओं को नहीं चाहता था के रूप में खबर में बताया गया है कि

192
00:12:34,310 --> 00:12:39,360
और उसके बाद की एक बहुत निरीक्षण क्षुधा, हम, मोबाइल एप्लिकेशन पर स्थिर द्विआधारी विश्लेषण का एक बहुत कुछ

193
00:12:39,360 --> 00:12:42,010
इसलिए हम उन्हें निरीक्षण किया और कोड में देखा है ही,

194
00:12:42,010 --> 00:12:49,640
हम हम अनुप्रयोगों में जोखिम भरे व्यवहार की हमारे शीर्ष 10 की सूची क्या कॉल के साथ आया था.

195
00:12:49,640 --> 00:12:54,180
और यह 2 वर्गों, दुर्भावनापूर्ण कोड में विभाजित होता है

196
00:12:54,180 --> 00:12:57,600
इसलिए इन क्षुधा कर रही हो सकता है कि बुरी बातें कर रहे हैं कि

197
00:12:57,600 --> 00:13:06,520
कि एक दुर्भावनापूर्ण व्यक्ति कुछ होने की संभावना है

198
00:13:06,520 --> 00:13:10,060
विशेष रूप से आवेदन में डाल दिया, लेकिन यह एक छोटा सा फजी की है.

199
00:13:10,060 --> 00:13:13,300
यह एक डेवलपर ठीक है सोचता है कि कुछ हो सकता है

200
00:13:13,300 --> 00:13:16,350
लेकिन यह उपयोगकर्ता द्वारा दुर्भावनापूर्ण के बारे में सोचा जा रहा है.

201
00:13:16,350 --> 00:13:19,830
>> और फिर दूसरे खंड हम कमजोरियों कोडिंग कहते हैं,

202
00:13:19,830 --> 00:13:24,600
और इन डेवलपर मूल रूप से गलतियों को बना रही है जहां बातें कर रहे हैं

203
00:13:24,600 --> 00:13:27,200
या सिर्फ सुरक्षित app लिखने के लिए समझ में नहीं है,

204
00:13:27,200 --> 00:13:30,260
 और कहा कि खतरे में एप्लिकेशन उपयोगकर्ता रख रहा है.

205
00:13:30,260 --> 00:13:34,060
मैं विस्तार में इन के माध्यम से जाने के लिए और कुछ उदाहरण देने जा रहा हूँ.

206
00:13:34,060 --> 00:13:39,620
संदर्भ के लिए, मैं OWASP मोबाइल शीर्ष 10 की सूची प्रस्तुत करने के लिए चाहता था.

207
00:13:39,620 --> 00:13:43,590
इन 10 मुद्दे हैं कि OWASP पर एक समूह,

208
00:13:43,590 --> 00:13:48,900
ओपन वेब अनुप्रयोग सुरक्षा परियोजना, वे काम कर रहे एक समूह है

209
00:13:48,900 --> 00:13:50,620
एक मोबाइल शीर्ष 10 की सूची पर काम कर रहा.

210
00:13:50,620 --> 00:13:54,600
वे शीर्ष 10 हैं जो एक बहुत प्रसिद्ध वेब शीर्ष 10 की सूची है,

211
00:13:54,600 --> 00:13:57,180
riskiest बातें आप एक वेब आवेदन में हो सकता है.

212
00:13:57,180 --> 00:13:59,090
वे मोबाइल के लिए एक ही बात कर रहे हैं,

213
00:13:59,090 --> 00:14:01,750
और उनकी सूची हमारी तुलना में थोड़ा अलग है.

214
00:14:01,750 --> 00:14:03,670
10 में से 6 में ही हैं.

215
00:14:03,670 --> 00:14:06,020
वे अलग हैं कि 4 है.

216
00:14:06,020 --> 00:14:10,550
मुझे लगता है वे पर एक अलग ले का एक छोटा सा लगता है

217
00:14:10,550 --> 00:14:14,490
मोबाइल क्षुधा में जोखिम जहां उनके मुद्दों का एक बहुत

218
00:14:14,490 --> 00:14:20,490
वास्तव में आवेदन एक पीठ के अंत सर्वर से संवाद स्थापित कर रहा है कैसे कर रहे हैं

219
00:14:20,490 --> 00:14:23,100
या क्या पीठ के अंत सर्वर पर चल रहा है,

220
00:14:23,100 --> 00:14:29,220
बस सीधा ग्राहक क्षुधा हैं कि जोखिम भरा व्यवहार है कि इतना नहीं क्षुधा.

221
00:14:29,220 --> 00:14:36,640
>> यहाँ लाल रंग में लोगों को 2 सूचियों के बीच मतभेद हैं.

222
00:14:36,640 --> 00:14:40,740
और अपने शोध टीम के कुछ वास्तव में इस परियोजना के लिए योगदान दिया है,

223
00:14:40,740 --> 00:14:44,570
इसलिए हम समय के साथ देखेंगे कि क्या होता है, लेकिन मैं यहाँ takeaway है लगता है

224
00:14:44,570 --> 00:14:47,550
हम वास्तव में शीर्ष 10 की सूची मोबाइल क्षुधा में क्या है पता नहीं है

225
00:14:47,550 --> 00:14:50,510
वे सच में ही, अब 2 या 3 साल के लिए चारों ओर गया है

226
00:14:50,510 --> 00:14:57,750
और वास्तव में ऑपरेटिंग सिस्टम अनुसंधान करने के लिए पर्याप्त समय नहीं किया गया है

227
00:14:57,750 --> 00:15:00,450
और क्या वे करने में सक्षम हो, और वहाँ पर्याप्त समय नहीं किया गया है

228
00:15:00,450 --> 00:15:06,870
अगर तुम जाएगा दुर्भावनापूर्ण समुदाय के लिए, काफी समय बिताया है

229
00:15:06,870 --> 00:15:12,910
मोबाइल एप्लिकेशन के माध्यम से उपयोगकर्ताओं पर हमला करने की कोशिश कर रहा है, तो मैं इन सूचियों में थोड़ा सा बदलाव की उम्मीद.

230
00:15:12,910 --> 00:15:18,720
लेकिन अब के लिए, इन के बारे में चिंता करने के लिए शीर्ष 10 बातें कर रहे हैं.

231
00:15:18,720 --> 00:15:24,150
आप मोबाइल पक्ष पर आश्चर्य हो सकता है जहां करता दुर्भावनापूर्ण मोबाइल कोड

232
00:15:24,150 --> 00:15:28,880
कैसे यह डिवाइस पर प्राप्त करता है?

233
00:15:28,880 --> 00:15:35,210
उत्तरी कैरोलिना स्टेट मोबाइल मैलवेयर जीनोम परियोजना नामक एक परियोजना है

234
00:15:35,210 --> 00:15:39,520
जहां वे, वे कर सकते हैं जितना मोबाइल मैलवेयर का संग्रह है और यह विश्लेषण कर रहे हैं

235
00:15:39,520 --> 00:15:45,270
और वे, मोबाइल मैलवेयर का उपयोग करता है कि इंजेक्शन वैक्टर टूट गया है

236
00:15:45,270 --> 00:15:51,490
और 86%, पैकेजिंग नामक तकनीक का उपयोग

237
00:15:51,490 --> 00:15:54,160
और यह एंड्रॉयड प्लेटफॉर्म पर ही है

238
00:15:54,160 --> 00:15:56,720
आप वास्तव में यह पैकेजिंग कर सकते हैं.

239
00:15:56,720 --> 00:16:03,100
>> कारण एंड्रॉयड कोड के साथ बनाया गया है है

240
00:16:03,100 --> 00:16:08,130
आसानी से decompilable है जो Dalvik नामक एक जावा बाइट कोड.

241
00:16:08,130 --> 00:16:12,460
क्या बुरा आदमी क्या कर सकता है

242
00:16:12,460 --> 00:16:16,590
एक Android आवेदन ले, यह विघटित,

243
00:16:16,590 --> 00:16:20,120
उनके दुर्भावनापूर्ण कोड डालने, यह recompile,

244
00:16:20,120 --> 00:16:28,070
और फिर उस आवेदन का एक नया संस्करण होना तात्पर्यित App स्टोर में इसे डाल,

245
00:16:28,070 --> 00:16:30,330
या बस हो सकता है आवेदन का नाम बदल रहा है.

246
00:16:30,330 --> 00:16:35,140
यह खेल किसी प्रकार का था, तो थोड़ा नाम बदल

247
00:16:35,140 --> 00:16:42,860
और इसलिए इस repackaging मोबाइल मैलवेयर के 86% वितरित किया जाता है.

248
00:16:42,860 --> 00:16:45,810
है जो एक और तकनीक कहा जाता है अद्यतन नहीं है

249
00:16:45,810 --> 00:16:50,030
पैकेजिंग के लिए बहुत समान है, लेकिन आप वास्तव में अंदर दुर्भावनापूर्ण कोड डाल नहीं है

250
00:16:50,030 --> 00:16:52,870
तुम क्या आप एक छोटे से अद्यतन तंत्र में डाल दिया है.

251
00:16:52,870 --> 00:16:56,660
आप डिकंपाइल, तुम एक अद्यतन प्रणाली में डाल दिया, और जब आप इसे recompile,

252
00:16:56,660 --> 00:17:02,360
और फिर एप्लिकेशन यह डिवाइस पर मैलवेयर नीचे खींचती चल रहा है.

253
00:17:02,360 --> 00:17:06,300
>> अब तक का बहुमत उन 2 तकनीकों हैं.

254
00:17:06,300 --> 00:17:12,710
मोबाइल पर वास्तव में बहुत डाउनलोड ड्राइव bys या ड्राइव से डाउनलोड, वहाँ नहीं है

255
00:17:12,710 --> 00:17:15,890
एक फ़िशिंग हमले की तरह हो सकता है.

256
00:17:15,890 --> 00:17:18,200
अरे, यह वास्तव में अच्छा वेबसाइट की जाँच,

257
00:17:18,200 --> 00:17:21,020
या आप इस वेबसाइट पर जाकर इस फॉर्म को भरने की जरूरत

258
00:17:21,020 --> 00:17:24,420
कुछ कर रही जारी रखने रखने के लिए.

259
00:17:24,420 --> 00:17:26,230
उन हमलों फ़िशिंग रहे हैं.

260
00:17:26,230 --> 00:17:28,160
एक ही बात मोबाइल प्लेटफॉर्म पर भी हो सकता है जहां वे

261
00:17:28,160 --> 00:17:33,830
डाउनलोड, कहने के लिए एक मोबाइल एप्लिकेशन को इंगित "हाय, इस बैंक ऑफ अमेरिका है."

262
00:17:33,830 --> 00:17:36,070
"हम आप इस अनुप्रयोग का उपयोग कर रहे हैं देखते हैं."

263
00:17:36,070 --> 00:17:38,540
"आप इस अन्य आवेदन डाउनलोड करना चाहिए."

264
00:17:38,540 --> 00:17:41,170
सैद्धांतिक रूप से, वह काम कर सकता है.

265
00:17:41,170 --> 00:17:48,610
शायद यह सिर्फ यह सफल है या नहीं, इसका फैसला करने के लिए पर्याप्त नहीं किया जा रहा है

266
00:17:48,610 --> 00:17:51,680
लेकिन वे समय है कि तकनीक का 1% से कम प्रयोग किया जाता है कि पाया.

267
00:17:51,680 --> 00:17:56,130
समय के अधिकांश यह वास्तव में एक repackaged कोड है.

268
00:17:56,130 --> 00:17:58,710
>> अन्य श्रेणी बुलाया स्टैंडअलोन है

269
00:17:58,710 --> 00:18:01,420
किसी को सिर्फ एक नया आवेदन बनाता है.

270
00:18:01,420 --> 00:18:04,020
वे कुछ हो अभिप्राय है कि एक आवेदन का निर्माण.

271
00:18:04,020 --> 00:18:07,360
यह कुछ और की एक repackaging नहीं है, और कि दुर्भावनापूर्ण कोड है.

272
00:18:07,360 --> 00:18:11,230
उस समय के 14% इस्तेमाल किया है.

273
00:18:11,230 --> 00:18:17,880
अब मैं दुर्भावनापूर्ण कोड क्या कर रहा है के बारे में बात करना चाहते हैं?

274
00:18:17,880 --> 00:18:23,070
वहाँ से बाहर पहली मैलवेयर से एक

275
00:18:23,070 --> 00:18:25,490
आप एक स्पाइवेयर विचार कर सकते हैं.

276
00:18:25,490 --> 00:18:27,620
यह मूल रूप से उपयोगकर्ता पर जासूस.

277
00:18:27,620 --> 00:18:30,470
यह ईमेल, एसएमएस संदेश एकत्र करता है.

278
00:18:30,470 --> 00:18:32,340
यह माइक्रोफोन पर बदल जाता है.

279
00:18:32,340 --> 00:18:37,330
यह संपर्क किताब फसल, और यह किसी और के लिए इसे बंद कर भेजता है.

280
00:18:37,330 --> 00:18:40,870
स्पायवेयर इस प्रकार पीसी पर मौजूद है,

281
00:18:40,870 --> 00:18:46,200
लोग मोबाइल उपकरणों पर ऐसा करने की कोशिश करने के लिए तो यह एकदम सही समझ में आता है.

282
00:18:46,200 --> 00:18:53,230
>> इस का पहला उदाहरण के एक गुप्त एसएमएस रेप्लिकेटर एक कार्यक्रम बुलाया था.

283
00:18:53,230 --> 00:18:56,250
यह कुछ साल पहले Android के बाज़ार में था

284
00:18:56,250 --> 00:18:59,960
आप किसी के एंड्रॉयड फोन करने के लिए उपयोग किया था और विचार था

285
00:18:59,960 --> 00:19:03,450
आप पर जासूसी करना चाहता था, तो शायद यह अपने पति कि

286
00:19:03,450 --> 00:19:07,600
या अपने अन्य महत्वपूर्ण और आप उनके पाठ संदेश पर जासूसी करने के लिए चाहते हैं,

287
00:19:07,600 --> 00:19:11,200
आप इस एप्लिकेशन को डाउनलोड करने और इसे स्थापित करने और इसे विन्यस्त कर सकता

288
00:19:11,200 --> 00:19:16,540
एक प्रति के साथ आप के लिए एक एसएमएस पाठ संदेश भेजने के लिए

289
00:19:16,540 --> 00:19:21,710
हर एसएमएस पाठ संदेश के वे मिल गया.

290
00:19:21,710 --> 00:19:27,220
यह स्पष्ट रूप से, सेवा की App स्टोर शर्तों के उल्लंघन में है

291
00:19:27,220 --> 00:19:32,040
और यह, यह वहाँ जा रहा है की 18 घंटे के भीतर Android के बाज़ार से हटा दिया गया था

292
00:19:32,040 --> 00:19:36,760
ताकि लोगों की एक बहुत छोटी संख्या है इस वजह से जोखिम में थे.

293
00:19:36,760 --> 00:19:42,510
अब, मुझे लगता है कि कार्यक्रम में कुछ हो सकता है एक छोटे से कम उत्तेजक बुलाया गया था अगर

294
00:19:42,510 --> 00:19:48,690
गुप्त एसएमएस रेप्लिकेटर तरह यह शायद एक बहुत बेहतर काम किया होता.

295
00:19:48,690 --> 00:19:52,870
लेकिन यह एक तरह से स्पष्ट किया गया था.

296
00:19:52,870 --> 00:19:58,680
>> हम क्षुधा हम नहीं चाहते कि इस व्यवहार किया है तो यह निर्धारित करने के लिए क्या कर सकते हैं चीजों में से एक

297
00:19:58,680 --> 00:20:01,410
कोड का निरीक्षण करने के लिए है.

298
00:20:01,410 --> 00:20:06,250
यह वास्तव में हम क्षुधा विघटित कर सकते हैं क्योंकि एंड्रॉयड पर वास्तव में आसान नहीं है.

299
00:20:06,250 --> 00:20:11,050
IOS पर आप आईडीए समर्थक की तरह एक disassembler का उपयोग कर सकते हैं

300
00:20:11,050 --> 00:20:17,190
एप्लिकेशन को बुला रहा है और यह क्या कर रहा है एपिस क्या देखने के लिए.

301
00:20:17,190 --> 00:20:20,680
हम अपने कोड के लिए अपने स्वयं के बाइनरी स्थिर विश्लेषक ने लिखा है

302
00:20:20,680 --> 00:20:24,940
और हम ऐसा करते हैं, और इसलिए तुम क्या कर सकता है आप कह सकते है

303
00:20:24,940 --> 00:20:30,490
युक्ति मूल रूप से मुझ पर जासूसी या मुझे ट्रैक कर रहा है कि कुछ भी करता है?

304
00:20:30,490 --> 00:20:33,360
और मैं यहाँ iPhone पर कुछ उदाहरण है.

305
00:20:33,360 --> 00:20:41,440
यह पहला उदाहरण फोन पर UUID का उपयोग करने के लिए है.

306
00:20:41,440 --> 00:20:47,060
यह वास्तव में एप्पल सिर्फ नए अनुप्रयोगों के लिए प्रतिबंधित कर दिया गया है कुछ है,

307
00:20:47,060 --> 00:20:52,540
लेकिन आप अपने फोन पर चल रहा है हो सकता है कि पुराने आवेदन अभी भी ऐसा कर सकते हैं,

308
00:20:52,540 --> 00:20:56,500
और इतना है कि अद्वितीय पहचानकर्ता आप ट्रैक करने के लिए इस्तेमाल किया जा सकता है

309
00:20:56,500 --> 00:21:00,440
कई अलग अलग आवेदन भर में.

310
00:21:00,440 --> 00:21:07,180
>> एंड्रॉयड पर, मैं यहाँ डिवाइस का स्थान होने का एक उदाहरण है.

311
00:21:07,180 --> 00:21:10,310
तुम्हें पता है, कि एपीआई कॉल अगर वहाँ है कि app ट्रैकिंग है कि देख सकते हैं

312
00:21:10,310 --> 00:21:15,000
और आप इसे ठीक स्थान या मोटे स्थान हो रही है कि क्या देख सकते हैं.

313
00:21:15,000 --> 00:21:18,860
और फिर यहाँ तल पर, मैं ब्लैकबेरी पर कैसे का एक उदाहरण है

314
00:21:18,860 --> 00:21:25,130
एक आवेदन आपके इनबॉक्स में ईमेल संदेशों का उपयोग हो सकता है.

315
00:21:25,130 --> 00:21:27,660
ये आप को देखने के लिए निरीक्षण कर सकते हैं चीजों की तरह कर रहे हैं

316
00:21:27,660 --> 00:21:32,360
एप्लिकेशन उन बातें कर रही है.

317
00:21:32,360 --> 00:21:38,320
दूसरा बड़ा दुर्भावनापूर्ण व्यवहार की श्रेणी, और यह अब शायद सबसे बड़ा वर्ग है,

318
00:21:38,320 --> 00:21:43,950
है अनधिकृत डायलन, अनधिकृत प्रीमियम एसएमएस पाठ संदेश

319
00:21:43,950 --> 00:21:46,080
या अनधिकृत भुगतान.

320
00:21:46,080 --> 00:21:48,930
फोन के बारे में अनूठा है कि एक और बात

321
00:21:48,930 --> 00:21:52,700
इस उपकरण में एक बिलिंग खाते में पकड़ा गया है,

322
00:21:52,700 --> 00:21:55,960
और गतिविधियों को फोन पर हुआ जब

323
00:21:55,960 --> 00:21:58,510
यह शुल्क बना सकते हैं.

324
00:21:58,510 --> 00:22:00,700
आप फोन पर चीजें खरीद सकते हैं,

325
00:22:00,700 --> 00:22:04,390
आप एक प्रीमियम एसएमएस पाठ संदेश भेजने और जब आप वास्तव में पैसे दे रहे हैं

326
00:22:04,390 --> 00:22:11,590
दूसरी तरफ फोन नंबर का खाता धारक के लिए.

327
00:22:11,590 --> 00:22:17,420
इन शेयरों के भाव पाने के लिए या अपने दैनिक कुंडली या अन्य चीजें पाने के लिए स्थापित किए गए,

328
00:22:17,420 --> 00:22:21,680
लेकिन वे एक एसएमएस पाठ भेजकर एक उत्पाद के आदेश करने के लिए स्थापित किया जा सकता है.

329
00:22:21,680 --> 00:22:26,970
लोग एक पाठ संदेश भेज कर रेड क्रॉस के लिए पैसे दे.

330
00:22:26,970 --> 00:22:30,650
आप $ 10 है कि जिस तरह से दे सकते हैं.

331
00:22:30,650 --> 00:22:34,190
>> वे क्या किया है हमलावरों, वे स्थापित है

332
00:22:34,190 --> 00:22:38,750
विदेशों में खातों, और वे मैलवेयर में एम्बेड

333
00:22:38,750 --> 00:22:42,840
फोन एक प्रीमियम एसएमएस पाठ संदेश भेज देंगे,

334
00:22:42,840 --> 00:22:47,700
कई बार एक दिन, और आप खर्च कर दिया है आप महसूस माह के अंत में कहते हैं,

335
00:22:47,700 --> 00:22:52,090
दसियों या शायद भी डॉलर के सैकड़ों, और वे पैसे के साथ चले.

336
00:22:52,090 --> 00:22:57,280
यह इस बहुत पहले की बात थी कि इतना बुरा है कि एंड्रॉयड

337
00:22:57,280 --> 00:23:00,760
बाज़ार या गूगल जगह यह समय में एंड्रॉयड मार्केटप्लेस था

338
00:23:00,760 --> 00:23:04,430
और यह गूगल प्ले गूगल के लिए जाँच शुरू कर दिया है कि पहली बात यह है कि अब है.

339
00:23:04,430 --> 00:23:08,700
गूगल अपने app की दुकान में एंड्रॉयड Apps का वितरण शुरू कर दिया है

340
00:23:08,700 --> 00:23:11,350
वे कुछ भी करने के लिए जाँच करने के लिए नहीं जा रहे थे.

341
00:23:11,350 --> 00:23:15,630
हम वे हमारी सेवा की शर्तों तोड़ दिया अधिसूचित किए जाने के बाद हम क्षुधा खींच लेंगे,

342
00:23:15,630 --> 00:23:17,520
लेकिन हम कुछ भी करने के लिए जाँच करने के लिए नहीं जा रहे हैं.

343
00:23:17,520 --> 00:23:24,350
खैर, इस बारे में एक साल पहले यह इस प्रीमियम एसएमएस पाठ संदेश मैलवेयर के साथ इतना बुरा है

344
00:23:24,350 --> 00:23:28,030
इस वे के लिए जाँच शुरू कर दिया बहुत पहले की बात है कि.

345
00:23:28,030 --> 00:23:31,770
एक app एसएमएस पाठ संदेश भेज सकते हैं

346
00:23:31,770 --> 00:23:34,750
वे आगे मैन्युअल रूप कि आवेदन पत्रों की जांच.

347
00:23:34,750 --> 00:23:38,770
वे कहते हैं कि एपीआई के लिए लग रही है,

348
00:23:38,770 --> 00:23:40,580
और अब उसके बाद से गूगल विस्तार किया गया है,

349
00:23:40,580 --> 00:23:46,900
लेकिन यह है कि वे के लिए तलाश शुरू कर दी है कि पहली बात थी.

350
00:23:46,900 --> 00:23:50,690
>> कुछ एसएमएस पाठ संदेश था कि कुछ अन्य क्षुधा,

351
00:23:50,690 --> 00:23:56,980
इस Android Qicsomos, मैं यह कहा जाता है लगता है.

352
00:23:56,980 --> 00:24:02,670
इस CarrierIQ बाहर आया जहां मोबाइल पर इस वर्तमान घटना हुई थी

353
00:24:02,670 --> 00:24:07,720
के रूप में स्पायवेयर, वाहक द्वारा डिवाइस पर डाल

354
00:24:07,720 --> 00:24:10,820
ताकि लोगों को उनके फोन इस की चपेट में था जानना चाहता था

355
00:24:10,820 --> 00:24:13,890
और यह है कि परीक्षण किया गया है कि एक स्वतंत्र अनुप्रयोग था.

356
00:24:13,890 --> 00:24:17,520
ठीक है, बेशक, क्या इस एप्लिकेशन किया था, यह प्रीमियम एसएमएस पाठ संदेश भेजा था

357
00:24:17,520 --> 00:24:20,090
तो आप स्पाइवेयर से संक्रमित कर रहे हैं देखने के लिए परीक्षण द्वारा

358
00:24:20,090 --> 00:24:24,930
आप अपने डिवाइस पर मैलवेयर भरा हुआ है.

359
00:24:24,930 --> 00:24:27,310
हम एक ही बात पिछले सुपर बाउल में होने देखा.

360
00:24:27,310 --> 00:24:33,180
झुंझलाना फुटबॉल के खेल का एक फर्जी संस्करण था

361
00:24:33,180 --> 00:24:38,320
कि प्रीमियम एसएमएस पाठ संदेश भेजा है.

362
00:24:38,320 --> 00:24:45,750
यह वास्तव में डिवाइस पर भी एक बॉट नेटवर्क बनाने की कोशिश की.

363
00:24:45,750 --> 00:24:48,090
यहाँ मैं कुछ उदाहरण है.

364
00:24:48,090 --> 00:24:52,640
काफी दिलचस्प है, एप्पल, बहुत होशियार था

365
00:24:52,640 --> 00:24:58,470
और वे आवेदन पत्र सभी पर एसएमएस पाठ संदेश भेजने की अनुमति नहीं है.

366
00:24:58,470 --> 00:25:00,350
कोई एप्लिकेशन यह कर सकते हैं.

367
00:25:00,350 --> 00:25:03,530
उस भेद्यता का एक पूरा वर्ग से छुटकारा पाने का एक शानदार तरीका है,

368
00:25:03,530 --> 00:25:09,040
लेकिन एंड्रॉयड पर आप यह कर सकते हैं, और हां, ब्लैकबेरी पर आप यह भी कर सकते हैं.

369
00:25:09,040 --> 00:25:13,060
यह ब्लैकबेरी पर आप सभी की जरूरत इंटरनेट अनुमतियों है कि दिलचस्प है

370
00:25:13,060 --> 00:25:18,370
एक एसएमएस पाठ संदेश भेजने के लिए.

371
00:25:18,370 --> 00:25:21,580
>> हम देखने के लिए सच है कि दूसरी बात

372
00:25:21,580 --> 00:25:24,780
हम कुछ दुर्भावनापूर्ण है देखने के लिए देख रहे हैं जब बस किसी भी तरह का है

373
00:25:24,780 --> 00:25:28,100
अनधिकृत नेटवर्क गतिविधि, जैसे नेटवर्क गतिविधि को देखो

374
00:25:28,100 --> 00:25:31,570
एप्लिकेशन अपनी कार्यक्षमता के लिए है माना जाता है,

375
00:25:31,570 --> 00:25:35,380
और यह अन्य नेटवर्क गतिविधि पर दिखेगा.

376
00:25:35,380 --> 00:25:43,380
शायद काम करने के लिए कोई एप्लिकेशन, HTTP पर डेटा प्राप्त करने के लिए है,

377
00:25:43,380 --> 00:25:47,500
लेकिन यह ईमेल या एसएमएस या ब्लूटूथ या ऐसा कुछ पर बातें कर रहा है अगर

378
00:25:47,500 --> 00:25:52,890
अब app है कि संभावित रूप से दुर्भावनापूर्ण हो सकता है, तो यह आपके लिए निरीक्षण कर सकते हैं एक और बात है.

379
00:25:52,890 --> 00:26:00,430
और यहाँ इस स्लाइड पर मुझे लगता है कि के कुछ उदाहरण है.

380
00:26:00,430 --> 00:26:05,950
हम मैलवेयर के साथ देखा एक और दिलचस्प बात यह है कि 2009 में वापस हुआ

381
00:26:05,950 --> 00:26:07,600
और यह एक बड़े पैमाने पर हुआ.

382
00:26:07,600 --> 00:26:11,390
यह तब से इतना हुआ है, तो मैं नहीं जानता, लेकिन यह एक app था

383
00:26:11,390 --> 00:26:15,140
कि एक और आवेदन impersonated.

384
00:26:15,140 --> 00:26:21,700
वहाँ क्षुधा का एक सेट था, और यह 09Droid हमले करार दिया गया था

385
00:26:21,700 --> 00:26:29,770
और किसी छोटे, क्षेत्रीय, मध्य आकार के बैंकों की एक बहुत थे फैसला किया है कि

386
00:26:29,770 --> 00:26:32,260
ऑनलाइन बैंकिंग आवेदन नहीं था कि,

387
00:26:32,260 --> 00:26:36,870
तो क्या वे किया था कि वे 50 के बारे में ऑनलाइन बैंकिंग आवेदन बनाया गया था

388
00:26:36,870 --> 00:26:39,410
वे सब उपयोगकर्ता नाम और पासवर्ड लेना था कि

389
00:26:39,410 --> 00:26:42,190
और वेबसाइट पर पुनर्निर्देशित.

390
00:26:42,190 --> 00:26:47,470
और इसलिए वे गूगल बाज़ार में इन सब के ऊपर डाल दिया,

391
00:26:47,470 --> 00:26:51,530
Android के बाज़ार में, और किसी को खोजा देखने के लिए जब अगर उनके बैंक

392
00:26:51,530 --> 00:26:56,000
, वे फर्जी आवेदन मिल जाएगा एक आवेदन किया था

393
00:26:56,000 --> 00:27:01,230
उनकी साख एकत्र की है और उसके बाद उन्हें अपनी वेबसाइट पर पुनः निर्देशित है.

394
00:27:01,230 --> 00:27:06,640
यह वास्तव में उस तरह से बन गया, क्षुधा, एक कुछ हफ्तों के लिए वहाँ थे

395
00:27:06,640 --> 00:27:09,050
और डाउनलोड के हजारों और हजारों रहे थे.

396
00:27:09,050 --> 00:27:12,910
>> इस प्रकाश में आया है जिस तरह से किसी एक समस्या हो रही थी था

397
00:27:12,910 --> 00:27:15,740
आवेदनों में से एक है, और वे उनके बैंक कहा जाता है, के साथ

398
00:27:15,740 --> 00:27:18,390
और वे उनके बैंक के ग्राहक सहायता लाइन फोन किया और कहा,

399
00:27:18,390 --> 00:27:21,180
"मैं अपने मोबाइल बैंकिंग आवेदन के साथ एक समस्या आ रहा है."

400
00:27:21,180 --> 00:27:23,460
"तुम मेरी मदद कर सकते हैं?"

401
00:27:23,460 --> 00:27:26,540
और वे "हम एक मोबाइल बैंकिंग आवेदन की जरूरत नहीं है." ने कहा,

402
00:27:26,540 --> 00:27:28,120
यही कारण है कि जांच शुरू कर दी.

403
00:27:28,120 --> 00:27:31,200
, कि बैंक गूगल कहा जाता है, और फिर गूगल देखा और कहा,

404
00:27:31,200 --> 00:27:37,220
"वाह, एक ही लेखक, 50 बैंक आवेदन पत्र लिखा गया है" और उन सब को नीचे ले लिया.

405
00:27:37,220 --> 00:27:43,410
लेकिन निश्चित रूप से यह फिर से हो सकता है.

406
00:27:43,410 --> 00:27:51,790
सभी विभिन्न बैंकों की सूची यहाँ है

407
00:27:51,790 --> 00:27:55,870
कि इस घोटाले का हिस्सा थे.

408
00:27:55,870 --> 00:28:02,050
एक app कर सकते हैं दूसरी बात एक और आवेदन के लिए यूआई मौजूद है.

409
00:28:02,050 --> 00:28:06,430
यह चल रहा है जबकि यह फेसबुक यूआई पॉप अप कर सकता है.

410
00:28:06,430 --> 00:28:09,540
यह आपको जारी रखने के लिए अपने उपयोगकर्ता नाम और पासवर्ड में डाल दिया है कहते हैं

411
00:28:09,540 --> 00:28:15,090
या एक वेबसाइट के लिए किसी भी उपयोगकर्ता नाम और पासवर्ड यूआई लगाई

412
00:28:15,090 --> 00:28:18,420
हो सकता है कि उपयोगकर्ता उपयोगकर्ता चाल की कोशिश करने के लिए बस का उपयोग करता है

413
00:28:18,420 --> 00:28:21,340
अंदर अपने क्रेडेंशियल्स डालने में

414
00:28:21,340 --> 00:28:25,590
यह वास्तव में ईमेल फ़िशिंग हमलों के एक सीधे समानांतर है

415
00:28:25,590 --> 00:28:28,210
जब आप किसी से एक ईमेल संदेश भेजता है जहां

416
00:28:28,210 --> 00:28:33,050
और आप एक वेबसाइट के लिए मूल रूप से एक नकली यूआई देता है

417
00:28:33,050 --> 00:28:37,320
आप का उपयोग किया है कि.

418
00:28:37,320 --> 00:28:41,590
>> हम दुर्भावनापूर्ण कोड में देखने के लिए दूसरी बात यह है व्यवस्था परिवर्तन है.

419
00:28:41,590 --> 00:28:48,160
आप रूट विशेषाधिकार की आवश्यकता है कि सभी एपीआई कॉल के लिए देख सकते हैं

420
00:28:48,160 --> 00:28:50,870
सही ढंग से निष्पादित करने के लिए.

421
00:28:50,870 --> 00:28:56,160
डिवाइस की वेब प्रॉक्सी बदल रहा है कि एक आवेदन कुछ होगा

422
00:28:56,160 --> 00:28:59,530
ऐसा करने में सक्षम नहीं होना चाहिए.

423
00:28:59,530 --> 00:29:03,030
लेकिन आवेदन करने के लिए कि वहाँ में कोड है अगर

424
00:29:03,030 --> 00:29:05,960
आप यह शायद एक दुर्भावनापूर्ण आवेदन है कि पता

425
00:29:05,960 --> 00:29:09,620
या बहुत अत्यधिक एक दुर्भावनापूर्ण आवेदन होने की संभावना है,

426
00:29:09,620 --> 00:29:13,910
और तो क्या होगा एप्लिकेशन विशेषाधिकार तना का कुछ रास्ता नहीं होता है.

427
00:29:13,910 --> 00:29:17,200
यह कुछ विशेषाधिकार वृद्धि का फायदा उठाने के लिए होगा

428
00:29:17,200 --> 00:29:20,730
यह विशेषाधिकार परिवर्धित आवेदन में, और फिर एक बार

429
00:29:20,730 --> 00:29:23,800
यह इन सिस्टम संशोधन करना होगा.

430
00:29:23,800 --> 00:29:28,010
आप विशेषाधिकार वृद्धि है कि मैलवेयर पा सकते हैं

431
00:29:28,010 --> 00:29:32,550
इसमें भी कैसे विशेषाधिकार वृद्धि जानने के बिना

432
00:29:32,550 --> 00:29:37,960
फायदा उठाने होने जा रहा है, और वह एक अच्छा और आसान तरीका है

433
00:29:37,960 --> 00:29:41,220
मैलवेयर के लिए देखने के लिए.

434
00:29:41,220 --> 00:29:46,030
DroidDream शायद एंड्रॉयड मैलवेयर के सबसे प्रसिद्ध टुकड़ा था.

435
00:29:46,030 --> 00:29:50,530
मैं इसे कुछ ही दिनों में लगभग 250,000 उपयोगकर्ताओं को प्रभावित लगता है

436
00:29:50,530 --> 00:29:52,810
यह पाया गया था पहले.

437
00:29:52,810 --> 00:29:56,890
वे 50 फर्जी आवेदनों repackaged,

438
00:29:56,890 --> 00:30:00,370
एंड्रॉयड app की दुकान में डाल दिया,

439
00:30:00,370 --> 00:30:10,940
और अनिवार्य रूप से यह विशेषाधिकार बढ़ा एंड्रॉयड भागने के कोड का इस्तेमाल

440
00:30:10,940 --> 00:30:16,380
और फिर एक कमांड स्थापित करने और सभी पीड़ितों को नियंत्रित करने और बारी

441
00:30:16,380 --> 00:30:20,690
एक बीओटी के जाल में, लेकिन आप यह पता लगाया जा सकता था

442
00:30:20,690 --> 00:30:24,170
आप आवेदन स्कैनिंग और बस के लिए देख रहे थे

443
00:30:24,170 --> 00:30:32,230
एपीआई आवश्यक जड़ अनुमति सही ढंग से निष्पादित करने के लिए कि कॉल.

444
00:30:32,230 --> 00:30:40,150
>> और मैं प्रॉक्सी बदल रहा है जो यहां का एक उदाहरण है,

445
00:30:40,150 --> 00:30:46,380
और यह वास्तव में एंड्रॉयड पर ही उपलब्ध है.

446
00:30:46,380 --> 00:30:49,070
तुम्हें पता है मैं तुम Android पर उदाहरण के एक बहुत दे रहा हूँ देख सकते हैं

447
00:30:49,070 --> 00:30:53,990
सबसे सक्रिय मैलवेयर पारिस्थितिकी तंत्र है जहां यह है, क्योंकि

448
00:30:53,990 --> 00:30:58,690
यह दुर्भावनापूर्ण कोड प्राप्त करने के लिए एक हमलावर के लिए वास्तव में आसान है क्योंकि

449
00:30:58,690 --> 00:31:01,470
Android के बाज़ार में.

450
00:31:01,470 --> 00:31:06,480
यह एप्पल app स्टोर में ऐसा करने के लिए इतना आसान नहीं है

451
00:31:06,480 --> 00:31:10,250
एप्पल स्वयं को पहचानने के लिए डेवलपर्स की आवश्यकता है क्योंकि

452
00:31:10,250 --> 00:31:12,790
और कोड पर हस्ताक्षर.

453
00:31:12,790 --> 00:31:20,340
वे वास्तव में आप कौन हैं, जाँच और एप्पल वास्तव में आवेदनों की छानबीन कर रहा है.

454
00:31:20,340 --> 00:31:27,450
हम डिवाइस के साथ छेड़छाड़ हो रही है जहां सत्य मैलवेयर का एक बहुत कुछ नहीं दिख रहा है.

455
00:31:27,450 --> 00:31:32,250
मैं, यह वास्तव में छेड़छाड़ की हो रही है कि गोपनीयता जहां कुछ उदाहरणों के बारे में बात करेंगे

456
00:31:32,250 --> 00:31:38,460
और कहा कि वास्तव में एप्पल डिवाइस पर क्या हो रहा है.

457
00:31:38,460 --> 00:31:44,090
दुर्भावनापूर्ण कोड के लिए देखने के लिए एक और बात, उपकरणों में जोखिम भरा कोड

458
00:31:44,090 --> 00:31:50,300
तर्क या समय बम है, और समय बम शायद रहे हैं

459
00:31:50,300 --> 00:31:53,370
बहुत आसान तर्क बम से देखने के लिए.

460
00:31:53,370 --> 00:31:57,030
लेकिन समय बम के साथ, क्या आप कर सकते हैं कि आप के लिए देख सकते है

461
00:31:57,030 --> 00:32:04,760
समय परीक्षण किया जाता है, जहां कोड या एक पूर्ण समय में स्थानों के लिए देखा है

462
00:32:04,760 --> 00:32:08,190
एप्लिकेशन में कुछ कार्यक्षमता पहले होता है.

463
00:32:08,190 --> 00:32:14,200
और यह उपयोगकर्ता से उस गतिविधि को छिपाने के लिए किया जा सकता है

464
00:32:14,200 --> 00:32:17,510
इसलिए यह रात में देर से हो रहा है.

465
00:32:17,510 --> 00:32:24,350
DroidDream 11 बजे और 8 बजे स्थानीय समय में अपने सभी गतिविधि किया

466
00:32:24,350 --> 00:32:30,650
उपयोगकर्ता अपने डिवाइस का उपयोग नहीं किया जा सकता है, जबकि ऐसा करने की कोशिश करने के लिए.

467
00:32:30,650 --> 00:32:38,680
लोगों को एक आवेदन के व्यवहार विश्लेषण का उपयोग कर रहे हैं तो >> यह करने के लिए एक और कारण है,

468
00:32:38,680 --> 00:32:43,430
, आवेदन के व्यवहार क्या है यह देखने के लिए एक sandbox में app चल

469
00:32:43,430 --> 00:32:51,090
वे गतिविधि करने के लिए समय आधारित तर्क का उपयोग कर सकते हैं

470
00:32:51,090 --> 00:32:54,640
app sandbox में नहीं है.

471
00:32:54,640 --> 00:33:01,520
एप्पल की तरह उदाहरण के लिए, एक app की दुकान

472
00:33:01,520 --> 00:33:07,940
आवेदन चलाता है, लेकिन वे शायद, कहते हैं, 30 दिनों के लिए हर आवेदन नहीं चला है

473
00:33:07,940 --> 00:33:10,550
यह अनुमोदन करने से पहले, तो तुम डाल सकते हैं

474
00:33:10,550 --> 00:33:14,120
ठीक है, केवल बुरा काम करते हैं, ने कहा कि अपने आवेदन में तर्क

475
00:33:14,120 --> 00:33:20,490
30 दिन, आवेदन की प्रकाशित की तारीख के बाद 30 दिनों से या के बाद चला गया है के बाद

476
00:33:20,490 --> 00:33:27,020
और कहा कि इसके लिए निरीक्षण लोगों से दुर्भावनापूर्ण कोड को छिपाने में मदद कर सकते हैं.

477
00:33:27,020 --> 00:33:30,050
एंटी वायरस कंपनियों सैंडबॉक्स में बातें चल रहे हैं

478
00:33:30,050 --> 00:33:36,370
या app स्टोर खुद को इस मदद कर सकते हैं

479
00:33:36,370 --> 00:33:39,260
कि निरीक्षण से कि छिपाना.

480
00:33:39,260 --> 00:33:43,020
अब, इस बात का दूसरा पहलू, यह स्थैतिक विश्लेषण के साथ मिल आसान है है

481
00:33:43,020 --> 00:33:46,170
तो वास्तव में आप सभी स्थानों के लिए देख सकते हैं कोड का निरीक्षण

482
00:33:46,170 --> 00:33:54,010
आवेदन बार परीक्षण किया और इस तरह का निरीक्षण किया जहां.

483
00:33:54,010 --> 00:33:58,850
और यहाँ मैं इन 3 अलग प्लेटफार्मों पर कुछ उदाहरण है

484
00:33:58,850 --> 00:34:05,640
समय एप्लिकेशन निर्माता द्वारा लिए जाँच की जा सकती है कि कैसे

485
00:34:05,640 --> 00:34:10,520
इसलिए यदि आप स्थिर रुप से एप्लिकेशन का निरीक्षण कर रहे हैं के लिए देखने के लिए क्या करना है.

486
00:34:10,520 --> 00:34:14,570
>> मैं सिर्फ अलग दुर्भावनापूर्ण गतिविधियों की एक पूरी गुच्छा के माध्यम से चला गया

487
00:34:14,570 --> 00:34:18,969
हम जंगली में देखा है, लेकिन जो लोग सबसे अधिक प्रचलित हैं कि?

488
00:34:18,969 --> 00:34:23,940
उत्तरी कैरोलिना स्टेट मोबाइल जीनोम परियोजना से वह उसी अध्ययन

489
00:34:23,940 --> 00:34:28,560
कुछ डेटा प्रकाशित, और 4 क्षेत्रों मूल रूप से वहाँ थे

490
00:34:28,560 --> 00:34:32,850
गतिविधि का एक बहुत कुछ था, जहां उन्होंने देखा कि.

491
00:34:32,850 --> 00:34:35,370
क्षुधा का 37%, विशेषाधिकार वृद्धि किया

492
00:34:35,370 --> 00:34:38,429
ताकि वे वहाँ में भागने के कोड के कुछ प्रकार की थी

493
00:34:38,429 --> 00:34:42,070
वे विशेषाधिकार ख़राब करने की कोशिश की है, जहां वे कर सकता है ताकि

494
00:34:42,070 --> 00:34:48,360
एपीआई आदेशों ऑपरेटिंग सिस्टम के रूप में चल रहा है.

495
00:34:48,360 --> 00:34:52,520
क्षुधा का 45% वहाँ से बाहर, प्रीमियम एसएमएस किया

496
00:34:52,520 --> 00:34:57,260
इसलिए कि सीधे धातु के सिक्के करने के लिए कोशिश कर रहा है कि एक बड़ा प्रतिशत है.

497
00:34:57,260 --> 00:35:02,640
93% रिमोट कंट्रोल से किया था, ताकि वे एक बॉट नेट, एक मोबाइल बॉट नेट की स्थापना करने की कोशिश की.

498
00:35:02,640 --> 00:35:08,990
और 45% की पहचान की जानकारी काटा

499
00:35:08,990 --> 00:35:16,230
फोन नंबर, UUIDs, जीपीएस स्थान, उपयोगकर्ता खातों, जैसे

500
00:35:16,230 --> 00:35:22,870
सबसे मैलवेयर इन बातों का कुछ ऐसा करने की कोशिश करता है और इस वजह से 100 से अधिक करने के लिए कहते हैं.

501
00:35:22,870 --> 00:35:27,070
>> मैं दूसरी छमाही के लिए स्विच और कोड कमजोरियों के बारे में बात करने जा रहा हूँ.

502
00:35:27,070 --> 00:35:29,480
यह जोखिम भरा गतिविधि की दूसरी छमाही है.

503
00:35:29,480 --> 00:35:33,450
डेवलपर त्रुटियों बना रही है जहां अनिवार्य रूप से यह वह जगह है.

504
00:35:33,450 --> 00:35:37,210
एक वैध app लेखन एक वैध डेवलपर

505
00:35:37,210 --> 00:35:41,830
त्रुटियों को बनाने या मोबाइल मंच के जोखिम से अनभिज्ञ है.

506
00:35:41,830 --> 00:35:44,780
वे सिर्फ एक सुरक्षित मोबाइल एप्लिकेशन बनाने के लिए पता नहीं है,

507
00:35:44,780 --> 00:35:47,700
या कभी कभी डेवलपर जोखिम में उपयोगकर्ता लगाने के बारे में परवाह नहीं करता है.

508
00:35:47,700 --> 00:35:50,850
कभी कभी उनके व्यापार मॉडल का हिस्सा हो सकता है

509
00:35:50,850 --> 00:35:54,610
उपयोगकर्ता की निजी जानकारी कटाई.

510
00:35:54,610 --> 00:35:58,090
यही कारण है कि अन्य वर्ग की तरह है, और यही कारण है कि यह दुर्भावनापूर्ण के कुछ

511
00:35:58,090 --> 00:36:03,200
राय के अंतर नहीं है क्योंकि वैध शुरू होता बनाम अधिक खून बहाना

512
00:36:03,200 --> 00:36:10,440
क्या उपयोगकर्ता चाहता है और क्या उपयोगकर्ता जोखिम भरा समझता बीच

513
00:36:10,440 --> 00:36:13,050
और क्या आवेदन डेवलपर जोखिम भरा मानता है.

514
00:36:13,050 --> 00:36:18,380
बेशक, यह ज्यादातर मामलों में आवेदन डेवलपर के डेटा नहीं है.

515
00:36:18,380 --> 00:36:22,030
>> और फिर अंत में ऐसा होता है, एक और तरीका एक डेवलपर में लिंक हो सकता है

516
00:36:22,030 --> 00:36:28,600
इसमें कमजोरियों या इस जोखिम भरा व्यवहार है कि एक साझा पुस्तकालय

517
00:36:28,600 --> 00:36:32,480
उन्हें करने के लिए अनजान.

518
00:36:32,480 --> 00:36:37,060
प्रथम श्रेणी संवेदनशील डेटा रिसाव है,

519
00:36:37,060 --> 00:36:40,030
एप्लिकेशन में जानकारी इकट्ठा और जब यह है

520
00:36:40,030 --> 00:36:44,980
स्थान, पता पुस्तिका जानकारी, स्वामी जानकारी की तरह

521
00:36:44,980 --> 00:36:48,000
और युक्ति से दूर है कि भेजता है.

522
00:36:48,000 --> 00:36:53,050
और यह उपकरण बंद है एक बार, हम उस जानकारी के साथ क्या हो रहा है पता नहीं है.

523
00:36:53,050 --> 00:36:57,170
यह आवेदन डेवलपर से असुरक्षित रूप से संग्रहित किया जा सकता है.

524
00:36:57,170 --> 00:37:02,070
हम आवेदन डेवलपर्स समझौता हो देखा है,

525
00:37:02,070 --> 00:37:05,820
और वे भंडारण कर रहे हैं कि डेटा ले जाया जाता है.

526
00:37:05,820 --> 00:37:10,970
यह फ्लोरिडा में नीचे एक डेवलपर के लिए कुछ महीने पहले हुआ

527
00:37:10,970 --> 00:37:21,660
की यह एक बहुत बड़ी संख्या iPad UUIDs और युक्ति नाम था जहां

528
00:37:21,660 --> 00:37:25,270
किसी को, मैं यह गुमनाम था क्योंकि उन्हें लगता है, लीक थे

529
00:37:25,270 --> 00:37:29,460
यह करने के लिए दावा किया है, इस डेवलपर के सर्वर में तोड़ दिया

530
00:37:29,460 --> 00:37:34,920
और iPad UUIDs के लाखों चुराया

531
00:37:34,920 --> 00:37:37,390
और कंप्यूटर नाम.

532
00:37:37,390 --> 00:37:40,260
नहीं सबसे जोखिम भरा जानकारी,

533
00:37:40,260 --> 00:37:46,820
लेकिन क्या है कि अगर उपयोगकर्ता नाम और पासवर्ड का भंडारण किया गया था

534
00:37:46,820 --> 00:37:48,170
और घर के पते?

535
00:37:48,170 --> 00:37:51,100
जानकारी के उस तरह कि दुकान क्षुधा की बहुत सारी है.

536
00:37:51,100 --> 00:37:53,230
खतरा है.

537
00:37:53,230 --> 00:37:56,620
डेवलपर देखभाल नहीं करता है >> हो सकता है कि दूसरी बात यह है

538
00:37:56,620 --> 00:38:01,370
डेटा चैनल को सुरक्षित, और कहा कि मैं इस बारे में बात करने जा रहा हूँ एक और बड़ा भेद्यता है करने के लिए,

539
00:38:01,370 --> 00:38:05,160
उस डेटा स्पष्ट में भेजा जा रहा है.

540
00:38:05,160 --> 00:38:09,040
उपयोगकर्ता एक सार्वजनिक Wi-Fi नेटवर्क पर है, तो

541
00:38:09,040 --> 00:38:12,330
या किसी को कहीं इंटरनेट सूँघने है

542
00:38:12,330 --> 00:38:19,260
मार्ग के किनारे है कि डेटा अवगत कराया जा रहा है.

543
00:38:19,260 --> 00:38:23,790
इस जानकारी के रिसाव से एक बहुत मशहूर मामले भानुमती के साथ क्या हुआ,

544
00:38:23,790 --> 00:38:27,250
और यह हम Veracode पर शोध किया है कुछ है.

545
00:38:27,250 --> 00:38:33,200
हम एक मैं इसे एक संघीय व्यापार आयोग थी लगता था कि वहाँ सुना

546
00:38:33,200 --> 00:38:35,310
भानुमती के साथ चल रहा जांच.

547
00:38:35,310 --> 00:38:39,830
हम "वहाँ क्या हो रहा है? के भानुमती आवेदन में खुदाई शुरू करते हैं."

548
00:38:39,830 --> 00:38:46,690
और क्या हम निर्धारित एकत्र भानुमती आवेदन किया गया था

549
00:38:46,690 --> 00:38:51,270
अपने लिंग और अपनी उम्र,

550
00:38:51,270 --> 00:38:56,660
और यह भी अपने जीपीएस स्थान, और भानुमती आवेदन पहुँचा

551
00:38:56,660 --> 00:39:00,200
वे वैध कारण थे क्या कहा के लिए ऐसा किया.

552
00:39:00,200 --> 00:39:05,360
वे खेल-भानुमती गया है कि संगीत एक संगीत स्ट्रीमिंग अनुप्रयोग है

553
00:39:05,360 --> 00:39:07,530
वे खेल रहे थे संगीत केवल संयुक्त राज्य अमेरिका में लाइसेंस प्राप्त किया गया था,

554
00:39:07,530 --> 00:39:13,020
ताकि वे वे था कि उनके लाइसेंस समझौतों का अनुपालन करने के लिए जांच की थी

555
00:39:13,020 --> 00:39:17,240
उपयोगकर्ता संयुक्त राज्य अमेरिका में था कि संगीत के लिए.

556
00:39:17,240 --> 00:39:25,070
उन्होंने यह भी पैतृक सलाहकार के साथ पालन करना चाहता था

557
00:39:25,070 --> 00:39:33,790
संगीत में चारों ओर वयस्क भाषा,

558
00:39:33,790 --> 00:39:37,500
और इसलिए यह एक स्वैच्छिक कार्यक्रम है, लेकिन वे कहते हैं कि के साथ पालन करना चाहता था

559
00:39:37,500 --> 00:39:43,010
और बच्चों को 13 और के तहत करने के लिए स्पष्ट बोल नहीं खेल.

560
00:39:43,010 --> 00:39:46,280
>> वे इस डेटा इकट्ठा करने के लिए वैध कारण था.

561
00:39:46,280 --> 00:39:49,160
उनके app यह करने के लिए अनुमतियां था.

562
00:39:49,160 --> 00:39:52,000
उपयोगकर्ता इस वैध था. लेकिन क्या हुआ?

563
00:39:52,000 --> 00:39:55,810
वे 3 या 4 अलग विज्ञापन पुस्तकालयों में जुड़े.

564
00:39:55,810 --> 00:39:59,140
अब अचानक इन सभी विज्ञापन पुस्तकालयों के सभी

565
00:39:59,140 --> 00:40:02,970
यह एक ही जानकारी के लिए उपयोग हो रही है.

566
00:40:02,970 --> 00:40:05,830
विज्ञापन पुस्तकालयों, आप विज्ञापन के पुस्तकालयों में कोड को देखो

567
00:40:05,830 --> 00:40:08,430
वे क्या हर विज्ञापन पुस्तकालय का कहना है

568
00:40:08,430 --> 00:40:11,340
"मेरे app जीपीएस स्थान प्राप्त करने की अनुमति है?"

569
00:40:11,340 --> 00:40:14,890
"ओह, यह ठीक है, मुझे जीपीएस स्थान बताया है."

570
00:40:14,890 --> 00:40:16,620
हर एक विज्ञापन पुस्तकालय है कि करता है,

571
00:40:16,620 --> 00:40:19,740
और app जीपीएस की अनुमति नहीं है अगर

572
00:40:19,740 --> 00:40:23,460
इसे पाने के लिए सक्षम नहीं होगा, लेकिन अगर यह होता है, यह मिल जाएगा.

573
00:40:23,460 --> 00:40:26,240
यह विज्ञापन पुस्तकालयों की जहां व्यापार मॉडल है

574
00:40:26,240 --> 00:40:31,160
उपयोगकर्ता की गोपनीयता का विरोध किया है.

575
00:40:31,160 --> 00:40:34,980
और आप उम्र पता है तो कहना होगा कि वहाँ से बाहर अध्ययन किया गया है

576
00:40:34,980 --> 00:40:38,430
एक व्यक्ति की और आप उनके स्थान का पता

577
00:40:38,430 --> 00:40:42,530
आप अपने जीपीएस निर्देशांक है, क्योंकि वे रात में सो जहां

578
00:40:42,530 --> 00:40:46,030
वे शायद सो रहे हैं, तो आप उस व्यक्ति है जो वास्तव में जानते हैं

579
00:40:46,030 --> 00:40:50,230
आपको लगता है कि घर के सदस्य उस व्यक्ति है जो यह निर्धारित कर सकते हैं.

580
00:40:50,230 --> 00:40:54,780
वास्तव में यह विज्ञापनदाताओं के लिए पहचान है

581
00:40:54,780 --> 00:40:59,530
वास्तव में आप कर रहे हैं, और यह वैध था ऐसा लगता है कि जो.

582
00:40:59,530 --> 00:41:02,800
मैं सिर्फ अपने संगीत स्ट्रीमिंग चाहते हैं, और यह इसे पाने के लिए एक ही रास्ता है.

583
00:41:02,800 --> 00:41:05,370
>> खैर, हम इस अवगत कराया.

584
00:41:05,370 --> 00:41:08,030
हम कई ब्लॉग पोस्ट में यह लिखा था,

585
00:41:08,030 --> 00:41:13,280
और यह पता चला है कि रोलिंग स्टोन पत्रिका से किसी

586
00:41:13,280 --> 00:41:18,810
हमारे ब्लॉग पोस्ट में से एक को पढ़ने और इसके बारे में रॉलिंग स्टोन में अपने ब्लॉग में लिखा था,

587
00:41:18,810 --> 00:41:22,120
और अगले ही दिन भानुमती यह एक अच्छा विचार था

588
00:41:22,120 --> 00:41:27,600
उनके आवेदन से विज्ञापन पुस्तकालयों को दूर करने के लिए.

589
00:41:27,600 --> 00:41:31,270
जहाँ तक मुझे पता है कि वे केवल वे सराहना की जानी चाहिए रहे हैं.

590
00:41:31,270 --> 00:41:35,770
मुझे लगता है वे इस किया गया है कि app के केवल freemium प्रकार कर रहे हैं.

591
00:41:35,770 --> 00:41:38,660
अन्य सभी freemium क्षुधा यह वही व्यवहार किया है,

592
00:41:38,660 --> 00:41:41,780
तो क्या आप दे रहे हैं डेटा की किस तरह के बारे में सोचने के लिए मिल गया है

593
00:41:41,780 --> 00:41:48,330
यह सभी विज्ञापनदाताओं जा रहा है इन freemium अनुप्रयोगों क्योंकि.

594
00:41:48,330 --> 00:41:53,390
Praetorian भी साझा पुस्तकालयों के बारे में एक अध्ययन किया और कहा,

595
00:41:53,390 --> 00:41:57,100
", के पुस्तकालयों शीर्ष साझा पुस्तकालयों रहे हैं क्या साझा पर देखें" और इस डेटा था.

596
00:41:57,100 --> 00:41:59,420
>> वे 53,000 Apps का विश्लेषण किया,

597
00:41:59,420 --> 00:42:01,900
और नंबर 1 साझा पुस्तकालय Admob था.

598
00:42:01,900 --> 00:42:06,060
यह बाहर वहाँ अनुप्रयोगों के 38% में वास्तव में था

599
00:42:06,060 --> 00:42:08,800
आप उपयोग कर रहे आवेदनों की तो 38%

600
00:42:08,800 --> 00:42:11,250
आपकी व्यक्तिगत जानकारी कटाई कर रहे हैं

601
00:42:11,250 --> 00:42:16,650
और विज्ञापन नेटवर्क को भेजने से.

602
00:42:16,650 --> 00:42:19,350
अपाचे और एंड्रॉयड 8% और 6% थे,

603
00:42:19,350 --> 00:42:22,960
और फिर नीचे, गूगल के विज्ञापन, घबराहट में इन अन्य लोगों को नीचे,

604
00:42:22,960 --> 00:42:26,600
भीड़ शहर और सहस्त्राब्दी मीडिया,

605
00:42:26,600 --> 00:42:30,500
इन, फिर, काफी दिलचस्प है सभी विज्ञापन कंपनियों रहे हैं, और

606
00:42:30,500 --> 00:42:33,500
4% फेसबुक पुस्तकालय में जुड़ा हुआ

607
00:42:33,500 --> 00:42:38,870
शायद फेसबुक के माध्यम से प्रमाणीकरण क्या करना

608
00:42:38,870 --> 00:42:40,810
इसलिए अनुप्रयोग फ़ेसबुक को प्रमाणित कर सके.

609
00:42:40,810 --> 00:42:44,660
लेकिन वह भी फेसबुक कोड नियंत्रित निगम का मतलब

610
00:42:44,660 --> 00:42:49,010
कि, वहाँ से बाहर एंड्रॉयड मोबाइल Apps का 4% में चल रहा है

611
00:42:49,010 --> 00:42:53,490
और वे उस अनुप्रयोग में प्राप्त करने की अनुमति है कि सभी डेटा तक पहुँच है.

612
00:42:53,490 --> 00:42:57,170
फेसबुक अनिवार्य रूप से विज्ञापन की जगह को बेचने की कोशिश करता है.

613
00:42:57,170 --> 00:43:00,120
यही कारण है कि उनके व्यापार मॉडल है.

614
00:43:00,120 --> 00:43:02,920
>> आप इन अनुमतियों के साथ इस पूरे पारिस्थितिकी तंत्र पर नजर डालें तो

615
00:43:02,920 --> 00:43:07,740
और आपको यह देखना है कि शुरू साझा पुस्तकालयों

616
00:43:07,740 --> 00:43:13,850
आप एक माना जाता है कि वैध आवेदन में जोखिम का एक बहुत कुछ है.

617
00:43:13,850 --> 00:43:19,360
भानुमती के साथ हुआ है कि एक ही इसी तरह की बात

618
00:43:19,360 --> 00:43:22,340
, पथ कहा जाता है एक आवेदन के साथ क्या हुआ

619
00:43:22,340 --> 00:43:27,660
और पथ वे उपयोगी, दोस्ताना डेवलपर्स जा रहे थे सोचा.

620
00:43:27,660 --> 00:43:32,160
वे सिर्फ तुम एक महान उपयोगकर्ता अनुभव देने की कोशिश कर रहे थे,

621
00:43:32,160 --> 00:43:37,810
और यह पता चला कि उपयोक्ता को या उपयोगकर्ता बताए बिना कुछ भी

622
00:43:37,810 --> 00:43:40,400
और यह iPhone पर और एंड्रॉयड पर हुआ

623
00:43:40,400 --> 00:43:44,420
भानुमती app iPhone और पर था एंड्रॉयड-

624
00:43:44,420 --> 00:43:48,890
पथ आवेदन अपने पूरे पते की किताब हथियाने गया था

625
00:43:48,890 --> 00:43:52,830
और आप स्थापित और आवेदन भागा बस जब पथ पर अपलोड,

626
00:43:52,830 --> 00:43:55,840
और वे इस बारे में नहीं बताया था.

627
00:43:55,840 --> 00:43:58,750
वे यह आप के लिए वास्तव में मददगार था सोचा

628
00:43:58,750 --> 00:44:04,040
अपनी पता पुस्तिका में सभी लोगों के साथ साझा करने के लिए सक्षम होने के लिए

629
00:44:04,040 --> 00:44:06,920
आप पथ आवेदन का उपयोग कर रहे हैं.

630
00:44:06,920 --> 00:44:09,490
>> ठीक है, जाहिर पथ यह उनकी कंपनी के लिए बहुत अच्छा था सोचा.

631
00:44:09,490 --> 00:44:13,510
उपयोगकर्ता को इतना महान नहीं.

632
00:44:13,510 --> 00:44:19,020
आप यह हो सकता है अगर एक किशोरी एक बात है कि सोचना होगा

633
00:44:19,020 --> 00:44:23,700
, इस एप्लिकेशन का उपयोग और दोस्तों के अपने दर्जनों में हैं

634
00:44:23,700 --> 00:44:29,360
लेकिन यह पथ को स्थापित करता है कि एक कंपनी के सीईओ क्या है अगर

635
00:44:29,360 --> 00:44:33,170
और फिर अचानक उनके पूरे पते की किताब के सभी वहाँ है?

636
00:44:33,170 --> 00:44:38,310
आप संभावित मूल्यवान संपर्क जानकारी का एक बहुत कुछ पाने के लिए जा रहे हैं

637
00:44:38,310 --> 00:44:40,920
बहुत से लोगों के लिए.

638
00:44:40,920 --> 00:44:44,500
न्यूयॉर्क टाइम्स से एक पत्रकार, आप फोन नंबर प्राप्त करने में सक्षम हो सकता है

639
00:44:44,500 --> 00:44:47,380
उनके पते की किताब से पूर्व राष्ट्रपतियों के लिए,

640
00:44:47,380 --> 00:44:54,780
तो जाहिर संवेदनशील जानकारी का एक बहुत कुछ इस तरह से तबादला हो जाता है.

641
00:44:54,780 --> 00:44:58,090
उस पथ माफी मांगी इस बारे में इतनी बड़ी फ्लैप हुई थी.

642
00:44:58,090 --> 00:45:01,610
वे अपने एप्लिकेशन बदल गया है, और यह भी एप्पल पर असर पड़ा.

643
00:45:01,610 --> 00:45:06,950
एप्पल हम उपयोगकर्ताओं को शीघ्र एप्लिकेशन विक्रेताओं के लिए मजबूर करने के लिए जा रहे हैं ने कहा, "

644
00:45:06,950 --> 00:45:12,650
वे अपने पूरे पते की किताब एकत्र करने के लिए जा रहे हैं. "

645
00:45:12,650 --> 00:45:15,360
>> यह है यहाँ क्या हो रहा है की तरह लग रहा है

646
00:45:15,360 --> 00:45:19,430
वहाँ एक बड़ा गोपनीयता का उल्लंघन है और यह प्रेस बनाता है जब

647
00:45:19,430 --> 00:45:21,680
हम वहाँ एक परिवर्तन देखने.

648
00:45:21,680 --> 00:45:23,230
लेकिन जाहिर है, अन्य बातों के वहाँ से बाहर है.

649
00:45:23,230 --> 00:45:27,440
लिंक्डइन आवेदन अपने कैलेंडर प्रविष्टियों फसल,

650
00:45:27,440 --> 00:45:34,530
लेकिन एप्पल उपयोगकर्ता उस के बारे में संकेत किया जा नहीं कर सकता है.

651
00:45:34,530 --> 00:45:38,030
कैलेंडर प्रविष्टियों उन्हें भी संवेदनशील जानकारी हासिल कर सकते हैं.

652
00:45:38,030 --> 00:45:40,000
तुम कहाँ लाइन आकर्षित करने के लिए जा रहे हैं?

653
00:45:40,000 --> 00:45:43,960
यह वास्तव में इस तरह की एक उभरती जगह है

654
00:45:43,960 --> 00:45:47,640
कोई अच्छा मानक बाहर वहाँ वास्तव में है, जहां

655
00:45:47,640 --> 00:45:51,990
उनकी जानकारी के खतरे में होने जा रहा है जब उपयोगकर्ता को समझने के लिए

656
00:45:51,990 --> 00:45:57,820
वे जानते हैं कि करने के लिए जा रहे हैं और जब यह लिया जा रहा है.

657
00:45:57,820 --> 00:46:03,040
हम Adios बुलाया Veracode पर एक app लिखा

658
00:46:03,040 --> 00:46:08,350
और अनिवार्य रूप से यह आप अपने iTunes निर्देशिका में एप्लिकेशन बात करने की अनुमति दी

659
00:46:08,350 --> 00:46:12,550
और अपना पूरा पता पुस्तिका कटाई कर रहे थे कि सभी आवेदनों पर दिखेगा.

660
00:46:12,550 --> 00:46:19,760
और तुम यहाँ इस सूची में देख सकते हैं, गुस्सा पक्षी,

661
00:46:19,760 --> 00:46:21,590
लक्ष्य, AroundMe.

662
00:46:21,590 --> 00:46:24,050
क्यों गुस्से में पक्षियों आपके पते की किताब की जरूरत है?

663
00:46:24,050 --> 00:46:29,160
मुझे नहीं पता, लेकिन यह किसी भी तरह से करता है.

664
00:46:29,160 --> 00:46:32,310
>> यह बहुत, बहुत से अनुप्रयोगों है कि कुछ है.

665
00:46:32,310 --> 00:46:34,780
आप इस के लिए कोड का निरीक्षण कर सकते हैं.

666
00:46:34,780 --> 00:46:38,660
IPhone, Android और ब्लैकबेरी के लिए अच्छी तरह से परिभाषित एपीआई नहीं है

667
00:46:38,660 --> 00:46:42,120
पता पुस्तिका में प्राप्त करने के लिए.

668
00:46:42,120 --> 00:46:48,520
आप वास्तव में आसानी से इस बात के लिए निरीक्षण कर सकते हैं, और यह कि हम अपने Adios आवेदन में क्या किया है.

669
00:46:48,520 --> 00:46:52,320
अगली श्रेणी, असुरक्षित संवेदनशील डाटा संग्रहण,

670
00:46:52,320 --> 00:46:55,670
डेवलपर्स एक पिन की तरह कुछ ले जहां कुछ या खाता संख्या है

671
00:46:55,670 --> 00:46:58,530
या एक पासवर्ड और यह डिवाइस पर स्पष्ट में स्टोर.

672
00:46:58,530 --> 00:47:02,310
भी बदतर, वे यह फोन पर एक क्षेत्र में स्टोर कर सकता है

673
00:47:02,310 --> 00:47:06,820
जो एसडी कार्ड की तरह, विश्व स्तर पर पहुँचा जा सकता है.

674
00:47:06,820 --> 00:47:11,320
एंड्रॉयड एक एसडी कार्ड के लिए अनुमति देता है, क्योंकि तुम Android पर अधिक अक्सर देखते हैं.

675
00:47:11,320 --> 00:47:13,200
IPhone उपकरणों नहीं करते.

676
00:47:13,200 --> 00:47:17,900
लेकिन हम भी इस सिटीग्रुप आवेदन में हुआ देखा.

677
00:47:17,900 --> 00:47:25,450
उनकी ऑनलाइन बैंकिंग आवेदन, असुरक्षित खाता संख्या संग्रहीत

678
00:47:25,450 --> 00:47:28,120
अभी स्पष्ट में है, तो आप अपने डिवाइस खो दिया है,

679
00:47:28,120 --> 00:47:30,670
अनिवार्य रूप से आप अपने बैंक खाते को खो दिया.

680
00:47:30,670 --> 00:47:36,000
मैं व्यक्तिगत रूप से मेरे iPhone पर बैंकिंग नहीं करते यही कारण है.

681
00:47:36,000 --> 00:47:43,710
मैं यह गतिविधियों के इन प्रकार के कर अभी भी जोखिम भरा है.

682
00:47:43,710 --> 00:47:45,950
>> स्काइप ही काम किया.

683
00:47:45,950 --> 00:47:49,870
स्काइप, ज़ाहिर है, एक खाते की शेष राशि, एक उपयोगकर्ता नाम और पासवर्ड है

684
00:47:49,870 --> 00:47:51,030
कि शेष राशि का उपयोग करता है.

685
00:47:51,030 --> 00:48:00,080
वे मोबाइल डिवाइस पर स्पष्ट है कि सभी जानकारी संग्रहीत किए गए थे.

686
00:48:00,080 --> 00:48:05,760
मैं फाइल बनाने के यहाँ कुछ उदाहरण है

687
00:48:05,760 --> 00:48:10,310
कि अनुमति या डिस्क के लिए लिख नहीं है

688
00:48:10,310 --> 00:48:17,260
और किसी भी एन्क्रिप्शन उस के लिए होने वाले नहीं.

689
00:48:17,260 --> 00:48:20,190
यह अगले क्षेत्र, असुरक्षित संवेदनशील डाटा ट्रांसमिशन,

690
00:48:20,190 --> 00:48:24,450
मैं यह करने के लिए कई बार alluded, और क्योंकि सार्वजनिक Wi-Fi की की है

691
00:48:24,450 --> 00:48:27,770
यह बिल्कुल ऐसा करने की जरूरत क्षुधा है कि कुछ है,

692
00:48:27,770 --> 00:48:31,250
और यह हम सबसे गलत जाने क्या देख शायद है.

693
00:48:31,250 --> 00:48:34,920
मैं कहना है वास्तव में चाहते हैं, मुझे लगता है मैं वास्तविक जानकारी है लगता है,

694
00:48:34,920 --> 00:48:38,120
लेकिन यह आधा मोबाइल अनुप्रयोगों के करीब है

695
00:48:38,120 --> 00:48:41,780
एसएसएल कर पेंच.

696
00:48:41,780 --> 00:48:43,910
वे सिर्फ एपीआई सही ढंग से उपयोग नहीं करते हैं.

697
00:48:43,910 --> 00:48:47,970
मेरा मतलब है, तुम क्या करने के लिए सब मिल गया है, निर्देशों का पालन करें और एपीआई का उपयोग है

698
00:48:47,970 --> 00:48:54,720
लेकिन वे चीजों की तरह, दूसरे छोर पर एक अवैध प्रमाण पत्र है कि क्या वहाँ जाँच नहीं है

699
00:48:54,720 --> 00:49:02,120
दूसरे छोर एक प्रोटोकॉल ढाल हमले करने की कोशिश कर रहा है अगर जाँच नहीं.

700
00:49:02,120 --> 00:49:07,200
>> डेवलपर्स, वे उनके चेकबॉक्स प्राप्त करना चाहते हैं, है ना?

701
00:49:07,200 --> 00:49:11,910
उनकी आवश्यकता को बेचने के लिए इस का उपयोग करने के लिए है. वे बेचने के लिए इस का उपयोग किया है.

702
00:49:11,910 --> 00:49:14,800
आवश्यकता, सुरक्षित रूप से बेचने के लिए इस का उपयोग करने के लिए नहीं है

703
00:49:14,800 --> 00:49:19,680
SSL का उपयोग करने वाले सभी अनुप्रयोग डेटा को सुरक्षित करने के लिए क्यों और इसलिए यह है

704
00:49:19,680 --> 00:49:23,470
यह बंद प्रेषित किया जा रहा है के रूप में डिवाइस वास्तव में निरीक्षण करने की आवश्यकता

705
00:49:23,470 --> 00:49:28,950
कि सही ढंग से लागू किया गया था सुनिश्चित करने के लिए.

706
00:49:28,950 --> 00:49:32,850
और यहाँ मैं आपको एक आवेदन देख सकते हैं, जहां कुछ उदाहरण है

707
00:49:32,850 --> 00:49:37,400
HTTP के बजाय HTTPS का उपयोग किया जा सकता है.

708
00:49:37,400 --> 00:49:40,510
कुछ मामलों में क्षुधा HTTP करने के लिए वापस गिर जाएगी

709
00:49:40,510 --> 00:49:44,250
HTTPS का काम नहीं कर रहा है.

710
00:49:44,250 --> 00:49:49,070
मैं, वे प्रमाण पत्र की जांच निष्क्रिय कर दिया है जहां एंड्रॉयड पर यहाँ एक और फोन है

711
00:49:49,070 --> 00:49:51,700
इसलिए एक आदमी में-the-बीच हमले हो सकते हैं.

712
00:49:51,700 --> 00:49:56,370
एक अमान्य प्रमाण पत्र स्वीकार किया जाएगा.

713
00:49:56,370 --> 00:50:01,920
इन हमलावरों पर प्राप्त करने में सक्षम होने जा रहे हैं जहां सभी मामलों रहे हैं

714
00:50:01,920 --> 00:50:07,150
उपयोगकर्ता और सभी डेटा के रूप में ही वाईफ़ाई कनेक्शन

715
00:50:07,150 --> 00:50:11,650
कि इंटरनेट पर भेजा जा रहा है.

716
00:50:11,650 --> 00:50:15,970
>> और अंत में, मैं यहाँ पिछले वर्ग hardcoded पासवर्ड और चाबी है.

717
00:50:15,970 --> 00:50:21,470
हम वास्तव में डेवलपर्स के एक बहुत ही कोडिंग शैली का उपयोग देखना

718
00:50:21,470 --> 00:50:25,900
वे वेब सर्वर अनुप्रयोग का निर्माण किया गया जब किया था, कि

719
00:50:25,900 --> 00:50:29,700
इसलिए वे एक जावा सर्वर अनुप्रयोग का निर्माण कर रहे हैं, और वे कुंजी hardcoding रहे हैं.

720
00:50:29,700 --> 00:50:31,940
खैर, आप एक सर्वर अनुप्रयोग का निर्माण कर रहे हैं, हाँ,

721
00:50:31,940 --> 00:50:34,240
कुंजी hardcoding एक अच्छा विचार नहीं है.

722
00:50:34,240 --> 00:50:36,290
यह यह कठिन बदलने के लिए बनाता है.

723
00:50:36,290 --> 00:50:40,700
जो सर्वर साइड के लिए उपयोग किया है लेकिन क्योंकि यह सर्वर साइड पर इतना बुरा नहीं है?

724
00:50:40,700 --> 00:50:43,140
केवल प्रशासकों.

725
00:50:43,140 --> 00:50:48,100
लेकिन आप एक ही कोड ले और आप एक मोबाइल आवेदन करने के लिए यह ऊपर डाल दिया अगर

726
00:50:48,100 --> 00:50:52,550
अब मोबाइल आवेदन कि hardcoded चाबी तक पहुँच गया है कि हर कोई है जो,

727
00:50:52,550 --> 00:50:56,380
और हम वास्तव में इस समय की एक बहुत देखते हैं, और मैं कुछ आँकड़े

728
00:50:56,380 --> 00:51:00,920
हम देखना यह होगा कि कितनी बार पर.

729
00:51:00,920 --> 00:51:04,940
यह वास्तव में मास्टरकार्ड प्रकाशित कि उदाहरण कोड में था

730
00:51:04,940 --> 00:51:06,850
उनकी सेवा का उपयोग करने पर.

731
00:51:06,850 --> 00:51:11,860
उदाहरण के कोड तुम सिर्फ पासवर्ड लेना होगा कैसे पता चला

732
00:51:11,860 --> 00:51:14,850
और वहीं एक hardcoded स्ट्रिंग में डाल दिया

733
00:51:14,850 --> 00:51:19,380
और हम डेवलपर्स के कोड के टुकड़े को कॉपी और पेस्ट करने के लिए प्यार कैसे पता

734
00:51:19,380 --> 00:51:22,360
वे कुछ करने की कोशिश कर रहे हैं, तो आप कोड का टुकड़ा कॉपी और पेस्ट जब

735
00:51:22,360 --> 00:51:28,450
वे उदाहरण कोड के रूप में दिया, और आप एक असुरक्षित आवेदन किया है.

736
00:51:28,450 --> 00:51:31,490
>> और यहाँ हम कुछ उदाहरण है.

737
00:51:31,490 --> 00:51:35,840
यह पहली बार एक हम वे hardcode जहां एक बहुत देखते हैं एक है

738
00:51:35,840 --> 00:51:40,510
भेजा जाता है कि एक यूआरएल में डेटा सही.

739
00:51:40,510 --> 00:51:45,120
कभी कभी हम स्ट्रिंग पासवर्ड = पासवर्ड देखते हैं.

740
00:51:45,120 --> 00:51:49,060
यही कारण है कि ब्लैकबेरी और एंड्रॉयड पर सुंदर का पता लगाने के लिए आसान है, या स्ट्रिंग पासवर्ड है.

741
00:51:49,060 --> 00:51:53,680
यह वास्तव में क्योंकि लगभग हमेशा के लिए जाँच करने के लिए बहुत आसान है

742
00:51:53,680 --> 00:51:57,030
डेवलपर के नाम पासवर्ड पकड़ रखा है कि चर

743
00:51:57,030 --> 00:52:02,290
पासवर्ड के कुछ बदलाव.

744
00:52:02,290 --> 00:52:05,200
मैं, हम Veracode पर स्थिर विश्लेषण करते हैं कि उल्लेख

745
00:52:05,200 --> 00:52:11,790
इसलिए हम कई सौ एंड्रॉयड और आईओएस आवेदनों का विश्लेषण किया गया है.

746
00:52:11,790 --> 00:52:15,160
हम उनमें से पूरा मॉडल का निर्माण किया है, और हम उन्हें स्कैन करने में सक्षम हो

747
00:52:15,160 --> 00:52:19,280
विभिन्न कमजोरियों, मैं के बारे में बात कर रहा था, खासकर कमजोरियों, के लिए

748
00:52:19,280 --> 00:52:21,050
और मैं यहाँ कुछ जानकारी है.

749
00:52:21,050 --> 00:52:24,320
हम पर देखा एंड्रॉयड क्षुधा की 68.5%

750
00:52:24,320 --> 00:52:28,590
क्रिप्टोग्राफिक कोड तोड़ा था,

751
00:52:28,590 --> 00:52:33,240
आप अपने खुद के क्रिप्टो दिनचर्या बना अगर हमारे लिए, हम पता नहीं लगा सकता है, जो

752
00:52:33,240 --> 00:52:38,980
कि एक अच्छा विचार है, लेकिन यह वास्तव में प्रकाशित एपीआई का उपयोग कर रहा है न कि

753
00:52:38,980 --> 00:52:42,530
मंच पर हैं, लेकिन इस तरह है कि में उन्हें कर

754
00:52:42,530 --> 00:52:46,680
क्रिप्टो, 68.5 कमजोर हो जाएगा.

755
00:52:46,680 --> 00:52:49,870
और यह वास्तव में हमें अपने आवेदन पत्र भेज रहे हैं कि लोगों के लिए है क्योंकि

756
00:52:49,870 --> 00:52:53,730
वे यह सुरक्षा का परीक्षण करने के लिए एक अच्छा विचार है.

757
00:52:53,730 --> 00:52:56,960
ये शायद पहले से ही सुरक्षित रूप से सोच रहे हैं कि लोगों को कर रहे हैं

758
00:52:56,960 --> 00:52:59,540
तो यह शायद और भी बदतर है.

759
00:52:59,540 --> 00:53:02,690
>> मैं नियंत्रण रेखा फ़ीड इंजेक्शन के बारे में बात नहीं की.

760
00:53:02,690 --> 00:53:07,640
यह हम के लिए जाँच कुछ है, लेकिन यह एक मुद्दा है कि जोखिम भरा नहीं है.

761
00:53:07,640 --> 00:53:15,390
सूचना रिसाव, इस संवेदनशील डेटा उपकरण बंद कर भेजा जा रहा है जहां है.

762
00:53:15,390 --> 00:53:19,270
हम अनुप्रयोगों के 40% में पाया गया कि.

763
00:53:19,270 --> 00:53:23,540
समय और राज्य, उन, शोषण करने के लिए आम तौर पर बहुत कठिन दौड़ हालत प्रकार के मुद्दों कर रहे हैं,

764
00:53:23,540 --> 00:53:26,170
इसलिए मैं उस बारे में बात नहीं की, लेकिन हम इसे देखा.

765
00:53:26,170 --> 00:53:28,750
23% SQL इंजेक्शन मुद्दों था.

766
00:53:28,750 --> 00:53:32,020
बहुत सारे लोग नहीं जानते कि आवेदनों की एक बहुत

767
00:53:32,020 --> 00:53:35,880
डेटा स्टोर करने के लिए उनके पीछे के अंत पर एक छोटे से छोटे SQL डेटाबेस का उपयोग करें.

768
00:53:35,880 --> 00:53:40,430
खैर, अगर आप नेटवर्क पर कब्जाने रहे हैं कि डेटा

769
00:53:40,430 --> 00:53:43,800
इसमें SQL इंजेक्शन हमले तार होते हैं

770
00:53:43,800 --> 00:53:45,970
किसी कि डिवाइस के माध्यम से समझौता कर सकते हैं,

771
00:53:45,970 --> 00:53:49,800
और इसलिए मुझे लगता है कि हम वेब अनुप्रयोगों के बारे में 40% इस समस्या है लगता है लगता है

772
00:53:49,800 --> 00:53:52,840
जो एक बड़ी महामारी समस्या है.

773
00:53:52,840 --> 00:53:55,740
हम मोबाइल क्षुधा में यह समय के 23% लगता है

774
00:53:55,740 --> 00:54:02,030
कई और अधिक वेब अनुप्रयोगों के मोबाइल से SQL का उपयोग करें क्योंकि और है कि शायद.

775
00:54:02,030 --> 00:54:05,580
>> और फिर हम अभी भी कुछ क्रॉस साइट स्क्रिप्टिंग, प्राधिकरण मुद्दों, देखना

776
00:54:05,580 --> 00:54:09,400
आप अपने hardcoded पासवर्ड है, जहां और फिर क्रेडेंशियल प्रबंधन, कि है.

777
00:54:09,400 --> 00:54:14,540
आवेदन पत्र के 5% में हम देखते हैं कि.

778
00:54:14,540 --> 00:54:17,970
और फिर हम IOS पर कुछ जानकारी है.

779
00:54:17,970 --> 00:54:20,180
81% त्रुटि हैंडलिंग मुद्दों था.

780
00:54:20,180 --> 00:54:23,130
यह एक कोड की गुणवत्ता की समस्या से अधिक है,

781
00:54:23,130 --> 00:54:28,010
लेकिन 67% क्रिप्टोग्राफिक मुद्दों था, इसलिए Android के रूप में काफी के रूप में बुरा नहीं.

782
00:54:28,010 --> 00:54:32,440
शायद एपीआई थोड़ा आसान कर रहे हैं, IOS पर एक छोटे से बेहतर उदाहरण कोड.

783
00:54:32,440 --> 00:54:35,420
लेकिन अभी भी एक बहुत उच्च प्रतिशत.

784
00:54:35,420 --> 00:54:39,040
हम जानकारी रिसाव के साथ 54% थी,

785
00:54:39,040 --> 00:54:42,080
बफर प्रबंधन त्रुटियों के साथ के बारे में 30%.

786
00:54:42,080 --> 00:54:45,930
यह संभवतः एक स्मृति भ्रष्टाचार मुद्दा हो सकता है, जहां स्थानों है.

787
00:54:45,930 --> 00:54:50,350
ऐसा लगता है कि शोषण के लिए एक समस्या के रूप में ज्यादा नहीं है पता चला है कि

788
00:54:50,350 --> 00:54:56,450
सभी कोड पर हस्ताक्षर किए जाना है IOS पर क्योंकि,

789
00:54:56,450 --> 00:55:02,210
इसलिए यह IOS पर मनमाने ढंग से कोड को निष्पादित करने के लिए एक हमलावर के लिए मुश्किल है.

790
00:55:02,210 --> 00:55:07,880
कोड की गुणवत्ता, निर्देशिका चंक्रमण, लेकिन यहां 14.6% पर फिर साख प्रबंधन,

791
00:55:07,880 --> 00:55:09,250
एंड्रॉयड पर से इतनी बदतर.

792
00:55:09,250 --> 00:55:13,240
हम लोग सही ढंग से पासवर्ड को संभाल नहीं है.

793
00:55:13,240 --> 00:55:15,790
और फिर सांख्यिक त्रुटियों और बफर अतिप्रवाह,

794
00:55:15,790 --> 00:55:22,680
उन अधिक IOS पर कोड की गुणवत्ता के मुद्दों होने जा रहे हैं.

795
00:55:22,680 --> 00:55:26,110
>> कि यह मेरी प्रस्तुति के लिए था. हम समय से बाहर है या नहीं हो, तो मैं नहीं जानता.

796
00:55:26,110 --> 00:55:29,540
किसी भी सवाल है कि अगर वहाँ मैं नहीं जानता.

797
00:55:29,540 --> 00:55:33,220
[पुरुष] विखंडन और Android बाजार के चारों ओर एक त्वरित सवाल.

798
00:55:33,220 --> 00:55:36,240
एप्पल कम से कम पट्टी का मालिक है.

799
00:55:36,240 --> 00:55:40,780
वे Android अंतरिक्ष में जबकि कम तो वहाँ से बाहर होने का एक अच्छा काम करते हैं.

800
00:55:40,780 --> 00:55:44,280
तुम लगभग चालू रहने के लिए अपने फोन को भागने के लिए आवश्यकता

801
00:55:44,280 --> 00:55:46,660
एंड्रॉयड के मौजूदा रिलीज के साथ.

802
00:55:46,660 --> 00:55:50,960
आप के बारे में लगता है कि अगर हाँ, यह एक बड़ी समस्या है और इसलिए है

803
00:55:50,960 --> 00:55:52,280
[पुरुष] तुम यह क्यों नहीं दोहरा सकते हैं?

804
00:55:52,280 --> 00:55:55,610
>> ओह, ठीक है, तो सवाल यह है कि क्या बारे में विखंडन था

805
00:55:55,610 --> 00:56:00,410
Android मंच पर ऑपरेटिंग सिस्टम की?

806
00:56:00,410 --> 00:56:05,890
कैसे है कि उन उपकरणों की आशंका को प्रभावित करता है?

807
00:56:05,890 --> 00:56:09,700
क्या होता है और क्योंकि यह वास्तव में एक बड़ी समस्या है

808
00:56:09,700 --> 00:56:15,110
पुराने उपकरणों, किसी कि इस उपकरण के लिए एक भागने के साथ आता है,

809
00:56:15,110 --> 00:56:19,960
अनिवार्य रूप से उस कि ऑपरेटिंग सिस्टम को अपडेट किया जाता है जब तक विशेषाधिकार वृद्धि है, और

810
00:56:19,960 --> 00:56:25,350
किसी भी मैलवेयर तो पूरी तरह से डिवाइस समझौता करने के लिए उस भेद्यता का उपयोग कर सकते हैं

811
00:56:25,350 --> 00:56:30,200
और क्या हम Android पर देख रहे हैं एक नए ऑपरेटिंग सिस्टम पाने के लिए है

812
00:56:30,200 --> 00:56:34,690
गूगल तो हार्डवेयर निर्माता ऑपरेटिंग सिस्टम को बाहर रखा गया है, और

813
00:56:34,690 --> 00:56:39,390
यह अनुकूलित करने के लिए है, और फिर वाहक इसे अनुकूलित और इसे वितरित करने के लिए है.

814
00:56:39,390 --> 00:56:43,070
आप मूल रूप से यहाँ 3 चलती भागों

815
00:56:43,070 --> 00:56:47,210
और यह वाहक परवाह नहीं है कि बाहर घूम रहा है,

816
00:56:47,210 --> 00:56:50,400
और हार्डवेयर निर्माताओं परवाह नहीं है, और गूगल उन्हें काफी उकसाने नहीं है

817
00:56:50,400 --> 00:56:54,430
बाहर तो अनिवार्य रूप से उपकरणों के आधे से अधिक, कुछ भी करने को

818
00:56:54,430 --> 00:57:00,590
उन में इन विशेषाधिकार वृद्धि कमजोरियों है कि ऑपरेटिंग सिस्टम है,

819
00:57:00,590 --> 00:57:08,440
आप अपने एंड्रॉयड डिवाइस पर मैलवेयर मिलता है और इसलिए यह एक समस्या की बहुत अधिक है.

820
00:57:08,440 --> 00:57:10,350
>> ठीक है, बहुत बहुत धन्यवाद.

821
00:57:10,350 --> 00:57:12,310
[तालियाँ]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]